駭客盯上5G智慧製造破口 資安6大建議圍堵
記者吳佳穎/台北報導
全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 發表一份報告指出 4G/5G 企業專用網路 (以下稱企業專網) 容易被駭客攻入的4大塊破口,也模擬出11種攻擊情境,並提出6項建議來保護 4G/5G 園區網路。
趨勢科技指出,這份報告藉由一個模擬智慧工廠企業專網的測試環境,深入研究企業難以修補關鍵 OT 環境漏洞遭利用的困境,並詳細說明多種攻擊情境以及可行的防範措施。
駭客可能入侵核心 4G/5G 網路的重要破口為:
一、執行核心網路服務的伺服器:攻擊這些標準商用 x86 伺服器的漏洞和強度不足的密碼。
二、虛擬機器 (VM) 或容器:若未套用最新修補更新就可能成為破口。
三、網路基礎架構:修補更新經常忽略了網路硬體裝置也需要修補。
四、基地台:這些裝置同樣含有韌體,因此也不時需要更新。
趨勢科技表示,駭客一旦經由上述任一破口進入核心網路,就能在網路內橫向移動並試圖攔截或篡改網路封包。正如我們的測試環境所示,駭客可經由攻擊智慧製造環境中的工業控制系統 (ICS) 來竊取機敏資訊、破壞生產線,或者向企業勒索。
在報告中所示範的 11 種攻擊情境當中,破壞力最強的是攻擊 IT 和現場工程師經常使用的 Microsoft Remote Desktop Protocol (RDP) 伺服器。升級 5G 並不會讓 RDP 流量自動獲得保護,因此駭客可藉此下載惡意程式或勒索病毒,甚至直接挾持工業控制系統。RDP v 10.0 是目前最安全的版本,提供了一些安全措施來防範這類攻擊,但話說回來,企業要升級到最新版本仍可能存在困難。
趨勢科技提出以下幾項建議來保護 4G/5G 園區網路:
一、使用 VPN 或 IPSec 來保護遠端通訊通道,包括遠端據點與基地台。
二、採用應用程式層次的加密 (HTTPS、MQTTS、LDAPS、加密 VNC、RDP v10 以及像 S7COMM-Plus 這類具備安全性的工業協定)。
三、採用 EDR、XDR 或 MDR 來監控園區與中央核心網路的攻擊與橫向移動活動。
四、採用 VLAN 或 SDN 來進行適當的網路分割。
五、盡早套用伺服器、路由器與基地台的修補更新。
六、 採用專為 4G/5G 企業專網設計所設計的網路解決方案安全產品如Trend Micro Mobile Network Security(TMMNS) ,可在企業內部網路偵測及防範阻擋網路攻擊威脅及對終端聯網裝置進行零信任 (Zero Trust) 管理,透過資網路與無線網路提供雙層防護,提供最大保護效果。
企業專用行動網路的建置,不僅牽涉到終端使用者,更牽涉其他單位,如:服務供應商與系統整合商。此外,企業專用 4G/5G 行動網路屬於大型基礎架構,而且使用壽命很長,所以一旦建置之後就很難汰換或修改。因此,有必要一開始就內建資安防護,在設計階段就預先找出及預防可能的資安風險。
趨勢科技技術總監戴燊也表示:「製造業正走在工業物聯網 (IIoT) 潮流的尖端,善用 5G 無遠弗屆的連網威力來提升其速度、安全與效率。然而,新的威脅正伴隨著這項新技術而來,而舊的挑戰也需要解決。正如這份報告中提出的警告,許多企業都陷入無法承擔停機修補關鍵系統漏洞的成本,所以只好冒著漏洞遭到攻擊風險的困境。所幸,這份研究提供了多項防範措施與最佳實務原則來協助智慧工廠確保今日與明日的安全。」
附圖:
▲趨勢發布報告指出,駭客已盯上4G/5G智慧製造的企業網路破口,建議用6大策略圍堵。(圖/趨勢科技提供)
資料來源:
https://finance.ettoday.net/news/1993866#ixzz6wEPi04XT
同時也有3部Youtube影片,追蹤數超過2萬的網紅Wilson說給你聽,也在其Youtube影片中提到,#免費VPN #加密貨幣 #區塊鏈 #翻牆 #挖礦 #軟路由 區塊鏈VPN (DPN) Deeper connect 翻牆vpn 賺取加密貨幣 科學上網- Wilson說給你聽 大家有聽過VPN 那有聽過DPN嗎 DPN = Decentralized VPN 也就是去中心化 建立在區塊鏈技術上...
