出處:DIGITIMES企劃 https://www.digitimes.com.tw/iot/article.asp?cat=130&cat1=40&cat2=10&id=564414
無庸置疑,對於IC設計、設備機台製造商、工業控制電腦...等等各類型智慧製造業者來說,智慧財產正是公司永續發展的最大命脈,如何守護這條命脈,可謂至關重大。無奈的是,儘管企業費心建立一道道防護堡壘,在未充分掌握研發與IT整合環境下,依然難以完全遏阻資料外洩的情事,讓管理階層不禁納悶,背後真相究竟為何?
精品科技資安顧問陳伯榆點出第一個可能的破口,便是研發部門,也是公司最難管理的一環。研發創造企業利潤,亦利用自身技術建立自己對研發資料管理應用的手段,往往這些手段是IT與稽核不易發現掌握的。他指出研發人員經常需要連結GitHub,下載可用的程式碼資源進行修改或上傳,此乃不可避免之事,而公司為防止研發同仁順勢把程式碼上傳GitHub,多已設立一些防護措施,透過MIS設計防火牆規則,只允許從GitHub下載檔案,至於像是PUT、POST或TLS2等上傳結構則完全封鎖,研發同仁僅能利用內部落地Git或SVN伺服器留存開發成果。
隱藏問題來了,即便公司切斷TCP協定或管控IP,研發人員依自身能力可寫code透過UDP協定,一旦IT輕忽一樣可能突破防火牆,將檔案送上GitHub或其他公有雲儲存空間。例如W3C同意以Quic為標準協定、DoH(DNS over HTTPs)的應用...等都創造許多可能的技術,可穿透內部防護的機會。
「研發人員非一般性行政管理人員,大家總把研發人員想得太過單純,爬文找技術是他們的本能。」陳伯榆說,他們擅長寫程式,懂得將資料寫入硬體晶片儲存與網路技術,在網路加以爬文相關資安駭客技術,若有心把機密偷出公司大門,可變換的招式其實不少,舉凡整合式開發環境(IDE)工具、CMD、PowerShell Script、AP Call conhost.exe多線程運行,都算是有助研發竊取資料實現目標的利器。比方說,工程師在研發過程中,可能以處理程序之間通訊(IPC)的方式來呼叫各種應用程式,此時被呼叫的應用程式,繼承原IDE工具較高的執行權限,以致能輕易避開某些IT管制措施,傳送資料到外部,或將程式碼寫入開發板的儲存空間,再伺機夾帶出境;甚至有些高手會利用IDE啟動DNS通道,再將機密外送。
除內賊外,還有另一個破口,可能致令公司的智慧財產外流。例如有些生產工具機或機台的業者,將產品外銷至國外的同時,可能遭受逆向工程的破解,導致日後山寨版工具機問市。
持續精進控管功能,阻斷內外威脅風險之路
針對前述導致機密外洩的內外威脅,精品科技備妥反制利器,運用旗下X-FORT電子資料控管系統的SVS模組(Secure Virtual Storage),加上SVT模組(Secure Virtual Tunnel),構成雙重保護,一來可阻止有心人利用外部服務、或未受防護的網路通道,將程式碼或公司機密外洩,二來利用SVT敵我識別限定網路連線,僅允許研發同仁連線到信任受管控伺服器,達到合理的程式管控、資料查詢及函式庫下載,舉凡列印、螢幕擷取等不被允許的行為通通會被檔下。更重要的,萬一研發人員利用IDE、CMD、PowerShell batch批次模式做出任何事,從輸入到執行後的輸出結果,有完整的軌跡記錄,可望遏止內外部風險。
陳伯榆表示,為協助用戶不斷增強檢測與阻止入侵的能力,精品科技持續挹注研發能量,力求進一步擴大X-FORT防守範圍,譬如針對MITRE提出的ATT&CK資安架構深入研究,逐一檢視292項入侵或竊取技術,做為X-FORT功能精進的參考依據。
與此同時,考量跨國性企業或新創公司的研發同仁經常有差旅需求,可能將研發電腦隨時帶往世界各國,恐有脫離公司管制措施之虞,因此開始支援X-FORT雲端化,讓企業將X-FORT運行於Azure平台,使控管範圍沒有死角,萬一有工程師躲在全球不同角落做出異常行徑,也都即時將記錄上傳。