2021年发生了多起影响工业和制造企业的网络安全事件。攻击者使用多种技术利用这些组织,包括直接或间接发起勒索软件和恶意软件攻击、破坏硬件漏洞以及瞄准其他安全漏洞。Industrialcyber访谈了知名网络安全公司的专家,就工业和制造业应对勒索攻击分享了他们的看法。 

  • 勒索软件的技术和运营模式演化发展非常快速;数量和质量都在快速改进;
  • 因IT系统遭勒索对OT的“外溢”影响远多于直接对OT系统的勒索;
  • 未知和不可修补的漏洞以及看不见的IT/OT融合点大量存在;
  • 漏洞利用后的策略应重点予以关注,意味着企业应更多关注业务弹性;
  • 网络TAP是解决OT网络完全可见性的根本之道,仅仅依靠SPAN端口是远远不够的;
  • OT网络安全应当拥抱AI等新兴技术;

如今,勒索软件攻击已上升为对国家安全的主要威胁,对企业(包括政府、医疗保健和关键基础设施部门)发起持续攻击。在2021年与去年同期相比,供应链网络攻击都有望翻两番,造成的系统宕机时间,金钱上的损失以及声誉损失。对于工业和制造企业来说,最大的网络威胁是缺乏知识和培训。通常,管理层甚至没有完全意识到风险,而且大多数员工几乎没有接受过有关如何识别和避免潜在威胁的培训。

从2019年到2021年,勒索软件运营的影响和规模不断增加,这在很大程度上是由勒索软件即服务(RaaS)商业模式的增长和推动,通过该模式,运营商向其他网络犯罪分子出售或租赁勒索软件。 

根据加拿大网络安全权威机构网络中心的数据,已知的赎金支付在从2019年到2020年迅速增加之后,似乎在2021年稳定在20万美元左右,比2020年的水平略有下降。与此同时,到2021年,从勒索软件事件中恢复的全球平均总成本(即支付赎金和/或修复受感染网络的成本)今年增加了一倍多,从2020年的970,722加元增加到2021年达到230万加元。

临近年底,工业和制造企业发现自己需要应对由Apache Log4j2系列漏洞引起的网络风险。利用这些漏洞之一,未经身份验证的攻击者可以在服务器上远程执行代码。即使接受数据输入的软件不是用Java编写的,也可以成功利用;此类软件可以将恶意字符串传递到其他用Java编写的(后端)系统。 

Apache软件基金会(ASF) 周五发布了另一个补丁版本 2.17.0,作为最初的log4j2漏洞,跟踪为CVE-2021-44228,已被各种威胁行为者滥用,从国家支持的黑客到勒索软件团伙和其他人将门罗币矿工注入易受攻击的系统。 

在关于2021年工业和制造企业面临的主要网络安全趋势方面,除了工业和制造企业在2021年的重点安全领域之外,还将研究勒索软件威胁在2021年对工业和制造企业的质和量变化。

Industrialcyber访谈了Garland、Darktrace、Mandiant等知名网络安全公司的专家,就工业和制造业应对勒索攻击分享了他们的看法。

Garland Technology 的营销和业务发展副总裁Jason Drewniak 

Garland Technology营销和业务发展副总裁Jason Drewniak在谈到美国政府为应对过去一年中不断上升的威胁形势而宣布的众多举措时表示,美国政府已经认识到保护ICS和OT环境等关键基础设施的紧迫性。立法和行政举措正在启动各利益相关者之间早就应该进行的对话,从而制定出有效的蓝图,以加强组织对ICS和OT 网络威胁的准备。

根据Drewniak 的说法,Garland Technology团队与ICS和OT客户的许多讨论都转向了乔·拜登总统关于“改善国家网络安全”(14028) 的行政命令的主题。每个人都在密切关注总统指令产生的建议和要求。作为业内值得信赖的合作伙伴,希望随时了解这些快速发展的进展。

Drewniak表示,勒索软件等威胁总是在不断演变,因为恶意行为者试图找到漏洞以破坏关键基础设施。在与客户的项目讨论中,Garland遇到了有关NIST及其提议的勒索软件管理网络安全框架配置文件(NISTIR 8374)的问题。该框架提供了一个可操作的路线图,以帮助组织应对勒索软件攻击并降低其对勒索软件攻击的敏感性。