ipsec 在 XFastest Media HK Facebook 的精選貼文
[XF 開箱] 市場上的無線路由器產品多不勝數,一般在選擇時不外乎會比較無線收發速度以及所支援的制式,在功能上可能有部份玩家看中內建 VPN 伺服器或者雙 WAN 負載平衡等。近期 AX 無線制式興盛,一般雙天線 AX 連接的實際上下載速度經已突破傳統 1GbE 連接, 10GbE 高速網絡連接雖然開始流行,但能夠結合 AX 無線與 10GbE 的產品卻一直未見,
而 QNAP 就在近期正式推出首款無線路由器 QHora-301W,集結 SD-WAN、雙 10GbE 連接、AX 無線連接、自動組建 IPSec VPN、雲端管理等功能於一身。
#WiFi6 #Router #10GbE #QHora #301W #VPN #QNAP
https://hk.xfastest.com/66366/
ipsec 在 台灣物聯網實驗室 IOT Labs Facebook 的最讚貼文
萬物聯網有效益也有威脅 建立可信任安全生態刻不容緩
掌控資訊基礎架構風險 5G物聯網未來前景可期
2021-01-26顏志仲
物聯網作為近年來最熱門的議題之一,在這個萬物聯網的時代,隱私與安全是不可或缺的。然而,物聯網的安全並非是靠單一廠商一蹴可及,必須由各生態鏈的廠商共同建立可信任的安全生態方可成功。
新世代5G高速網路的佈建,再次讓物聯網的應用飛速成長。隨著物聯網設備進一步深入我們生活周遭,物聯網的安全更必須被高度重視。而物聯網的安全,需要整個生態鏈包含系統晶片、機板、OEM以及其上的系統軟體開發商共同努力方能達成。
工業物聯網之安全要求大不同
2020年各大電信業者5G陸續開台,隨著「高速度」、「低延遲」、「多連結」的網路到來,各式應用場景的討論絡繹不絕,熱鬧異常。軟硬體廠商均卯足全力,希望藉由新的網路型態在低迷的景氣中打造全新的商業機會。然而,在這樣各類新型態的應用即將面市之時,更應回頭關注一下物聯網的基礎架構風險。
物聯網資訊基礎架構風險地圖。
與傳統的資訊科技(IT)及運營科技(OT)相較,物聯網的安全則集其大成,強調隱私(Privacy)、安全(Safety)、資安(Security)、可信賴度(Reliability)以及資訊韌性(Resilience)。對傳統IT而言,生命財產安全的要求是相對陌生的,但別忘了,2010年Stuxnet造成了伊朗核電廠的高度破壞,到了現今汽車、家電、各式感測器連網的IoT時代, 不安全的資訊基礎架構能對日常生活造成什麼樣的破壞?隨著破壞的「所需成本」與「其影響層級」的重新再平衡,隱晦式的資訊安全(Security by Obscurity)早已不該成為唯一的安全機制。
物聯網之資安風險控制框架
那麼在萬物聯網的時代,物聯網的安全相較於傳統IT/OT會有哪些重點?參考工業網際網路聯盟(Industrial Internet Consortium,IIC)以及相關先進的建議,以下的物聯網資訊基礎架構風險地圖可以作為初步的參考。
端點與嵌入式系統層
物聯網興起之後,安全上最大的不同即落在端點及嵌入式系統這一端。這部分近年討論熱烈即是信任根(Roots of Trust),亦即將安全之信任基礎建置於硬體上,減少韌體遭竄改而導致的安全風險,其常見技術包含現場可程式化邏輯閘陣列(FPGA)、信賴平台模組(TPM)以及可信執行環境(Trusted Execution Environment)等。
總的來說,這些技術均透過端點硬體晶片上內建的安全設計,提供其上的系統軟體安全憑證、安全基礎認證、加密資訊儲存等基礎的安全功能。以此為基礎,就可以實作簽章以認證並授權核可的使用者或應用程式進行系統操作、比對Hash值嚴格控管開機程序,減低惡意程式預先載入系統的風險,或是以信任根驗證系統更新是否合法等等,進行各式端點的安全控管。必須特別注意的是,這樣的安全功能有賴各供應鏈包含系統晶片、機板、OEM以及其上的系統軟體開發商將其導入並實作,才能完備整個信任鏈的健全。
