Page 16 - 清流雙月刊 NO.42
P. 16
MJIB
Familara 建議可採取以下步驟,以降 降低攻擊途徑的數量
低 ICS 受網路攻擊之衝擊:
所謂攻擊途徑(Attack Vector)是駭
一、 確保正確的身分識別─使用者的身分 客用來攻擊系統漏洞的管道,包括人為因
識別與管理是第一步工作,不論是區 素、電子郵件附件、網頁、彈出視窗、即
域網路或是廣域網路,身分識別與管 時訊息與聊天室等;其攻擊的方式,不外
理都必須有適當保護。 乎透過 virus、worm、Trojan horse 或是
port scan、sniffing 等來進行。
二、 定期更新組織的資產清單─組織資產
清單蒐集過程須可利用手動及遠端蒐 所謂攻擊面(Attack Surface)是指,
集方式進行,以達成資產清單為最新 未經授權的使用者(攻擊者)可以嘗試向
版本與完整之要求。 目標網路輸入數據或從目標網路中存取數
據等各種不同途徑(Attack Vector)的總
三、 確保組織在遭受攻擊後能落實緊急應
成,且由於網路技術蓬勃發展,相關新系
變處置─亦即需建立事件應變與復原
統又非常依賴網路,因此造成了一個可擴
之機制與能力。此項工作透過蒐集網
大的攻擊面。
路的事件日誌、系統日誌及緊急應變
處置(Incident Response)等數據方 以水領域為例,早期攻擊者可能只會
可達成。 針對自來水公司的計費系統,但現在則可
透過遠端操作攻擊不同面向的系統,且一
旦多個公用事業公司擁有相似的軟體管理
系統,則可能導致供應鏈攻擊連鎖效應。
根據加拿大 SaskEnergy 公司分析師的
經驗,建議可採以下步驟來降低攻擊途徑
之數量:
一、 應用程序白名單(Application Whitel-
3
isting, AWL) ─ AWL 僅允許執行受
信任的已知文件,定期審核以識別未
經授權的存取,另可檢測並阻止惡意
Familara 建議應定期更新組織的資產清單,並可透過手動及 軟體執行。
遠端蒐集方式進行,以達成最新與最完整版本之要求。
3
AWL 是一種端點上應用程式安全策略,預設拒絕其他所有程序,只允許經過驗證和授權允許的應用程式在端點上執行。而傳統黑名單
是列出已知惡意檔案,並阻止它們執行。比起黑名單,AWL 不需要跟上不斷變化的惡意入侵,取而代之的是維護已被核可的(有限)
應用程式。https://www.fineart-tech.com/index.php/ch/news/126-zerotrust/725-fineartsecurity-endpntzerotrust。
14 清流雙月刊
