駭客盯上5G智慧製造破口 資安6大建議圍堵
記者吳佳穎/台北報導
全球網路資安領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 發表一份報告指出 4G/5G 企業專用網路 (以下稱企業專網) 容易被駭客攻入的4大塊破口,也模擬出11種攻擊情境,並提出6項建議來保護 4G/5G 園區網路。
趨勢科技指出,這份報告藉由一個模擬智慧工廠企業專網的測試環境,深入研究企業難以修補關鍵 OT 環境漏洞遭利用的困境,並詳細說明多種攻擊情境以及可行的防範措施。
駭客可能入侵核心 4G/5G 網路的重要破口為:
一、執行核心網路服務的伺服器:攻擊這些標準商用 x86 伺服器的漏洞和強度不足的密碼。
二、虛擬機器 (VM) 或容器:若未套用最新修補更新就可能成為破口。
三、網路基礎架構:修補更新經常忽略了網路硬體裝置也需要修補。
四、基地台:這些裝置同樣含有韌體,因此也不時需要更新。
趨勢科技表示,駭客一旦經由上述任一破口進入核心網路,就能在網路內橫向移動並試圖攔截或篡改網路封包。正如我們的測試環境所示,駭客可經由攻擊智慧製造環境中的工業控制系統 (ICS) 來竊取機敏資訊、破壞生產線,或者向企業勒索。
在報告中所示範的 11 種攻擊情境當中,破壞力最強的是攻擊 IT 和現場工程師經常使用的 Microsoft Remote Desktop Protocol (RDP) 伺服器。升級 5G 並不會讓 RDP 流量自動獲得保護,因此駭客可藉此下載惡意程式或勒索病毒,甚至直接挾持工業控制系統。RDP v 10.0 是目前最安全的版本,提供了一些安全措施來防範這類攻擊,但話說回來,企業要升級到最新版本仍可能存在困難。
趨勢科技提出以下幾項建議來保護 4G/5G 園區網路:
一、使用 VPN 或 IPSec 來保護遠端通訊通道,包括遠端據點與基地台。
二、採用應用程式層次的加密 (HTTPS、MQTTS、LDAPS、加密 VNC、RDP v10 以及像 S7COMM-Plus 這類具備安全性的工業協定)。
三、採用 EDR、XDR 或 MDR 來監控園區與中央核心網路的攻擊與橫向移動活動。
四、採用 VLAN 或 SDN 來進行適當的網路分割。
五、盡早套用伺服器、路由器與基地台的修補更新。
六、 採用專為 4G/5G 企業專網設計所設計的網路解決方案安全產品如Trend Micro Mobile Network Security(TMMNS) ,可在企業內部網路偵測及防範阻擋網路攻擊威脅及對終端聯網裝置進行零信任 (Zero Trust) 管理,透過資網路與無線網路提供雙層防護,提供最大保護效果。
企業專用行動網路的建置,不僅牽涉到終端使用者,更牽涉其他單位,如:服務供應商與系統整合商。此外,企業專用 4G/5G 行動網路屬於大型基礎架構,而且使用壽命很長,所以一旦建置之後就很難汰換或修改。因此,有必要一開始就內建資安防護,在設計階段就預先找出及預防可能的資安風險。
趨勢科技技術總監戴燊也表示:「製造業正走在工業物聯網 (IIoT) 潮流的尖端,善用 5G 無遠弗屆的連網威力來提升其速度、安全與效率。然而,新的威脅正伴隨著這項新技術而來,而舊的挑戰也需要解決。正如這份報告中提出的警告,許多企業都陷入無法承擔停機修補關鍵系統漏洞的成本,所以只好冒著漏洞遭到攻擊風險的困境。所幸,這份研究提供了多項防範措施與最佳實務原則來協助智慧工廠確保今日與明日的安全。」
附圖:
