網路資安威脅
5G 移轉:園區網路的資安問題
4G/5G 園區網路的出現,象徵電信技術在各產業逐漸扮演重要角色。而全球的企業機構,即使尚未開始導入 5G 技術,也都在期待 5G 將帶來的效益。無可避免地,在未來幾年之內,5G 必將帶動產業及商業轉型。任何想要搭上這波 5G 潮流的產業,應該都會向電信業者租用 5G 網路或是架設自己專用的 5G 園區網路。企業機構與 IT/OT 專家皆應跟上時代來迎接這些機會並思考帶來的資安挑戰。
趨勢科技研究團隊深入探討了負責營運及維護工廠、基礎建設及其他類似環境的 IT 與 OT 專家在建置 4G/5G 園區網路時可能遭遇的問題。我們測試了幾種經由已遭駭入的園區網路 (尤其是當中的核心網路) 發動的駭客攻擊情境。接下來將概略討論這些威脅並提出應對之道。
從已遭駭入的核心網路發動的常見攻擊
以下是幾種從 IP 網路發動 (因此還算在 IT 人員專業範疇內) 的常見駭客攻擊。在這些攻擊情境當中,駭客必須先掌握一些核心網路入侵點的控制權。我們的研究列出了幾種可能的入侵點:執行核心網路服務的伺服器、虛擬機器或容器、網路基礎架構,以及基地台。
駭客只要能掌握這些入侵點,就不必具備電信領域的專業知識,可以直接從 IP 網路發動攻擊。即使這類攻擊情境並不侷限於行動網路,卻突顯出一項重要問題,那就是:核心網路一旦遭到入侵就可能成為工業控制系統 (ICS) 端點威脅入侵企業的破口。
以下列出幾種攻擊情境,以及建議的防範之道:
DNS 挾持
情境:
駭客可將某個惡意的 DNS 指派給行動網路用戶設備 (user equipment, UE) 來挾持合法 DNS 的回應,或者單純篡改 DNS 伺服器上的資料。
如何防範:
- 部署網路監控設備或 EDR 產品來偵測不尋常的 IP。
- 使用提供加密和憑證綁定 (Certificate Pinning) 的工業通訊協定。
MQTT 挾持
情境:
一旦發送至雲端或後台伺服器的監測資料或訊息遭到篡改,分析邏輯與統計數據就會受到影響。此外,駭客還能攔截 MQTT 來 暫時掩蓋 他們在遠端據點的活動。
如何防範?
- 使用 MQTTS 搭配使用者名稱、密碼和憑證綁定。
Modbus/TCP 挾持
情境:
駭客可撰寫一個 Modbus 解析器 (parser) 來修改封包內的 Modbus 功能代碼與資料數值 。
如何降低風險?
- 遠端據點與園區內的核心網路之間應架設加密的 VPN 連線,
- 切勿使用連接埠轉發 (port forwarding) 功能。
下載或重設無防護的 PLC
情境:
假使 PLC 沒有讀/寫保護功能,駭客就可以上傳程式設計區塊 (programming block) 並取得設計。如果 PLC 有設保護,那駭客可能還是能夠將 PLC 重設回原廠初始狀態,然後下載新的設計 來干擾生產流程。
如何防範?
- 架設加密的 VPN。
- 在部署 PLC 時要設定讀/寫保護。
- 將 PLC 韌體升級到最新版本來支援 Challenge/Response (質詢/應答) 認證。
遠端桌面
情境:
視加密選項設定而定,駭客可在封包的遞送及轉發點上攔截用戶裝置與外部網路之間的封包,如此就能竊聽遠端桌面 (RDP) 連接埠 3389 或 VNC 連接埠 5900 的通訊內容,進而側錄鍵盤輸入和密碼。
如何防範?
