了解 Microsoft 如何運用零信任強化 IoT 與 OT 安全性
隨著網路威脅手段日益精良且影響幅度深遠,世人每年對於網路安全認知月的需求益發殷切。Microsoft 持續追蹤鎖定許多組織的數位與實體營運一起發動的眾多資安事件,以實踐我們一整年對於一體適用的安全性的承諾。除了鎖定 IT 系統發動的常見間諜行為與資料竊盜攻擊,威脅製造者也逐漸將注意力轉向物聯網 (IoT) 裝置與營運技術 (OT) 設備, 像是輸油管 1 到醫療器材都是其攻擊的對象 2。此外,這些不懷好意的有心人士也成功入侵供應鏈,像是惡名昭彰的 Solorigate3 與 Kaseya4 攻擊事件。
本月稍早,我們發布了《2021 年 Microsoft 數位防禦報告》,協助組織進一步了解與時 俱進的威脅版圖,同時針對如何確保您的供應鏈以及 IoT 與 OT 資產安全提供相關指引。 為實踐一體適用的安全性,我們特地在此分享這些章節的重點部分以供您參考。
保障供應鏈安全
採用多種不同的工具來監控各個供應鏈層級的做法會增加複雜度,反而讓敵人更有可能透過網路攻擊取得可觀的報酬。這些各自為政的工具可能會衍生問題,因為個別團隊有不同的優先順序,因而形成不同的風險優先處置順序與做法。做法上的不一致,不但會導致人員花心力做重複的工作,還會造成風險分析的落差。供應鏈人員也是首要考量事項之一。 每個組織都想要知道誰能存取所屬資料,以便防範出現人為責任、影子 IT 與其他內部威脅。
在供應商風險管理上,我們需要隨時可用的自動化整合策略,然而目前的程序並不適用於這項任務。為了確保您的供應鏈安全,請務必備妥可重複的流程,以便隨時擴充以滿足組織創新所需。Microsoft 將投資項目分為九大安全供應鏈 (SSC) 工作流,有條理地評估並緩解個別領域的風險:
在供應鏈風險管理上,當務之急是要運用整合式解決方案充分掌握擁有組織資料最終存取權限的人員。儘管可推動零信任歷程的地方眾多,起始多重要素驗證 (MFA) 才是您的優先要務。
美國白宮最新消息
2021 年 5 月 12 日,美國白宮發布編號 14028 號,旨在提升國家網路安全的行政命令 (EO),該命令要求聯邦政府機構與其技術供應商必須遵守特定步驟以強化供應鏈安全。這 項行政命令要求軟體供應商遵守有助於強化其攻擊抵禦能力的規定,包括確保軟體開發做 法的安全、實施軟體驗證與漏洞檢查、建立軟體物料清單 (SBOM)、提出漏洞揭露計畫, 以及其他安全的做法等。
對於聯邦政府機構裡具有特殊存取權限的軟體使用者來說,這項編號 14028 的行政命令 呼籲他們實作由國家標準與技術委員會 (NIST) 發布的安全性措施。Microsoft 長久以來 持續投資開發最佳做法以確保軟體開發安全,同時投入了相當的人力物力來界定適用整個產業的做法與共識標準,包括透過 SAFECode、ISO/IEC 與 NIST 的國家網路安全卓越中心 (NCCoE) 來推動「實作零信任架構」(Implementing a Zero Trust Architecture) 專案。
IoT 與 OT 安全性
在雲端連網技術大行其道之際,IoT 與 OT 儼然成為網路不可或缺的另一部分。而且由於 IoT 與 OT 裝置一般都部署於不同的環境裡,例如工廠、辦公室大樓內部、遠端工作站或是關鍵基礎架構等,暴露在外的安裝方式讓它們成為明顯的攻擊目標。考量到隱私保護與法務遵循,我們需要對各項裝置實施全方位的保護策略,以推動無落差的資訊安全及治理。
要運用零信任安全模式來確保 IoT 解決方案的安全,必須建立在五大需求的基礎上:
- 實作強式身分識別來驗證裝置:註冊裝置、發行可更新的認證、運用無密碼驗證, 以及使用硬體信任根,在進行決策之前確保身分正確無誤。
- 維持最低存取權限以縮小損害範圍:實作裝置與工作負載存取控制,以控制任何可能遭受入侵 (或是任何執行未經核准之工作負載) 的身分識別所引發的潛在損害。
- 監控裝置健全狀態以便設下存取門檻或是標示需要修補之處:檢查安全設定、評估漏洞與不安全的密碼,然後監控進行中的威脅與異常行為警示以建立風險剖析。
- 部署連續更新以確保裝置健全:運用集中設定與法務遵循管理解決方案以及穩健的 更新機制,確保裝置為最新狀態且運作正常。
- 維持安全性監控與回應:運用主動式監控快速識別未經授權或遭到入侵的裝置。
「攻擊者會選擇『軟柿子』當做進入點。無論是透過魚叉式網路釣魚還是類似的攻擊手 法,攻擊者都能輕鬆存取 IT 系統並進而抵達 OT 系統,且反向進行同樣可行。在某個範 例當中,攻擊者運用魚缸系統成功入侵賭場的高額賭客資料庫,證明了在動機不良的攻擊 者眼中,任何具備連線能力的裝置都有可能成為入侵破口。」 — 《2021 年 Microsoft 數位防禦報告》
使用預設密碼可能有安全疑慮
Microsoft 的感應器網路提供我們超過 280,000 筆攻擊事件的原始資料,包括密碼資料。 毫無意外地,我們發現 96% 的攻擊嘗試使用少於 10 個字元的密碼成功登入。在這些密碼嘗試當中,只有 2% 的入侵嘗試會加上特殊字元,且有 72% 的入侵嘗試甚至不含一個數字。在長達 45 天的入侵嘗試裡,「admin」一字在 IoT 密碼裡就出現了超過 2 千萬次。
