駭客盯上5G智慧製造破口 資安6大建議圍堵
記者吳佳穎/台北報導
全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 發表一份報告指出 4G/5G 企業專用網路 (以下稱企業專網) 容易被駭客攻入的4大塊破口,也模擬出11種攻擊情境,並提出6項建議來保護 4G/5G 園區網路。
趨勢科技指出,這份報告藉由一個模擬智慧工廠企業專網的測試環境,深入研究企業難以修補關鍵 OT 環境漏洞遭利用的困境,並詳細說明多種攻擊情境以及可行的防範措施。
駭客可能入侵核心 4G/5G 網路的重要破口為:
一、執行核心網路服務的伺服器:攻擊這些標準商用 x86 伺服器的漏洞和強度不足的密碼。
二、虛擬機器 (VM) 或容器:若未套用最新修補更新就可能成為破口。
三、網路基礎架構:修補更新經常忽略了網路硬體裝置也需要修補。
四、基地台:這些裝置同樣含有韌體,因此也不時需要更新。
趨勢科技表示,駭客一旦經由上述任一破口進入核心網路,就能在網路內橫向移動並試圖攔截或篡改網路封包。正如我們的測試環境所示,駭客可經由攻擊智慧製造環境中的工業控制系統 (ICS) 來竊取機敏資訊、破壞生產線,或者向企業勒索。
在報告中所示範的 11 種攻擊情境當中,破壞力最強的是攻擊 IT 和現場工程師經常使用的 Microsoft Remote Desktop Protocol (RDP) 伺服器。升級 5G 並不會讓 RDP 流量自動獲得保護,因此駭客可藉此下載惡意程式或勒索病毒,甚至直接挾持工業控制系統。RDP v 10.0 是目前最安全的版本,提供了一些安全措施來防範這類攻擊,但話說回來,企業要升級到最新版本仍可能存在困難。
趨勢科技提出以下幾項建議來保護 4G/5G 園區網路:
一、使用 VPN 或 IPSec 來保護遠端通訊通道,包括遠端據點與基地台。
二、採用應用程式層次的加密 (HTTPS、MQTTS、LDAPS、加密 VNC、RDP v10 以及像 S7COMM-Plus 這類具備安全性的工業協定)。
三、採用 EDR、XDR 或 MDR 來監控園區與中央核心網路的攻擊與橫向移動活動。
四、採用 VLAN 或 SDN 來進行適當的網路分割。
五、盡早套用伺服器、路由器與基地台的修補更新。
六、 採用專為 4G/5G 企業專網設計所設計的網路解決方案安全產品如Trend Micro Mobile Network Security(TMMNS) ,可在企業內部網路偵測及防範阻擋網路攻擊威脅及對終端聯網裝置進行零信任 (Zero Trust) 管理,透過資網路與無線網路提供雙層防護,提供最大保護效果。
企業專用行動網路的建置,不僅牽涉到終端使用者,更牽涉其他單位,如:服務供應商與系統整合商。此外,企業專用 4G/5G 行動網路屬於大型基礎架構,而且使用壽命很長,所以一旦建置之後就很難汰換或修改。因此,有必要一開始就內建資安防護,在設計階段就預先找出及預防可能的資安風險。
趨勢科技技術總監戴燊也表示:「製造業正走在工業物聯網 (IIoT) 潮流的尖端,善用 5G 無遠弗屆的連網威力來提升其速度、安全與效率。然而,新的威脅正伴隨著這項新技術而來,而舊的挑戰也需要解決。正如這份報告中提出的警告,許多企業都陷入無法承擔停機修補關鍵系統漏洞的成本,所以只好冒著漏洞遭到攻擊風險的困境。所幸,這份研究提供了多項防範措施與最佳實務原則來協助智慧工廠確保今日與明日的安全。」
附圖:
▲趨勢發布報告指出,駭客已盯上4G/5G智慧製造的企業網路破口,建議用6大策略圍堵。(圖/趨勢科技提供)
資料來源:
https://finance.ettoday.net/news/1993866#ixzz6wEPi04XT
同時也有1部Youtube影片,追蹤數超過2萬的網紅呂聰賢,也在其Youtube影片中提到,Google 認證 呂聰賢...
