工控网络攻击后果堪比武器

分析工控网络威胁和防御；认为工控网络(OT网络)的攻击已经武器化。

鉴于工控(OT)威胁的加速增长，IBM Security X-Force观察到的一些针对OT网络组织的最常见威胁，包括勒索软件和漏洞利用。IBM还将强调几种可以增强OT网络安全性的措施，这些措施基于X-Force 红队渗透测试团队的见解和X-Force事件响应经验，帮助OT客户应对安全事件。其中包括对数据记录系统和网络架构(如域控制器)的关注。

OT是控制工业过程的硬件和软件，如重型制造设备、机器人、石油管道或化学流体、电力设施、水和运输车辆的功能。

通常情况下，OT网络与拥有两者的组织中的信息技术(IT)网络是分离的。电子邮件、客户交易、人力资源数据库和其他IT与控制物理过程的技术是分离的。即便如此，针对IT网络的典型威胁仍有可能影响OT网络，特别是在细分不有效或在IT网络遭到攻击(如勒索软件)后，工程师决定关闭OT网络作为预防措施时。

OT网络面临的威胁可以说比IT网络面临的威胁更危险，因为可能会导致物理后果，如汽车事故、爆炸、火灾和其他可能的生命损失。这些结果使得网络攻击实际上变成了一种真实的武器。

 勒索病毒是工控网络最主要的攻击形式

在X-Force观察到的针对工控组织的所有攻击类型中，勒索软件是最主要的。事实上，X-Force观察到，在2021年针对工控组织的所有攻击中，近三分之一是勒索软件——这一比例明显高于任何其他类型的攻击。

在许多情况下，勒索软件攻击只影响网络的IT部分。然而，这些IT感染仍然会对OT网络管理的操作产生巨大的后果。X-Force和Dragos在2020年底的研究发现，56%对OT网络组织的勒索软件攻击在影响范围已知的情况下影响操作功能。在许多情况下，OT网络可能被关闭作为预防措施，以防止勒索软件蔓延到OT网络或负面影响操作。这就是2021年5月针对Colonial Pipeline的高影响勒索软件攻击的案例，该攻击导致美国几个州出现汽油短缺。

然而，在其他情况下，勒索软件确实会转移到网络的OT部分。Ryuk是IBM最常观察到的攻击OT网络的勒索软件

 Ryuk勒索软件在工控网络

2019年秋季，Ryuk勒索软件攻击了至少五个石油和天然气组织，这似乎是针对OT(特别是石油和天然气)实体的针对性行动的一部分。根据美国网络安全和基础设施安全局(CISA)的报告和Dragos的分析，根据美国海岸警卫队的报告，至少有一个组织是美国管道运营商的天然气压缩设施。

美国海岸警卫队2019年12月16日发布的《海上安全信息公报》指出，管道组织的IT和OT网络之间的隔离不足以阻止攻击者到达OT环境。该报告称，在感染了该组织的IT网络之后，“病毒进一步潜入了监视和控制货物传输的工业控制系统，以及对流程操作至关重要的文件进行加密。”公告进一步指出，攻击扰乱了摄像头和物理访问控制系统，并导致“关键过程控制监控系统”的丢失。

X-Force事件响应同样观察到Ryuk分支机构在攻击补救和调查中跨越OT网络，使用的方法与海岸警卫队观察到的类似。

2021年2月，法国政府的一份报告指出，更新的Ryuk变种具有蠕虫般的能力，可以在受感染的网络中自主复制。2021年6月，X-Force对Ryuk恶意软件样本的恶意软件分析证实了这些发现，类似地揭示了这些类似蠕虫的能力在更新的Ryuk变体。X-Force对Ryuk恶意软件的分析显示，样本被装入了类似于Emotet和Trickbot活动中使用的加载器中，Emotet过去也曾被认为蠕虫进入OT网络。

最近Ryuk勒索软件样本中新的蠕虫样特征可能会使该组织在未来的勒索软件操作中更有可能进入OT网络，特别是在不存在可靠分割的情况下。

 工控漏洞在野利用严重

X-Force事件响应数据显示，在2021年，漏洞利用是攻击者用来获得工控网络的未经授权访问的主要方法。事实上，到目前为止，X-Force在使用OT网络的组织中观察到的漏洞利用导致了令人震惊的89%的事件，这些组织的最初感染载体是已知的。

在2021年，X-Force还观察到威胁行为者利用CVE-2019-19781漏洞(Citrix服务器路径穿越漏洞)访问OT组织的网络。这是X-Force在2020年观察到的最容易被利用的漏洞。威胁参与者能够轻松地利用这个Citrix漏洞，以及它对关键服务器提供的访问级别，使得它成为多个攻击者选择的入口点。如果您的组织还没有这样做，我们强烈建议您修复这个漏洞。

 零日和供应链风险

在某些情况下，工控组织成为kaseya相关勒索软件攻击的受害者，利用零日漏洞和供应链式操作成为最初的感染载体。在Kaseya的案例中，Sodinokibi/REvil勒索软件运营商利用Kaseya的VSA软件(现在称为CVE-2021-30116)的零日漏洞进行了勒索软件攻击。这种攻击利用了先进的民族国家行为体更常见的攻击技术——即利用零日和供应链传播技术——这是非常难以防御的。

在另一起供应链攻击中，多个OT组织向X-Force寻求帮助，以确定太阳风供应链攻击对他们的影响程度。对于一些受SolarWinds攻击影响的OT组织来说，原始设备制造商(oem)是进入路径，突出表明攻击者试图利用供应商和客户之间建立的信任关系。原始设备制造商可以访问OT客户的网络进行远程维护，并且在这些远程连接中使用了泄露的SolarWinds软件。

