水处理等关键基础设施领域正成为勒索软件重点攻击的目标
近日,美国多家机构包括FBI、NSA、CISA和EPA联合发布网络安全咨询报告,数据显示,内部威胁和勒索软件是当前企业组织面临的主要威胁,而水处理等关键基础设施领域正成为勒索软件重点攻击的目标。报告重点披露了三起由勒索软件引起的美国水和废水处理设施 (WWS) 攻击事件,在所有攻击中,勒索软件都对受感染系统文件进行了加密,在其中一起安全事件中,攻击者破坏了用于控制监控和数据采集(SCADA)工业设备的系统。
此外,该报告还披露了攻击者用来破坏WWS设施的IT和OT网络的常见策略、技术和程序(TTP)。主要包括:针对性的鱼叉式钓鱼活动,向人员投送恶意负载,如勒索软件和RAT;利用在线公开的服务和应用程序,以实现对WWS网络的远程访问(即RDP访问);利用运行易受攻击固件版本的控制系统的漏洞。
攻击事件
网络安全咨询报告重点通报了今年以来,WWS遭遇的三次勒索软件攻击事件,分别发生在3月、7月和8月。
1、2021年8月,攻击者对位于加利福尼亚WWS设施实施Ghost变体勒索软件攻击,该勒索软件变种已在系统中存在大约一个月,并在三个SCADA服务器显示勒索软件消息时被发现;
2、2021年7月,网络攻击者使用远程访问将ZuCaNo勒索软件部署到缅因州WWS设施处理废水的SCADA计算机。此次攻击导致处理系统切换到手动模式,直到使用本地控制和更频繁的操作员巡查,才恢复SCADA计算机;
3、2021年3月,网络攻击者对位于内华达州的WWS设施使用了一种未知的勒索软件变体。该勒索软件影响了受害者的SCADA系统和备份系统。该SCADA系统提供可见性和监控,但不是完整的工业控制系统(ICS)。
缓解措施
报告建议WWS组织(包括美国和其他国家的DoD水处理组织),使用合适的缓解措施,以防止、检测、并应对网络威胁。
WWS监控
负责监控WWS的人员应检查以下可疑活动和指标。
- 出现在SCADA系统控件和设施屏幕上不熟悉的数据窗口或系统警报,这可能表明存在勒索软件攻击;
- 通过SCADA系统控制或水处理人员检测异常操作参数,例如异常高的化学添加率,该添加率用于安全和适当的饮用水处理;
- 未经授权的个人或团体访问SCADA系统,例如,未被授权/指派操作SCADA系统和控制的前雇员和现任雇员;
- 在不寻常的时间访问SCADA系统,这可能表明合法用户的凭据已被盗用;
- 原因不明的SCADA系统重新启动;
- 通常会波动的参数值停止变化。
这些活动和指标可能表明威胁行为者的活动。
远程访问缓解措施
资产所有者应评估与远程访问相关的风险,确保其处于可接受水平。
- 对所有远程访问OT网络(包括来自IT网络和外部网络)的行为,进行多因素身份验证;
- 利用黑名单和许可名单限制用户的远程访问;
- 确保所有远程访问技术,都启用了日志记录并定期审核这些日志,以识别未经授权的访问实例;
- 利用手动启动和停止功能,代替始终激活的无人值守访问,以减少远程访问服务运行的时间;
- 对远程访问服务使用系统审计;
- 关闭与远程访问服务相关的非必要网络端口,例如RDP–传输控制协议TCP端口3389;
- 为主机配置访问控制时,利用自定义设置来限制远程方可以尝试获取的访问权限。
网络缓解措施
在IT和OT网络之间实施强大的网络分割,限制恶意网络行为者在入侵IT网络后转向OT网络。
- 实施非军事区(DMZ)、防火墙、跳板机和单向通信二极管,以防止IT和OT网络之间的不规范通信;
- 开发或更新网络地图,确保对连接到网络的所有设备进行全面统计;
- 从网络中移除不需要进行操作的设备,减少恶意行为者可以利用的攻击面。
规划和运营缓解措施
- 确保组织的应急响应计划,全面考虑到网络攻击对运营可能造成的所有潜在影响;
- 该应急响应计划,还应考虑对OT网络访问有合法需求的第三方,包括工程师和供应商;
- 每年审查、测试和更新应急响应计划,确保其准确性。
- 提高对备用控制系统的操作能力,如手动操作,以及实施电子通信降级预案;
- 允许员工通过桌面练习获得决策经验,允许员工利用资源,如环境保护局(EPA)的网络安全事件行动清单,以及勒索软件响应清单,参考CISA-多状态信息共享和分析中心(MS-ISAC)联合勒索指南等,获得相关经验。
安全系统缓解措施
安装独立的网络物理安全系统。如果控制系统被攻击者破坏,这些系统可以在物理上防止危险情况的发生。
- 网络物理安全系统控制,包括对化学品进料泵尺寸、阀门传动装置、压力开关的控制等;
- 这些类型的控制适用于WWS部门设施,尤其是网络安全能力有限的小型设施,它们可以使工作人员能够在最坏的情况下,评估系统并确定解决方案;
- 启用网络物理安全系统,允许操作员采取物理措施限制损害,例如阻止攻击者控制氢氧化钠泵将pH值提高到危险水平。
额外的缓解措施
- 培养网络就绪的安全文化;
- 更新包括操作系统、应用程序和固件等在内的软件;使用基于风险的评估策略,来确定哪些OT网络资产和区域应参与补丁管理计划;考虑使用集中式补丁管理系统;
- 设置防病毒/反恶意软件程序,使用最新签名定期扫描IT网络资产;使用基于风险的资产清单策略,来确定如何识别和评估OT网络资产是否存在恶意软件;
- 在IT和OT网络上实施定期数据备份程序,如定期测试备份,确保备份未连接到网络,防止勒索软件传播到备份;
- 在可能的情况下,启用OT设备身份验证,利用OT协议加密版本,对所有无线通信进行加密,确保传输过程中控制数据的机密性和真实性;
- 对帐户进行管理,尽可能删除、禁用或重命名任何默认系统帐户;实施帐户锁定策略,降低暴力攻击的风险;使用强大的特权帐户管理策略和程序,监控第三方供应商创建的管理员级帐户;在员工离开组织后或帐户达到规定的使用时间后,停用和删除帐户;
- 实施数据预防控制,例如实行应用程序许可名单和软件限制策略,防止从常见勒索软件位置执行相关程序;
- 通过安全意识和模拟项目,训练用户识别和报告网络钓鱼等,识别并暂停出现异常活动的用户访问。