Drewniak在探讨2021年工业和制造企业的重点安全领域时,随着OT系统变得更加复杂,设备种类繁多,远程连接和地理分布的设施,导致保护变得更加复杂,Drewniak表示,虽然防火墙长期以来一直是分割的基石在OT网络中,有数据二极管和防火墙的用例,以及数据二极管TAP变体。 

数据二极管也是一种安全屏障系统,但它使用单向数据传输协议在网段之间强制执行物理隔离,旨在消除后门攻击或破坏。数据二极管提供了一个物理和电气隔离层,旨在通过段之间的单向流量以消除攻击风险。

Drewniak补充说,数据二极 TAP通常会向安全监控工具发送流量的单向“副本,数据二极管TAP是专门构建的‘非智能’硬件设备,其电路在物理上没有将监控端口连接回网络,从而无法实现双向流量并确保安全工具或目的地与网段隔离。

Darktrace网络物理安全执行副总裁Jeff Cornelius

Darktrace网络物理安全执行副总裁Jeff Cornelius 表示,虽然美国政府宣布的有关ICS和OT的立法和行政举措是朝着正确方向迈出的重要一步,但它们只是迈向真正强大的工业网络防御的第一步。这些法规中的大多数都非常关注漏洞跟踪和修补。但现实是 a) 大多数ICS/OT漏洞没有实用的缓解建议,b)复杂的ICS/OT攻击通常利用零日漏洞(例如,在其披露之前的Log4J)。 

Cornelius表示,未知和不可修补的漏洞以及看不见的IT/OT融合点的现实意味着攻击者仍然可以潜入即使是最严格修补的环境。他补充说,组织不仅需要专注于修补边界,还需要将注意力转向后利用策略,也就是说,即使是最微妙的异常行为形式也可以识别,并在最早阶段消除新出现的攻击。

Cornelius说,勒索软件对工业和制造业的威胁确实发生了数量上的变化,随着勒索软件在更广泛范围内的兴起,对这些行业的攻击也在增加。然而,Colonial Pipeline和JBS Foods勒索软件事件突出了工业安全的一些方面,这些方面多年来一直构成重大风险,但在很大程度上无人注意——即IT攻击对OT系统构成的威胁。因此,从质量上讲,看到更多公开的攻击从IT向OT(JBS Foods)“溢出”,并且OT系统被手动关闭以避免这种溢出(Colonial Pipeline)。

在EKANS等勒索软件中,Darktrace看到攻击直接针对其杀伤链中的ICS进程。然而,这只是影响工业环境的少数勒索软件;现实情况是,IT攻击越来越直接或间接地影响OT。 

Cornelius说,专注于在孤立的能力中保护OT远远不足以抵御针对工业环境的网络攻击,尤其是快速移动的攻击,例如可以非常隐蔽地横向传播的勒索软件。像这样的攻击表明,需要对IT和OT进行统一保护——最好是通过一种能够理解这两种环境的复杂性并阐明两者之间任何融合点的技术。

Cornelius表示,随着工业和制造公司对其技术环境进行现代化改造,他们需要采用足够现代的安全策略。识别资产、识别漏洞并尝试修补它们(如果可能)都很重要。但这是必要的,而不是充分的。 

Cornelius指出,随着工业和制造公司接受远程连接、更先进的设备(如 IIoT)及其环境从广义上讲变得更加复杂,人工智能提供了一种理想的技术来理解这些复杂性和演变。人工智能可以处理大量数据,剔除噪音,实时发现真正具有威胁性的行为。数十年来,OT/ICS安全重点一直停留在过去。是时候让它们跟上21世纪的步伐了。

Cornelius表示,许多工业组织还没有为新一波的攻击做好准备,他们甚至常常没有意识到其环境中存在的当前漏洞和活跃威胁。因此,从广义上讲,工业和制造组织还没有做好准备。 

然而,好消息是可以随时使用复杂的技术来保护这些组织,Cornelius说。随着过去一年发生的重大OT/ICS安全事件,不再可能忽视威胁。问题只是这些组织愿意投资市场上最强大的安全技术,而不是专注于实现工业安全的最低公分母。

