爱游戏ayx网

如何保护OT/ICS系统免受勒索软件攻击

遵循以下预防提示,降低OT/ICS系统受到勒索软件攻击的风险

里克·考恩(Rick Kaun)和罗恩·布拉什(Ron Brash)著 2021年8月3日
礼貌:神韵的行业

在2021年5月6日至12日期间,Colonial Pipeline关闭了其运营,该公司称其信息技术(it)网络遭到了勒索软件攻击。Colonial Pipeline拥有从德克萨斯州到新泽西州的5500英里天然气、汽油和柴油管道。殖民地官员在一份媒体声明中指出损害仅限于他们的IT系统但该公司“主动将某些系统离线,以遏制威胁”。

该回应包括禁用部分操作技术(OT)/工业控制系统(ICS),“暂时停止了所有管道作业……我们正在积极恢复。”该公司补充说,其(OT)系统运行良好,关闭系统是一个可测量的响应,能够快速恢复。如果没有这种“充分的谨慎”,由于管道基础设施和上下游参与者的互联性(例如,托管传输、共享远程计量、可用存储/容量等),IT恶意软件可能会被证明更具破坏性。

自殖民事件以来,据报还发生了几起针对经营实体的主要勒索软件攻击事件:玛莎的葡萄园渡轮服务富士胶片,JBS肉类公司美国40%的肉类供应来自美国。此前,美国第二大纸业公司西岩集团(Westrock)也发生了几起大型公开勒索软件事件,Molson Coors以及今年的其他一些。

现实情况是,产业组织现在是勒索软件团伙的目标,因为失去可用性的影响是数百万美元,所以赎金要求可能相当高。最近的一份报告数字阴影发现工业产品和服务是2020年最受关注的行业,占29%。攻击次数超过了紧随其后的三个行业(零售、建筑和技术)的总和。

ransomware是什么?

勒索软件是病毒的一种形式,通常被称为恶意软件。本质上,攻击者找到一种方法(钓鱼、社会工程等)首先入侵目标网络。然后,他们的软件在网络上运行(穿越网络共享、本地驱动器等),用只有攻击者知道的密钥对所有发现的东西进行加密。如果受害者想要解锁文件,那就得花钱才能拿到钥匙。根据攻击者和受害者的具体情况,获取密钥和解密文件的成本可能从数百美元到数千美元,甚至数百万美元不等。

为什么要使用勒索软件,有什么潜在的影响?

勒索软件起源于诈骗和勒索犯罪世界,但从本质上讲,它也可以用于针对更大的资产所有者和组织,或掩盖其他可能更狡猾的活动。

让我们先来看看为什么勒索软件会成为当今行业组织的一大挑战:

  • Ransomware利用“可用性”风险,并且在工业组织中具有高度盈利。网络业务盗窃个人信息曾经是相当有利可图的,但该信息的价格随着供应增加而急剧下降。所以网络罪犯已经找到了新的商业模式。他们已经从“C”中转移到“C”中转移到“A”和“A”和工业组织需要可用性的“A”和“工业组织”,因此付款通常快速且大。
  • 在大多数情况下,保险支付了赎金和追索费用的很大一部分。因此,在现有政策到位的情况下,保险的存在对支付过程起到了润滑作用。然而,随着保险公司开始改变政策,这种情况正在发生变化,比如安盛(AXA)最近宣布停止为勒索软件付款提供保险。
  • 甚至IT攻击也能关闭OT操作。OT系统通常非常容易受到勒索软件的攻击。因此,任何事故响应计划的第一步都是通过断开OT系统来阻止传播。IT系统的恢复成本很高,OT系统的恢复成本可能是IT系统的三到四倍,而且可能需要更长的时间。因此,“大量谨慎”被频繁阅读。在许多情况下,运营并不仅仅依赖于“OT”系统,但“IT”系统,如账单或供应链软件,现在是有效运行的必要条件。因此,关闭关键IT系统基本上也需要OT关闭。
  • 为什么OT如此易受影响?
    • 大多数勒索软件利用的是尚未修补的旧漏洞。在OT中,有大量的漏洞和未打补丁的系统。
    • 勒索软件通常利用基于网络的不安全来获得访问(例如,通过远程桌面协议(RDP)),但会从一个端点传播到另一个端点。补偿控制、系统加固、漏洞管理和其他技术(如网络隔离)在减少病毒攻击的影响和传播方面都发挥着关键作用。
  • 勒索软件通常是非常有效的,因为许多组织没有足够的装备来识别和避免潜在的事件。大量的遗留资产和未修补的资产往往由少数非网络安全人员监控和监督不力,这是导致灾难的原因。

为了更好地理解这个循环,下面的图表展示了勒索软件进入一个设施的典型路径:

礼貌:神韵的行业

礼貌:神韵的行业

殖民地管道发生了什么?