▲趨勢發布報告指出,駭客已盯上4G/5G智慧製造的企業網路破口,建議用6大策略圍堵。(圖/趨勢科技提供)
資料來源:
https://finance.ettoday.net/news/1993866#ixzz6wEPi04XT
sdn架構 在 台灣物聯網實驗室 IOT Labs Facebook 的最讚貼文
區塊鏈與物聯網融合發展的機遇與挑戰
鏈動活動精選
2021年1月13日 16:49
區塊鏈構建了一個分佈式點對點的系統,作爲一種安全可驗證的分散確認事務的機制,廣泛應用於金融經濟、物聯網、大數據、邊雲計算和邊緣智能領域。
1、區塊鏈賦能的邊緣智能與物聯網
在無人駕駛等高動態、超低延時、資源受限、數據與計算解耦的邊緣智能與物聯網的應用場景下,區塊鏈技術可以有效加速邊緣人工智能與物聯網計算的落地,其具有的安全可信、隱私保護、細粒度激勵等特點則爲邊緣人工智能與物聯網帶來了新的機遇。
邊緣人工智能計算中的節點本身及在相互通信的過程中可能會遭受網絡攻擊,而以區塊鏈作爲底層支撐的可信邊緣人工智能計算架構更適合於多變邊緣計算環境下的 AI 場景;
參與邊緣智能的節點可能存在惡意行爲,或者對於爲系統做貢獻的行爲缺乏足夠的激勵,同時信息與數據作爲人工智能的核心是不可或缺的,而區塊鏈技術可以有效激勵邊緣智能場景中信息與數據的共享與交換;
區塊鏈可以有效提升邊緣人工智能計算系統中數據管理、存儲和傳輸的安全性。
儘管將區塊鏈技術融合邊緣智能和物聯網具有諸多優勢,但是區塊鏈賦能的融合技術也存在許多的技術挑戰。
儘管將區塊鏈技術融合邊緣智能和物聯網具有諸多優勢,但是區塊鏈賦能的融合技術也存在許多的技術挑戰。區塊鏈本身的性能問題會在一定程度上限制其技術在邊緣智能與物聯網環境中的應用,尤其是事務吞吐量、交易確認時延、區塊容量等問題。對於硬件能力十分有限的邊緣設備來說,事務數量很難在本地保存完整的區塊鏈賬本,因此未來應該探索對資源有限設備更加友好的區塊鏈。
構建跨域 / 泛中心網絡中的分佈式信任
在邊緣智能計算的場景中,存在着更多設備與設備之間的合作。區塊鏈以其不可篡改性保證記錄數據的真實性,以其可追溯性和共識機制有助於確認記錄數據的可靠性,因而可以在跨域 / 開放網絡中更好地構建信任,但這一方面研究的難點在於:如何通過模擬實驗來驗證所提方案的有效性,如何設定信任的衡量方式,以及如何模擬部分節點不同程度的“不可信”情況。
羣智計算與數據隱私的權衡
區塊鏈具有匿名性、分散性、安全性等關鍵特性,因而被認爲能夠方便、高效、可靠、安全地應對系統中的安全和隱私問題。但是,這些基於密碼學中的算法還需要進一步設計與研究,比如交互式的零知識通信協議過於複雜,以致容易受到惡意軟件的攻擊;若採用非交互式簡潔零知識證明技術,其證明過程需要大量的內存,這意味着在受限設備上很難使用。
2、區塊鏈賦能的邊緣計算與物聯網
在物聯網時代,幾乎所有的電子設備都是物聯網的一部分,它們是數據的生產者和消費者。在未來幾年之內,這些終端電子設備的數量將會突破十億,由這些終端產生的原始數據量是巨大的。如果只依靠雲端進行處理,將會給雲計算帶來巨大挑戰,過去以計算資源集中爲特色的雲計算模式已經無法物聯網的泛在計算需求,邊緣計算正在成爲滿足物聯網的智能計算支撐平臺。
目前,業界已經在物聯網領域中開展了許多區塊鏈技術與邊緣計算的融合研究。然而,這些解決方案在數據安全、隱私保護、訪問控制、資源管理等方面仍有欠缺:
數據安全:
在物聯網邊緣計算中,攻擊者可能使用分佈式拒絕服務攻擊增加中心服務器的計算負擔,進而影響數據傳輸的正確性。使用區塊鏈技術可以進行去中心化的任務分配和調度,從而有效緩解攻擊帶來的危害。