「vlan 網段」的推薦目錄:
- 關於vlan 網段 在 台灣物聯網實驗室 IOT Labs Facebook 的最佳貼文
- 關於vlan 網段 在 呂聰賢 Youtube 的最佳貼文
- 關於vlan 網段 在 Re: [問答] 跨網段的vlan? - 看板Network - 批踢踢實業坊 的評價
- 關於vlan 網段 在 不同的vlan,但相同的網段會通嗎? - Mobile01 的評價
- 關於vlan 網段 在 網路基礎及Vlan複習 的評價
- 關於vlan 網段 在 [請益] FortiNet 的route policy 與VLAN - 看板MIS - PTT網頁版 的評價
- 關於vlan 網段 在 網路規劃與管理技術:VLAN 網路設定 - YouTube 的評價
vlan 網段 在 呂聰賢 Youtube 的最佳貼文
Google 認證
呂聰賢
vlan 網段 在 不同的vlan,但相同的網段會通嗎? - Mobile01 的推薦與評價
同網段但不同vlan是不會互通的 不然切vlan有什麼用?? Vlan的作用就是把一台設備模擬成兩台設備 除非你兩個VLAN間再接一條線互連~~ 或是上層再接一台router指定路由~~. ... <看更多>
vlan 網段 在 網路基礎及Vlan複習 的推薦與評價
狀況B - PC0為其中一個可用IP,兩者遮罩相同,求PC1的IP · PC0的IP最後一碼為10且遮罩後該網段所有IP為8個 · 從0-7開始每8個唯一組判斷,10應該落在8-15之間 ... ... <看更多>
vlan 網段 在 Re: [問答] 跨網段的vlan? - 看板Network - 批踢踢實業坊 的推薦與評價
※ 引述《Powar ( )》之銘言:
: 公司規模日漸龐大 講了很久的vlan也真的打算要切了
: 但卻是另一個煩惱的開始 先來描述一下公司的環境:
: Core Switch是Cisco 3750 (有兩台 實際使用一台 一台備援)
: 底下以星狀拓樸接到22台3com 2924
: 目前公司有四個CALSS C 大約500台電腦含筆電
: 192.168.1.0/24 192.168.2.0/24 192.168.3.0/24 192.168.4.0/24
: IP部分皆為手動設定 同時在Load Balance上做MAC Binding
: 公司分為2F及3F 各處別"原則"上座位是群聚的
: 但因任務編組關係 組織及座位調整頻繁 所以目前各處幾乎涵蓋.1 .2 .3 .4 各網段
: 問題1:假如目前的IP配發不調整 同一vlan有辦法同時擁有4網段且不連續的IP嗎?
同一個Vlan發不同網段IP,可能有吧? 但是我不會做...@@
: ============================================================================
: 假設答案是否定 我想是不是搞台DHCP Server或是由3750本身作DHCP
: 然後各vlan直接取得不同網段的IP
: Server部分一樣手動設定IP 再靠3750作Inter-vlan Routing
: ============================================================================
: 問題2:vlan的切法 是直接在3com 2924上以port切? 還是cisco 3750以port切?
: 甚至是非常費工的以MAC來切?
: =============================================================================
你可以用3750做SVI
然後在各個Vlan做DHCP,然後連到3COM機器跑Trunk
或是用Access Port接也可以,但3COM記得設定相同Vlan
這樣以後維護3COM設備即可
但各網段可以藉由SVI互通喔
: 假如用3750以port切 可能4個port為一組vlan 或是以樓層分11個port為一組
: 而2924則不作任何設定 這樣的vlan是能溝通的嗎?
回答如上
3750怎麼切都可以,但依照你的架構,先做好平面圖與座位表Port的 Mapping
以後只要知道誰換到哪邊,就那個Port換一下Vlan不就好了?
一開始規劃和實作是很辛苦,但之後就會很輕鬆了
: 至於用2924的port切 可能是一個非常大的工程
: 人員位置簡直是一週一小變 一月一大變 這樣維護起來可能會很累@@
: MAC部分 我看了3com 2924好像沒有支援vmps 3750也只能當vmps client
: 所以以Mac來切可能會遇到問題?
: 還是其實2924可以無視 全部透過3750以及vmps server就可以搞定?
500台電腦,如果使用MAC,那維護才會讓人暈倒吧..
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.135.89.184
... <看更多>