以管理 IT 的標準來管理您的 IoT
當組織評估所屬 IoT 與 OT 系統的安全性時,必須比照 IT 系統來實施。儘管電腦定期會 更新憑證,但是 IoT 裝置通常只有部署原廠預設的密碼。此外,攻擊者會同時將關注焦點放在 IoT 與 OT 之間的互動方式,這才是真正的隱憂。工業控制系統 (ICS) 通常會在翻新 時加上遠端功能,進而讓線上攻擊行為有機會造成實際損害。
為證明一般推薦的控制手法在防範攻擊行為上確實有效,Microsoft 特地為全球網路聯盟 (GCA) 所推動的一項研究計畫提供支援。GCA 針對真實攻擊資料的分析顯示,使用裝置製造商出廠預設的密碼,或是使用者設定的弱式密碼,都會讓 IoT 裝置暴露出最容易遭受攻擊的安全漏洞。這項發現可以歸結為四大 IoT 與 OT 安全性守則:
1.不使用預設密碼。
2. 實作漏洞洩露原則。
3. 確保軟體隨時更新。
4. 持續監控IoT通訊狀況,防範未經授權的通訊與攻擊行為。
深入了解
深入了解適用於 IoT 的 Microsoft Defender 如何保障您的 IoT 與 OT 裝置安全。 如需深入了解如何保護組織免於遭受供應鏈和 IoT/OT 的攻擊,包括高度安全裝置的七 特性,請下載《2021 年 Microsoft 數位防禦報告》。此外,請參閱我們以往針對 2021 年「網路安全認知月」的主題週所發布的部落格文章:
- 《#BeCyberSmart:一起學習,一起變得更安全》(#BeCyberSmart: When we learn together, we’re more secure together
- 《全新發布的 Microsoft 數位防禦報告對於網路攻擊最新面貌的描述》(How cyberattacks are changing according to new Microsoft Digital Defense Report)
- 《從網路安全業界的 7 位前瞻導師獲得職涯建議》(Get career advice from 7 inspiring leaders in cybersecurity)
- 《防禦專家招募 — 培養新一代的網路安全專家》(Defenders wanted—building the new cybersecurity professionals)
- 《民族國家層級攻擊行為的全新洞察》(New insights on nation-state attacks)
- 《混合式工作型態下,網路安全的全新洞察》(New insights on cybersecurity in the age of hybrid work)
請務必前往我們的「網路安全認知月」(Cybersecurity Awareness Month) 頁面,取得有 關如何保護組織全年安全的更多資源與資訊。我們需要您的參與。#BeCyberSmart 如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。
1《駭客運用遭到破解的密碼來入侵 Colonial Pipeline 公司》(Hackers Breached Colonial Pipeline Using Compromised Password),William Turton、Kartikay Mehrotra,Bloomberg。2021 年 6 月 4 日。
2《Microsoft 針對工業裝置 IoT 發出 25 道關鍵漏洞警告》(Microsoft Warns of 25 Critical Vulnerabilities in IoT, Industrial Devices),Elizabeth Montalbano,Threatpost。2021 年 4 月 30 日。
3《深入探究 Solorigate 第二階段啟動:從 SUNBURST 到 TEARDROP 與 Raindrop》 (Deep dive into the Solorigate second-stage activation: From SUNBURST to TEARDROP and Raindrop),Microsoft 365 Defender 研究團隊、Microsoft 威脅情報中心 (MSTIC)、 Microsoft 網路防禦作業中心 (CDOC)、Microsoft 資訊安全。2021 年 1 月 20 日。
4《研究人員表示 Kaseya 勒索軟體攻擊事件導致服務供應商遭到入侵》(Kaseya ransomware attack sets off race to hack service providers -researchers),Joseph Menn, Reuters。2021 年 8 月 3 日。
