零信任策略透過一些原則與優良的實務來提升 IT 基礎架構的安全與韌性,然而零信任是否可以為營運技術 (OT) 做些什麼?其實還蠻多的,只不過有些限制。
本部落格發表過一篇名為「IoT 與零信任 (Zero Trust) 不相容嗎?正好相反」的文章,開啟了各種有關哪些零信任元素可能適用於 OT 環境的探討。儘管零信任架構的原則無法「一對一」對應到 ICS 基礎架構,但零信任有許多可實質提升 OT 基礎架構韌性及安全性的地方。本文將列出零信任的主要原則,接著再看看它們如何對應至 Purdue 模型。
何謂零信任?
零信任模型包含四大主要原則:
- 存取權限的授予不能根據請求者的所在位置來決定,即使使用者或流程位於某網段內,也不能因此擁有該網段的資源存取權限。
- 請求者必須經過認證,換句話說,身分管理是零信任的一項先決條件。
- 網路必須分割,藉此將關鍵的元素互相隔離,限制惡意程式攻擊的影響範圍。
- 在授予權限之前,必須先評估請求者與流程的行為,而且授予權限之後還要持續定期監控。使用者認證的嚴格程度、網路分割的精細度,以及監控的頻率,全都取決於這些流程可管控的風險程度,同時還要衡量這些措施的複雜度以及工作負擔。
Purdue 模型
制定於 1980 年代的 Purdue 企業參考架構 (Purdue Enterprise Reference Architecture,簡稱 PERA) 定義了電腦整合製造營運技術的階層架構。其原始文件「The Purdue Reference Model for CIM」(電腦整合製造 Purdue 參考模型) 的內容遠超過我們所熟悉的示意圖,詳細說明了管理流程、人員、組織,以及外部影響。
這份文件預見了供應鏈安全、探討了組織與人員上的資安問題,並提出了工業機構的數位轉型模型。以下這張取自「工業控制系統 (ICS) 的網路資安 (上篇) 」一文的示意圖特別將 ICS 端點的位置標示出來:
採用零信任 (Zero Trust) 的挑戰
要落實零信任 (Zero Trust) 原則,就必須做到網路分割、在提供服務之前先透過認證技術來確認請求者的身分、啟用安全的點對點網路,並且監控裝置及對象的行為。然而由於技術上的限制,上述幾點對 ICS 來說似乎不太可行:感測器出廠就內建後門、裝置必須在現場調校、裝置要在工程師安裝時設定操作數值、許多裝置甚至連最簡單的認證功能也沒有,根本無法進行身分驗證。
不僅如此,很多裝置都不具備記錄檔功能,所以行為分析得仰賴裝置所在的網段邊緣蒐集到的監測資料,而這些資料有可能還不可靠。而網路本身也大多是傳統低頻寬網路 (儘管慢慢在改善),換句話說,它們的頻寬無法支援入侵指標 (IoC) 即時分析功能。此外,相較於簡單的扁平式網路,網路分割的成本似乎也很高。以上種種限制,意味著零信任 (Zero Trust) 無法全面地套用到整個 ICT 環境。
如何將零信任 (Zero Trust) 套用到 ICS 環境?
所以在這樣的條件下,要保護 ICT 環境的安全,就需要加強邊緣的防護措施,並設置更多邊緣,也就是說,盡可能做到網路分割來阻礙惡意程式試圖橫向移動。有了網路分割,資安團隊就能將信譽分析建立在個別網段 (而非個別裝置) 之上。這樣有助於將出現問題的區域隔離,方便進一步鑑識分析。盡可能要求使用者採用多重認證,當技術能夠配合時,部署支援安全協同處理器 (secure co-processor) 的處理器技術來負責處理系統修補、記錄檔、安全更新、分析以及認證。
現在,大部分的晶片廠商都提供了安全協同處理器。但由於價格仍舊偏高,所以大多數的機構還不會採用。由於 ICT 設備的使用年限大多超過 10 年,意味著它們很少升級而且資產支出也相當龐大。所以,既然市場機制無法讓進階資安技術普及,最終還是會透過法規的力量。
ICT 資安管理的複雜性會阻礙零信任的普及速度。一些已經認知到這項風險並投入全方位 IT/OT 資安計畫的企業也許會發現,採用一家同時具備 IT 與 ICT 領域專業能力的託管式資安合作夥伴 (MSP) 可以讓他們在這條路上走得輕鬆一點。儘管企業本身仍必須有自己的網路資安中心,然而一旦制定了明確的程序,那合作夥伴就能負擔絕大多數日常事件回應與矯正的工作。此外,合作夥伴還可以協助部署及維護一套可靠、值得信賴、強韌、又安全的基礎架構。
下一步
正如我們之前提過,零信任是一種模型和策略,並非產品。考慮到 ICS 網路的分割,再加上數位受攻擊面的擴大,使用多套不同單一面向產品來套用零信任模型會讓資安變得相當複雜,就算是最專業的 MSP 也難以勝任。
所以請尋找一套全方位的網路資安平台來將所有在 ICS 環境套用零信任模型必備的資安功能整合在一起。如此一來,不論是您的團隊或 MSP 都能從單一主控台一眼就看到任何可疑的使用者行為,方便進一步追查。
原文出處:How to Apply a Zero Trust Security Model to ICS 作者:William Malik