卡巴斯基最近的一份报告发现,许多组织在与ICS直接相关的计算机上存在妥协迹象,并表示已确定的趋势不仅会继续,而且会在来年获得新的关注。在评估工业和制造企业是否为此类入侵做好准备时,Drewniak 表示,要充分防范此类入侵,组织必须部署正确的资产管理、威胁检测和响应工具。 

当今,获得用于发现和管理的完整资产可见性始于网络TAP提供的100%数据包可见性。在今天的环境中,依靠交换机SPAN端口是远远不够的,因为它们不是为连续监控而设计的。 

另外,根据Drewniak的说法,网络TAP是一种专用硬件设备,它允许您通过复制数据包来访问和监控网络流量,而不会影响或损害网络完整性。TAP允许网络流量在其网络端口之间无中断地流动,创建流量两端的精确副本,连续 24×7。然后将重复的副本用于监控和安全分析,使网络TAP成为可靠的网络安全策略的基础。

Mandiant ICS Consulting技术经理Chris Sistrunk

Mandiant ICS Consulting 的技术经理Chris Sistrunk分析了政府的这些立法和行政举措如何帮助ICS和OT环境识别和改善其安全漏洞。这些安全漏洞早已为人所知,但直到现在基本上都没有得到大规模解决。因为他们要么不是受害者,要么没有被政府法规强迫提高他们的ICS/OT安全性。 

Mandiant情报分析经理Daniel Zafra

Mandiant情报分析经理Daniel Zafra在评估勒索软件威胁在2021年对工业和制造企业是否发生质和量变化时告诉Industrial Cyber,勒索软件威胁行为者已经发展了他们的策略,并希望勒索愿意支付的有钱公司,其中包括拥有ICS/OT系统来制造或交付其产品的公司。勒索软件在质量和数量上都发生了变化。

从质量上讲,在过去的两年里,Mandiant观察到勒索软件运营商从使用影响多个随机受害者的‘散弹枪’方法演变为后损害方法。这需要在整个生命周期中使用各种技术向目标组织撒网。最后,勒索软件运营商通过勒索受害者增加了获得赎金的机会(即,如果他们不支付赎金,运营商就会威胁发布受害者的数据)。

从数量上讲,Mandiant根据这些勒索泄漏暴露的数据跟踪的勒索软件事件数量从2020年的约1.5万增加到2021年的超过2.5万。实际事件数量可能甚至高于通过跟踪这些数字观察到的数量。

每家提高安全性的工业公司都采用不同的方式,因为他们的网络和ICS/OT系统的设计都不同(例如,内置不同年份、使用不同 ICS 供应商、不同应用程序等)。许多人专注于提高安全意识,并专注于强化ICS/OT网络的入口/出口点。根据Mandiant响应和研究勒索软件操作的经验,攻击者使用的勒索软件系列通常不能确定一次事件影响的严重程度。 

鉴于大多数勒索软件入侵都适用于在目标环境中工作,其影响取决于受害者的整体安全性和攻击者在攻击期间的选择。出于这个原因,我们建议组织通过从威胁情报出版物、信息共享组和其他开源研究。

勒索软件威胁行为者将继续发展策略和工具。在很大程度上,必须满足政府法规(如电力部门、核能、关键管道、关键化学品)的工业和制造组织将比不受监管或不关注ICS的组织准备得更充分安全计划。

Mandiant 金融犯罪分析主管 Kimberly Goody

Mandiant金融犯罪分析主管Kimberly Goody告诉Industrial Cyber,与去年同期相比,出现在勒索软件数据泄露网站上的制造组织增加了70%。

与2021年上半年和2021年下半年相比,出现在这些网站上的制造组织数量增加了25%。总体而言,多方面勒索攻击的威胁已经增加到所有组织。部署勒索软件的威胁参与者越来越多地改进了他们的能力和方法,使他们能够进行更多的攻击并扩大对单个受害者的影响。将操作阶段外包给其他威胁行为者,例如获得对受害者的初步访问权限,有助于促进这一点,因为它使他们能够专业化。

参考来源:

https://industrialcyber.co/threats-attacks/widening-threat-landscape-brings-multitude-of-challenges-to-industrial-manufacturing-enterprises/

网络安全 ics 网络攻击 软件安全 信息安全 勒索 漏洞
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接