然而,現今許多正在進行的IoT專案有兩個共同難題,一是專案大多建置於多年前的基礎架構(Brownfield),難以將新式安全架構完整導入;另一難題則是受限的端點資源(Resource-constrained Endpoint),專案常因端點載具體積、耗能以及成本等多方考量,無法建置應有的安全功能。這時,只好仰賴資訊基礎架構風險地圖裡其他層的控管機制來緩解端點的安全疑慮。
通訊連接層
談到物聯網通訊,首先得提到其無所不在的網路(Ubiquitous Network)特性,亦即其網路已非傳統IT的多層式架構;再來就是其應用的通訊協定,多使用Fieldbus等通訊協定來連接各種不同的設備,這些歷史悠久的通訊協定因早期封閉式網路有著實體隔離的特性,極少內建安全機制。根據國外的研究,內建通訊加密與安全認證的工業用通訊協定不到十分之一。試想不安全的通訊協定連接上網際網路後可能對關鍵基礎設施(例如電廠、水壩)造成多大的安全風險?
然而,物聯網的趨勢總是得走下去,還是有一些方法來控制這些問題,包含網路實體隔離、透過虛擬機隔離作業系統核心、應用程序隔離等方法來控制風險,在架構允許的情況下,也應建置加密通道(例如MPLS)或是使用IPSec等加密技術來建立安全的傳輸通道。
此外,傳統的Gateway端防護依然是有效的,只是須特別注意的是,傳統的防火牆僅針對IT環境常見的設備建立預設的防護,對於工業用通訊協定的支援相當有限,另外也欠缺第七層應用層的關聯規則,這部分未來將有賴IT廠商、OT大腕及各業界專家們通力合作來完成了。
雲端平台與應用
基於地域性與可擴充性考量,現今越來越多的應用放置於雲端服務業者,這時候可以思考使用雲端安全聯盟的CAIQ(Consensus Assessments Initiative Questionnaire)來評估自身導入雲端服務的安全水準。而在系統開發的過程中,也必須遵行Security by Design的精神,早期將安全需求內建於系統中,其中,Right-size Security是相當重要的,必須考量安全遭破獲的嚴重性與影響層級,建立相對應的系統安全控制,方能說服主管機關與投資者。
而在最後的安全測試上,也必須著重End-to-End的安全測試,也就是從雲端平台一路到端點的安全測試,而非只是針對端點產品的安全測試與認證。需要知道的是萬物聯網的時代,任何一個節點的安全漏洞均可能導致整個系統全面性的破壞崩解。台灣身為ICT產業大國,資通產業標準協會(TAICS)業已參考國際標準制定網路攝影機等設備之資安檢測標準,政府亦積極發展物聯網資安認證標章,我們樂見各應用領域之安全檢測基準能夠順利地推展開來。
風險治理流程
在整體風險治理架構上,首要之務是進行風險評估,工業網際網路聯盟(IIC)已經建立IoT Security Maturity Model,將安全要求分為風險治理、安全功能與系統強化三大面向協助組織進行深度評估。另外,建立完整的安全組織與流程亦是絕對必要的,須知物聯網可能牽涉的是生命財產的安全議題,因此安全組織不能只是產品與IT人員,還須包含法務、公關、總務、客服等各單位,並進行完整之緊急事件應對演練,以備不時之需。 而在具規模的組織,建立相當的風險智能功能團隊亦是必要的。需要了解的是,物聯網設備多是專業領域之特殊應用,因此資料需要大量的領域專家進行分析解讀,這時亦可以應用機器學習技術使用監督式學習尋找錯誤資料,並進行風險評分,甚至可進階使用非監督式學習進行資料分類與異常分析,尋找系統優化之契機。
最後,這些風險分析的規則,最好能適度轉換成Machine Policy,建置安全智能於端點,使資料中心與端點通力合作,形成一個正向輪迴,持續強化安全偵測,阻擋威脅於機先。
物聯網安全之未來