隱私保護:
在物聯網邊緣計算場景下進行隱私保護也是一個全新的挑戰,可以利用受區塊鏈保護的智能合約對用戶自定義的敏感數據進行加密,並提供安全可信的條件訪問和解密查詢方法。
訪問控制:
藉助可信任的區塊鏈技術,可以進一步拓展物聯網邊緣計算訪問控制的功能。例如,針對物聯網中集中式授權造成的性能瓶頸或單點故障,可以利用區塊鏈技術對大型物聯網系統中的設備、服務和信息進行有效的訪問控制。
資源管理:
邊緣計算將計算任務遷移到附近的節點中處理,來緩解遠程雲服務器的壓力,降低網絡時延。現有的區塊鏈技術,大多需要強大的計算能力與能量消耗的支持。結合邊緣計算的特點,可以將構建區塊鏈所需的計算任務卸載到邊緣計算節點中,實現區塊鏈的快速構建。
3、區塊鏈賦能的軟件定義網絡與物聯網
軟件定義網絡(Software-Defined Networking, SDN)是一種新型網絡架構模型,其最大的優勢是在於將網絡中的數據平面和控制平面的解耦合,分離的數據平面和控制平面,打破了傳統網絡的網絡結構格局。並且,SDN 具有網絡全局拓撲,可以通過控制器管理數據流的轉發,能夠完成設備和數據的集中管理;簡化了數據平面的傳輸流程,統一的南北向接口在提升架構擴展性的同時,還實現了網絡的可編程化。因此,SDN 爲物聯網的實現提供了有效的解決方案。
然而,SDN 爲物聯網帶來種種優點的同時,也帶來了新的挑戰,包括如下幾方面:
服務質量問題:
由於集中式控制器的存在,在廣域網範圍內會存在實時調度服務質量底下的問題,無法滿足物聯網的 QoS 需求。
服務安全問題:
SDN 控制器在網絡控制決策中的決定性地位,很容易成爲攻擊者的目標,存在的 DDoS/DoS 攻擊、非法訪問、單點失效等安全問題,使得系統爲合法用戶服務的質量下降,甚至無法提供服務。
基於區塊鏈的去中心化、不可篡改、可追溯、高可信和高可用的特性,可以有效地緩解上述問題:
利用區塊鏈的智能合約技術賦予不同 SDN 控制器自主進行資源拍賣能力,以此確定不同業務對各類資源使用的優先級,並組成由不同資源連接而成的功能服務鏈。對於各種功能服務鍊形成的隊列,使用包含優先級調度模型、QoS 框架模型的多跳模型來保證隊列滿足物聯網 QoS 下的合理調度要求。
使用區塊鏈技術,在各 SDN 控制器上構建一個由一個可讀取、可添加、不可篡改的分佈式數據庫組成的區塊鏈存儲,共同維護區塊的記錄列表;並利用高效安全的共識算法對區塊的消息進行驗證,並建立分析模型對安全性以及性能進行分析。
資料來源:https://www.chainnews.com/zh-hant/articles/788808246284.htm?fbclid=IwAR3C3pUTTqj7b0YatHVVRZ6D5fOsXWnD6IYW5C1mMxdao1loRkHcoGPhUJc
sdn架構 在 矽谷牛的耕田筆記 Facebook 的最佳解答
#SDN閒談
今天來簡單跟大家科普聊聊所謂的 SDN(Software-Defined Networks) 軟體定義網路的簡單概念,到底其代表什麼,以及在什麼情況下我們需要去理或使用它
SDN 一詞的發展最早可以追朔到 2008 年由 Nick 教授所發表的論文,該論文中設計了一種嶄新的網路協定,稱為 Openflow, 期望透過 Openflow 這種協定來定義該如何傳輸封包,簡單的說就是「看到什麼樣的內容/標頭,就做什麼事情」。
