威脅參與者如何進入 OT 系統(tǒng)
過去,網(wǎng)絡攻擊者在很大程度上忽略了操作技術(OT)系統(tǒng),例如工業(yè)控制系統(tǒng)和 SCADA 系統(tǒng),因為很難獲得專有信息,或者 OT 系統(tǒng)未連接到外部網(wǎng)絡且數(shù)據(jù)不易滲透。
但現(xiàn)在已經(jīng)不是這樣了。今天,許多工業(yè)系統(tǒng)都連接到公司網(wǎng)絡,可以訪問互聯(lián)網(wǎng),并使用從連接的傳感器和大數(shù)據(jù)分析的一切來改進運營。OT 和 IT 的這種融合和集成導致了越來越多的網(wǎng)絡風險,包括跨 IT 和 OT 的有效和有影響的網(wǎng)絡事件。
OT 世界中的網(wǎng)絡安全威脅與 IT 不同,因為其影響不僅僅是數(shù)據(jù)丟失、聲譽受損或客戶信任度下降。OT 網(wǎng)絡安全事件可能導致生產損失、設備損壞和環(huán)境泄漏。保護 OT 免受網(wǎng)絡攻擊需要一套不同于保護 IT 的工具和策略。讓我們看看網(wǎng)絡安全威脅通常如何進入 OT 的受保護環(huán)境。
進入 OT 的主要媒介
惡意軟件可以通過兩種主要媒介進入 OT 環(huán)境中的安全生產設施:通過網(wǎng)絡或通過可移動媒體和設備。
攻擊者可以通過跨可路由網(wǎng)絡的防火墻利用網(wǎng)絡資產進入 OT 系統(tǒng)。適當?shù)?OT 網(wǎng)絡最佳實踐,如網(wǎng)絡分段、強身份驗證和多個防火墻區(qū)域,可以大大有助于防止網(wǎng)絡事件。
BlackEnergy 惡意軟件在首次記錄的針對電網(wǎng)的有針對性的網(wǎng)絡攻擊中使用,它通過向網(wǎng)絡 IT 端用戶發(fā)送魚叉式網(wǎng)絡釣魚電子郵件危害了一家電力公司。從那里,威脅行為者能夠轉向關鍵的 OT 網(wǎng)絡,并使用 SCADA 系統(tǒng)打開變電站中的斷路器。據(jù)報道,這次襲擊導致超過 200,000 人在冬季斷電六個小時。
雖然“sneakernet”這個詞可能是新的或聽起來很尷尬,但它指的是這樣一個事實,即 USB 存儲設備和軟盤等設備可用于將信息和威脅上傳到關鍵的 OT 網(wǎng)絡和氣隙系統(tǒng)中,只需網(wǎng)絡攻擊者親自攜帶它們進入設施并將它們連接到適用的系統(tǒng)。
USB 設備繼續(xù)帶來挑戰(zhàn),尤其是當組織越來越依賴這些便攜式存儲設備來傳輸補丁、收集日志等時。USB 通常是鍵盤和鼠標支持的唯一接口,因此無法禁用它,從而啟用備用 USB 端口。因此,存在在我們試圖保護的機器上插入外來設備的風險。眾所周知,黑客會在他們所針對的設施內和周圍植入受感染的 USB 驅動器。員工有時會發(fā)現(xiàn)這些受損的驅動器并將它們插入系統(tǒng),因為這是確定其中一個驅動器上的內容的唯一方法——即使沒有任何標簽,如“財務業(yè)績”或“員工人數(shù)變化”。
Stuxnet 可能是最臭名昭著的惡意軟件被 USB 帶入隔離設施的例子。這種極其專業(yè)和復雜的計算機蠕蟲被上傳到一個氣隙核設施中,以改變可編程邏輯控制器 (PLC) 的編程。最終結果是離心機旋轉太快太久,最終導致設備物理損壞。
現(xiàn)在,生產環(huán)境比以往任何時候都面臨來自惡意 USB 設備的網(wǎng)絡安全威脅,這些設備能夠繞過氣隙和其他保護措施從內部中斷操作。《2021 年霍尼韋爾工業(yè)網(wǎng)絡安全 USB 威脅報告》發(fā)現(xiàn),從 USB 設備檢測到的威脅中有 79% 有可能導致 OT 中斷,包括失去視野和失去控制。
同一份報告發(fā)現(xiàn) USB 的使用增加了 30%,而其中許多 USB 威脅 (51%) 試圖遠程訪問受保護的氣密設施。霍尼韋爾審查了 2020 年來自其全球分析研究與防御 (GARD) 引擎的匿名數(shù)據(jù),該引擎分析基于文件的內容,驗證每個文件,并檢測通過 USB 傳入或傳出實際 OT 系統(tǒng)的惡意軟件威脅。
TRITON 是第一個被記錄使用的惡意軟件,旨在攻擊生產設施中的安全系統(tǒng)。安全儀表系統(tǒng) (SIS) 是工業(yè)設施自動化安全防御的最后一道防線,旨在防止設備故障和爆炸或火災等災難性事故。攻擊者首先滲透到 IT 網(wǎng)絡,然后再通過兩種環(huán)境均可訪問的系統(tǒng)轉移到 OT 網(wǎng)絡。一旦進入 OT 網(wǎng)絡,黑客就會使用 TRITON 惡意軟件感染 SIS 的工程工作站。TRITON 的最終結果是 SIS 可能會被關閉,并使生產設施內的人員處于危險之中。
物理設備也可能導致網(wǎng)絡事件
我們需要注意的不僅僅是基于內容的威脅。鼠標、電纜或其他設備也可以成為對抗 OT 的武器。
2019 年,惡意行為者將目標鎖定在有權訪問控制網(wǎng)絡的受信任人。該授權用戶在不知不覺中將真正的鼠標換成了武器化鼠標。一旦連接到關鍵網(wǎng)絡,其他人就會從遠程位置控制計算機并啟動勒索軟件。
發(fā)電廠支付了贖金;然而,他們沒有取回他們的文件,不得不重建,影響了三個月的設施。在使用設備之前,您必須了解設備的來源。
抵御網(wǎng)絡威脅的三個步驟
網(wǎng)絡威脅不斷演變。首先,定期檢查您的網(wǎng)絡安全策略、政策和工具,以掌握這些威脅。其次,USB 使用威脅正在上升,因此評估您的 OT 操作風險以及您當前對 USB 設備、端口及其控制的保護措施的有效性非常重要。
最后但并非最不重要的一點是,強烈建議采用縱深防御策略。該策略應分層 OT 網(wǎng)絡安全工具和策略,為您的組織提供最佳機會,使其免受不斷變化的網(wǎng)絡威脅的侵害。