物聯網作為近年來最熱門的議題之一,在這個萬物聯網的時代,隱私與安全是不可或缺的。然而,物聯網的安全並非是靠單一廠商就能一蹴可及,必須由各生態鏈的廠商共同建立可信任的安全生態方可成功。這個生態鏈中包含硬體製造商必須建立信任根,解決方案商基於硬體安全方案實作安全功能,系統維運商精實管理維運安全,最後加上安全認證的導入方能健全。
現今,已經看到硬體製造商提出多樣的安全晶片,政府亦積極推展物聯網安全標準,目前包含視訊監視器、無線路由器以及智慧運輸等,均有相對應的檢測單位。
放眼未來,樂見更多資源投入,發展更多領域的安全基準,更重要的是希望民眾能提高安全意識,方能促使廠商將相關安全要求導入產品與日常維運中,建立起更為安全、便捷的物聯網新世界。
資料來源:https://www.netadmin.com.tw/netadmin/zh-tw/viewpoint/26443E6FD1EE49CEB4A565A6F3A5A0FF?fbclid=IwAR0r3Vk8jZ784d2FzIyFT0tO03sJlt3wjh4K-eTxX6e70GSoVigky4HPFF4
ipsec 在 Wilson說給你聽 Youtube 的最佳貼文
#免費VPN #加密貨幣 #區塊鏈 #翻牆 #挖礦 #軟路由
區塊鏈VPN (DPN) Deeper connect 翻牆vpn 賺取加密貨幣 科學上網- Wilson說給你聽
大家有聽過VPN 那有聽過DPN嗎
DPN = Decentralized VPN 也就是去中心化
建立在區塊鏈技術上的VPN 已經在全球販售萬台以上的設備
現在也在台灣開始募資摟!
時間軸
00:00 開場
00:47 VPN用途
02:11 什麼是DPN
03:00 Deeper Connect Mini介紹
04:02 DPN實際使用
05:14 DPN 的核心功能 Smart Route
07:27 防火牆功能
07:44 Deeper Connect mini 總評
Deeper Connect台灣臉書社團: https://www.facebook.com/groups/deeperconnect
Deeper Network: https://deeper.network/
Flying V: https://bit.ly/3r1tVdp
DPR coin: https://coinmarketcap.com/zh-tw/currencies/deeper-network/
ipsec 在 Wilson說給你聽 Youtube 的精選貼文
#wifi #ipsec #vpn
自建IPsec VPN server 可以用來翻牆或是網路加密使用 - Wilson說給你聽
大家如果有使用機場或是旅館網路的經驗 其實這些網路因為對大眾公開 所以安全性相對來說比較低 因此可以用VPN的方式 在使用這些網路的時候進行加密 除了可以用買VPN的方式 還可以使用路由器內建的IPsec VPN server來建立自己的加密網路 這樣可以不用額外付費 另外還可以達到翻牆的功能
ipsec 在 Wilson說給你聽 Youtube 的最讚貼文
#vpn #翻牆 #科學上網 #openvpn
Open VPN使用教學實現翻牆以及科學上網
Open VPN算是一個比較容易入門且成本相對低的VPN工具
Wilson這邊就教學一下如何使用Open VPN達到科學上網 或是所謂的翻牆喔
Open VPN connect
https://apps.apple.com/tw/app/openvpn-connect/id590379981
Best VPN Proxy OvpnSpider
https://apps.apple.com/tw/app/best-vpn-proxy-ovpnspider/id928941628
ipsec 在 CCNA 認證教學: IPSEC 運作原理與實作 - YouTube 的美食出口停車場
CCNA 認證教學: IPSEC 運作原理與實作. 835 views • Jul 10, 2020 • 要考CCNA 請加入蕭老師 ... ... <看更多>