SDN 的重大核心概念就是透過「軟體」去「定義」你的「網路行為」,系統中會有一個控制器,該控制器透過一種集中化的方式以上帝視角去窺視整個網路拓墣,並基於此架構下去進行網路封包傳輸的設計,譬如「我想要讓符合特定規則的封包可以通過,請幫我設定網路裝置A,B,C,D 來符合我需求」
發展了多個年頭後, Openflow 實際使用上遇到瓶頸,對於純軟體概念來說, OpenFlow 可以使用,但是要將這個精神給套用到硬體交換機上來達到又快速,又彈性的功能時就會遇到挑戰,因此後續又有新的技術誕生,P4(Programming Protocol-Independent Packet Processors),透過這套技術漂亮的解決過往 Openflow 太過制式化的問題。
SDN 的領域中,也有很多的相關開源專案,從常見的 OpenVswitch, ONOS, OpenDaylight 到 Stratum, SONIC 等都從不同面向來搭建出這樣的網路架構
但是,我自己認為 SDN 就是一個精神,你可以談廣義的 SDN,也可以談狹義的 SDN,有些人會認為 2008 以後所談的概念與技術才有資格稱為 SDN,也有人認為只要我能夠用軟體去控制這些封包傳輸,我就是 SDN,譬如我自己寫一套軟體去大量控管多節點的 iptables 來實現多節點的防火牆設計。
這種情況下,說是「軟體定義網路」也通,只是要如何解讀就是每個人信仰的不同罷了,其實沒有必要爭論誰才是正統,
SDN 就如同 DevOps, CI/CD 等概念一樣,都有一個參考的文化與概念,但是並沒有一定的實作方式,結果論來說就是,整個網路架構如何打造,對於開發者,對於維運者如何使用而已。
從我自己的角度出發,去看待這個產業反而最大的一個議題是,要同時找到會寫程式也有網路概念的人真的很難。
過往仰賴廠商解決方案的人,可能非常熟稔各自的操作模式,譬如各式各樣的 CLI 操作介面。
然而當這一切生態系被打破時,任何人都能夠透過撰寫程式來控管,用你習慣的程式語言來控制整個網路功能,譬如決定什麼樣的封包從哪個網孔出去,修改什麼樣標頭內容,又或是要如何解讀這些封包。要同時擁有寫程式以及網路概念就變得非常困難。
這邊的網路並不是單純大家熟悉的 TCP/IP 而已,實際上有非常多的概念與面向,譬如 Segment Routing, BGP/OSPF, VXLAN/GRE/GTP, VLAN/QINQ, MLAG/Bonding,甚至更複雜的 Broadband (OLT, ONU..), Mobile Core (LTE/5G)... 等
如果你對於 SDN 這個概念有興趣,非常推薦由 Open Networking Foundation (開放網路基金會) CTO 與他人一同撰寫的電子書,從系統化的角度帶你認識 SDN 的發展,從過去到未來
https://sdn.systemsapproach.org/index.html
sdn架構 在 【優質論文】SDN架構應用於多重無線存取頻寬聚合機制之研究... 的推薦與評價
【優質論文】SDN架構應用於多重無線存取頻寬聚合機制之研究. ... 是以本論文提出了基於軟體定義網路(Software-Defined Networking;SDN)之多重無線存取頻寬聚合機制, ... ... <看更多>
sdn架構 在 什麼是SDN 的推薦與評價
全名是: 軟體定義式網路(Software defined Networking,SDN). 要了解 SDN 之前,要先了解現今網路架構中,路由器除了硬體上俱備有轉送資料的能力外 ... ... <看更多>