CISA等机构联合发布网络安全咨询报告，水处理设施成勒索软件重点攻击目标 - 网安

近日，美国多家机构包括FBI、NSA、CISA和EPA联合发布网络安全咨询报告，数据显示，内部威胁和勒索软件是当前企业组织面临的主要威胁，而水处理等关键基础设施领域正成为勒索软件重点攻击的目标。报告重点披露了三起由勒索软件引起的美国水和废水处理设施 (WWS) 攻击事件，在所有攻击中，勒索软件都对受感染系统文件进行了加密，在其中一起安全事件中，攻击者破坏了用于控制监控和数据采集（SCADA）工业设备的系统。

此外，该报告还披露了攻击者用来破坏WWS设施的IT和OT网络的常见策略、技术和程序 (TTP)。主要包括：针对性的鱼叉式钓鱼活动，向人员投送恶意负载，如勒索软件和RAT；利用在线公开的服务和应用程序，以实现对WWS网络的远程访问（即RDP访问）；利用运行易受攻击固件版本的控制系统的漏洞。

攻击事件

网络安全咨询报告重点通报了今年以来，WWS遭遇的三次勒索软件攻击事件，分别发生在3月、7月和8月。

1、2021年8月，攻击者对位于加利福尼亚WWS设施实施Ghost变体勒索软件攻击，该勒索软件变种已在系统中存在大约一个月，并在三个SCADA服务器显示勒索软件消息时被发现；

2、2021年7月，网络攻击者使用远程访问将ZuCaNo勒索软件部署到缅因州WWS设施处理废水的SCADA计算机。此次攻击导致处理系统切换到手动模式，直到使用本地控制和更频繁的操作员巡查，才恢复SCADA计算机；

3、2021年3月，网络攻击者对位于内华达州的WWS设施使用了一种未知的勒索软件变体。该勒索软件影响了受害者的SCADA系统和备份系统。该SCADA系统提供可见性和监控，但不是完整的工业控制系统(ICS)。

缓解措施

报告建议WWS组织（包括美国和其他国家的DoD水处理组织），使用合适的缓解措施，以防止、检测、并应对网络威胁。

WWS监控

负责监控WWS的人员应检查以下可疑活动和指标。

出现在SCADA系统控件和设施屏幕上不熟悉的数据窗口或系统警报，这可能表明存在勒索软件攻击；
通过SCADA系统控制或水处理人员检测异常操作参数，例如异常高的化学添加率，该添加率用于安全和适当的饮用水处理；
未经授权的个人或团体访问SCADA系统，例如，未被授权/指派操作SCADA系统和控制的前雇员和现任雇员；
在不寻常的时间访问SCADA系统，这可能表明合法用户的凭据已被盗用；
原因不明的SCADA系统重新启动；

通常会波动的参数值停止变化。

这些活动和指标可能表明威胁行为者的活动。

远程访问缓解措施

资产所有者应评估与远程访问相关的风险，确保其处于可接受水平。

对所有远程访问OT网络（包括来自IT网络和外部网络）的行为，进行多因素身份验证；
利用黑名单和许可名单限制用户的远程访问；
确保所有远程访问技术，都启用了日志记录并定期审核这些日志，以识别未经授权的访问实例；
利用手动启动和停止功能，代替始终激活的无人值守访问，以减少远程访问服务运行的时间；
对远程访问服务使用系统审计；
关闭与远程访问服务相关的非必要网络端口，例如RDP–传输控制协议TCP端口3389；
为主机配置访问控制时，利用自定义设置来限制远程方可以尝试获取的访问权限。

网络缓解措施

在IT和OT网络之间实施强大的网络分割，限制恶意网络行为者在入侵IT网络后转向OT网络。

实施非军事区（DMZ）、防火墙、跳板机和单向通信二极管，以防止IT和OT网络之间的不规范通信；
开发或更新网络地图，确保对连接到网络的所有设备进行全面统计；
从网络中移除不需要进行操作的设备，减少恶意行为者可以利用的攻击面。

规划和运营缓解措施

确保组织的应急响应计划，全面考虑到网络攻击对运营可能造成的所有潜在影响；
该应急响应计划，还应考虑对OT网络访问有合法需求的第三方，包括工程师和供应商；
每年审查、测试和更新应急响应计划，确保其准确性。
提高对备用控制系统的操作能力，如手动操作，以及实施电子通信降级预案；
允许员工通过桌面练习获得决策经验，允许员工利用资源，如环境保护局（EPA）的网络安全事件行动清单，以及勒索软件响应清单，参考CISA-多状态信息共享和分析中心（MS-ISAC）联合勒索指南等，获得相关经验。

安全系统缓解措施

安装独立的网络物理安全系统。如果控制系统被攻击者破坏，这些系统可以在物理上防止危险情况的发生。

网络物理安全系统控制，包括对化学品进料泵尺寸、阀门传动装置、压力开关的控制等；
这些类型的控制适用于WWS部门设施，尤其是网络安全能力有限的小型设施，它们可以使工作人员能够在最坏的情况下，评估系统并确定解决方案；
启用网络物理安全系统，允许操作员采取物理措施限制损害，例如阻止攻击者控制氢氧化钠泵将pH值提高到危险水平。

额外的缓解措施

培养网络就绪的安全文化；
更新包括操作系统、应用程序和固件等在内的软件；使用基于风险的评估策略，来确定哪些OT网络资产和区域应参与补丁管理计划；考虑使用集中式补丁管理系统；
设置防病毒/反恶意软件程序，使用最新签名定期扫描IT网络资产；使用基于风险的资产清单策略，来确定如何识别和评估OT网络资产是否存在恶意软件；
在IT和OT网络上实施定期数据备份程序，如定期测试备份，确保备份未连接到网络，防止勒索软件传播到备份；
在可能的情况下，启用OT设备身份验证，利用OT协议加密版本，对所有无线通信进行加密，确保传输过程中控制数据的机密性和真实性；
对帐户进行管理，尽可能删除、禁用或重命名任何默认系统帐户；实施帐户锁定策略，降低暴力攻击的风险；使用强大的特权帐户管理策略和程序，监控第三方供应商创建的管理员级帐户；在员工离开组织后或帐户达到规定的使用时间后，停用和删除帐户；
实施数据预防控制，例如实行应用程序许可名单和软件限制策略，防止从常见勒索软件位置执行相关程序；
通过安全意识和模拟项目，训练用户识别和报告网络钓鱼等，识别并暂停出现异常活动的用户访问。