诸如此类的例子突出了供应链操作对OT组织的重大风险

 工控网络防御:数据记录系统不能忽视

当涉及到OT网络安全时，X-Force Red渗透测试人员指出，数据记录系统通常会提供进入OT网络的可靠途径。损害数据记录通常会给OT网络带来损害的机会。因此，安全团队在识别和支持OT网络中的潜在弱点时，应该小心不要忽视数据记录系统。

数据历史记录是一种时间序列数据库，旨在有效地收集和存储工业自动化系统的过程数据。它广泛应用于OT网络、工业控制系统(ICS)和监控控制和数据采集(SCADA)网络。数据记录系统最初是为识别、诊断和修复可能导致昂贵停机时间的问题而创建的，现在仍然是最常用的。

对手能够获得访问数据历史，然后访问数据，分析和信息的控制系统在该组织-有用的侦察和进一步的攻击计划。此外，如果数据历史器是双归属的，数据记录器可以提供从IT网络到OT网络的路径。此外，数据记录系统往往在整个OT网络中有广泛的连接，这可以为攻击者提供一系列在OT环境中移动的潜在选项。

OT组织可以通过创建历史数据安全组来更好地保护数据，仔细定义谁可以访问这些组，密切监控有访问权限的账户，以确保它们不被窃取或滥用，并实施强大的身份验证措施。每当对数据历史记录中的数据或配置进行更改时，组织还可以使用电子签名和电子记录来要求身份验证。此外，将记录器放置DMZ可以帮助将其与OT网络隔离开来，同时仍然提供从IT网络的访问。

在IT基础设施中创建和使用“企业”数据记录器的情况并不少见。随着积极的云采用策略和工业物联网(IIoT)设备的增加，企业已经开始实施或将这些数据记录器转移到云环境中。通常，这些数据记录基于特定汇总数据。这种方法提供了可伸缩性和与基于云的存储和应用程序的无缝集成，以便在需要时实现安全的信息共享。然而，企业必须确保它们安全地存储数据，而不为攻击创造漏洞。

 工控网络安全的一些重要手段

保护工控网络比以往任何时候都更加重要。工控网络防御可以实施一系列措施来减少在他们的OT网络上遭遇网络事件的机会。其中一些措施旨在降低包括Ryuk攻击在内的勒索软件攻击的风险，而其他措施则有助于防止一系列不同类型的攻击，这些攻击有可能使OT网络武器化。

严格隔离OT和企业IT网络，理想情况下创建ISA/IEC 62443指南中建议的工业DMZ (iDMZ)。确保OT和IT环境之间的任何依赖关系都是已知的，并有良好的文档记录。使用微分割减少不同操作环境之间的依赖关系。网络和系统应该以这样一种方式进行架构，即能够从物理上将一个环境或系统从其他环境中拔下或隔离出来，并保持完整的操作。禁用不需要公共访问的OT域控制器、服务器和工作站的互联网访问;理想情况下，互联网连接的服务应该位于iDMZ。

对网络流量进行过滤，增强OT和ICS网络的防御能力，防止ICS协议穿越IT网络，禁止已知恶意IP地址的通信，监控OT和IT环境之间的通信。

通过仅使用绝对最小数量的域管理员帐户，锁定域控制器上的域管理员帐户，以防止获取凭证和删除所有帐户的本地管理员权限，减少域管理员帐户受损的机会。

确保健壮的安全监视功能通过一个不安全的实现操作中心(SOC)收集和相关安全信息从OT网络使用一个OT入侵检测系统(IDS),应用程序日志收集和存储在一个SIEM解决方案或有管理的检测和响应(MDR)服务。

在勒索软件紧急响应计划中包括对OT的影响。CISA建议考虑网络攻击可能对OT造成的全面影响，包括视野丧失、控制丧失和安全性丧失。仔细区分需要关闭操作环境的事件和不需要关闭操作环境的事件。

防范钓鱼攻击-一个常见的感染载体Ryuk勒索软件-通过实现一个电子邮件安全软件解决方案，包括在所有外部电子邮件上的横幅，与员工分享真实世界的钓鱼技术及其最终效果，禁用宏作为默认和使用基于行为的反软件解决方案来检测商品恶意软件，如TrickBot, QakBot和Emotet。

为您的团队投资于事件应对准备和培训。X-Force观察到，准备工作是区别于那些从勒索软件攻击中相对快速和容易恢复的组织和那些不能的组织的一个重要因素。创建和演练一个事件反应计划可以帮助你的团队发展肌肉记忆，在关键时刻做出适当的反应。此外，有特定的站点或OT安全网络事件响应计划和准备。每个OT环境都是独特的，有不同的产品和系统。当OT组织计划独立的应急响应计划时，他们应该设法制定一个特定于现场的事件响应计划。

使用安全渗透测试测试您的安全控制。不建议对现场生产OT环境进行渗透测试。但是，应该探索安全的机会，例如在工厂验收测试(FAT)、现场验收测试(SAT)或周转(维护)期间。

利用暗网分析或Shodan来监控受损资产。保持对网络上任何被破坏的设备(或攻击者可能用来破坏网络的信息)的意识有助于在必要时采取主动措施。Shodan可以通过对互联网进行扫描来帮助识别可发现的设备，并对暗网市场进行例行监控，以获取有关您的组织的信息，从而帮助您领先于潜在的威胁参与者。