- 為確保 VNC 安全,請啟用 TLS 加密與 X.509 憑證綁定。
- 為確保 RDP 安全,請使用第 10 版或組態設定較安全的版本,切勿為了向下相容而選擇較不安全的組態設定。
SIM 卡更換
情境:
駭客可將 SIM 卡安裝到自己的裝置上,就能存取園區網路、掃描網路是否存在漏洞,或者攻擊其他裝置。
如何降低風險:
- 使用一套 IMSI/IMEI 管理系統,例如 Trend Micro™ Mobile Network Security (TMMNS),來管理 SIM 卡綁定狀況,必要時可撤銷來路不明 SIM 卡的存取權限。
行動網路特有的攻擊
行動網路特有的攻擊只能透過行動網路發動,所以解決行動網路特有的攻擊情境,是企業縮小 IT、OT 與 CT (電信技術) 之間知識差距一個不錯的起點。
以下是我們研究所列出的幾種攻擊情境,以及建議的防範之道:
存取點名稱 (APN):看不見並不代表安全
情境:
駭客會使用他們自己的電信基礎架構來尋找未加密的通訊,即使企業自行指定了存取點名稱 (APN)。
如何防範?
- 請記住,自行指定 APN 並不代表加密。
- 請在工業網路路由器上自行指定 VPN,且工業現場還要再配合使用一些安全的通訊協定,如:HTTPS、MQTTS 與 S7Comm-Plus 等等。
簡訊 (SMS) 暴力登入攻擊
情境:
如果駭客知道電話號碼,以及某個工業網路路由器的 IMSI 且路由器支援簡訊備份的話, 駭客最多只需猜 10 次就能暴力破解簡訊指令密碼。
如何防範?
- SIM 卡切勿隨便丟棄。
- 簡訊密碼請設長一點。
- 請設定「信任的電話號碼」,而非接受來自任何電話號碼的簡訊。
假冒 GTP 攻擊
情境:
在不曉得 TEID 情況下,駭客會發送一個假冒的 GTP 封包給基地台,這樣就能越過目的地端的防火牆規則。如此一來,當目標裝置收到假冒的封包時會以為是合法的封包。
如何降低風險?
- 安裝一套支援 GTP 協定並能偵測 TEID 暴力攻擊的網路入侵防護 (IDS/IPS)。使用 IPsec 或 VPN 來保護基地台與核心網路之間的連線。
通訊技術
未來勢必將有更多企業機構規劃部署園區網路,並採用 5G 技術來滿足日益增加的多樣化需求。因此,企業絕對必須做出調整,尤其是在基礎架構中導入 5G 核心網路時,必須為日益演變的情勢預做準備。
根據我們的研究,園區網路讓企業邁入了全新的通訊技術 (CT) 領域,其與 IT 和 OT 皆同樣重要。未來,企業必須將 IT、OT 和 CT 全都納入考量才能制定一套更好的資安架構。現在,IT 和 OT 專家必須開始充實新知,因為兩者之間的責任劃分界線越來越模糊,而電信技術也將在工業環境扮演更吃重的角色。
以下提供一些必要的資安建議給企業參考:
- 採用應用程式層加密 (如 HTTPS、MQTTS、LDAPS) 或任何設計完善的工業通訊協定。
- 採用網路隔離 (如 VLAN 和 IPsec) 來保護園區網路的工業設備。
- 盡速套用作業系統、路由器、基地台等所發布的修補更新以防範園區網路遭到駭客攻擊威脅。
- LTE 和 5G 無法自動提供加密,因此請採用 VPN 或 IPsec 來保護遠端通訊管道,包括遠端據點和基地台。
趨勢科技的這份「來自 4G/5G 核心網路的攻擊:工業物聯網在已遭入侵的園區網路內的風險」(Attacks From 4G/5G Core Networks: Risks of the Industrial IoT in Compromised Campus Network) 報告中對於園區網路組成元素,及各種不同的攻擊情境以及潛在後果有更詳盡的說明。
原文出處:The Transition to 5G