根据公布的报告,一部分殖民对攻击的直接反应是征求事件回复专家FireeEye的服务。这些调查人员自从攻击成为一个被称为Darkside的多产的俄罗斯刑事赎金软件群体,该员工贷方约为40次相似的攻击,赎金要求从200,000美元到200多万美元。

黑暗面声称其攻击具有专业的“经验”,重点关注为其消费者提供“优质产品”。黑客工作人员声称只会攻击那些有手段的人,或者知道有网络安全保险的人。本集团也已知采用双重嵌入方法 - 让受害者支付未加入的数据,或者未能抨击作为犯罪的公共发布数据的威胁。

到周一,黑暗面袭击者对殖民管道袭击事件表示悔过。或许是为了回应这起事件引起的国际关注,以及政府和执法部门的集中努力,黑客们在他们的暗网站上说,他们从未打算破坏公共设施。

“我们是非政治性的,”黑客说。“我们不参加地缘政治,不需要将我们与一名明确的政府联系起来,寻找我们的其他动机。我们的目标是赚钱,而不是为社会创造问题。“

如上所述,殖民攻击专门针对操作诸如计费和库存等事物的IT系统。事实上,勒索软件从未越过过于感染公司的OT系统。然而,由于进一步扩散到OT的风险,无论如何都停止了操作。

这对OT来说意味着什么?OT系统是否因为较少连接互联网而免疫?他们只是“在传播的后期”,而不是病人1-100,他们是病人101和跟随-这只是时间问题?所有的资源都应该集中在阻止勒索软件对IT的影响上吗?如果可以做到,OT是安全的吗?解决方案是否更多地是关于事件响应,以及如何通过为那些系统创建冗余或设置屏障,让OT在不依赖那些关键IT系统的情况下运行,从而保护操作免受潜在的IT勒索软件的侵害?问题很多,应该为所有工业运营商提出战略问题。

如何防范勒索软件对产业组织的攻击

100%避免停机或事故是不可能的,即使有一个安全系统。更确切地说,安全的真正衡量标准是弹性。换句话说,对威胁或活动的检测、响应和恢复有多快?

虽然总体安全程序(如NIST CSF、IEC 62443或CSC18)是操作安全的最终目标,但有一些特定的安全控制应该与勒索软件直接相关。这里列出了一些非常具体的“OT注释”,这些做法的应用更具挑战性,特别是由于OT的性质。

如何在OT环境中防范勒索软件

了解IT攻击如何影响OT,建立清晰的事件响应玩法,并对风险进行优先排序,以确保在紧急情况下尽可能减少对运营的影响。

  • 定义明确的潜在威胁和影响地图。最大的问题之一是资产和系统的风险水平和优先级。什么系统与什么系统相关联,不仅是技术上的,而且是操作上的?好消息是,许多工业组织已经制定了灾难恢复计划。这些恢复计划需要扩展到网络事件,这样组织才能了解哪些可以断开,哪些可以继续运行,等等。这是关键,因为攻击可以很容易地从IT传播到OT。
  • 风险优先级:这些练习可以确定真正的皇冠珠宝 - 哪个系统是运营的Lynchpins,一直到各个服务器等。这允许组织在这些系统上优先考虑风险管理,并添加额外的安全层来保护这些关键资产
    • 不挑战:加班特定的政策和程序——大多数IT工具和行为必须进行修改,以提供类似的效果,而不干扰加班。这种平衡需要大量的安全实践知识和操作意识
  • 强大的备份和恢复:需要扩大备份覆盖范围,增加快照次数(主机数量)。经常安全备份的主机越多,并且假设有足够的管道让系统取回这些备份(例如,足够的网络带宽),组织就能更快地从勒索软件攻击中恢复过来。但是,在恢复备份时,组织必须确保该漏洞得到缓解或主机被隔离,否则它们可能会再次受到感染。
    • 不挑战:遗留系统、缺乏带宽以及在大多数OT环境中需要跟踪多个备份解决方案/产品,使得管理变得困难。
  • 对关键资产进行离线备份:离线备份作为一种弹性或灾难恢复策略,对于确保最重要的OT资产得到保护或在基础设施发生故障时能够迅速恢复非常重要。这包括PLC逻辑代码、配置、文档和系统图像/文件。这听起来可能很昂贵,但它通常是通过定期旋转的安全加密usb来实现的,以保持文件完整性。
    • 不挑战:OT环境的复杂性,源代码类型、位置等的数量和变化-需要一个整体的备份和恢复程序。
  • 定期进行“网络消防演习”,以测试备份和恢复:加班和网络相关活动应采用频繁的培训制度。取证、硬件故障、关机等应该至少有一个网络的初始记录,只是为了确保它与网络无关,如果是这样,可以确保监管链和尽职调查。其次,重要的是,当出现问题时,你的资源知道该怎么做,所以这是另一种方法,在提高快速恢复的可能性的同时,再次检查过程。

端点管理

如上所述,组织使用大量的谨慎和关闭他们的OT流程的原因之一是这些资产的基本端点风险。虽然避免这个棘手的话题可能更容易,但现实是,弹性需要更安全的OT端点。

在这项工作中(以及在开始监视潜在威胁时)的第一个问题是端点。要做到这一点,基本需要以下几点:

  • 资产清单:有效的端点管理从一个开始强劲的资产库存.每个端点的丰富的360度图像视图支持适当的端点管理。
    • 不挑战:合并自动化资产清单,包括所有资产类型,从基于操作系统到网络,但也嵌入深度资产配置文件,包括设置关键度,用户和帐户,补偿控制的存在,等等。
  • OT系统管理:资产库存只是强大的端点管理程序的开始。一种强大的OT系统管理程序包括配置硬化,用户和帐户管理,软件管理等。在许多情况下,OT系统都是不安全设计和未被串的,使其成熟赎金软件。
  • 补丁管理:大多数威胁通过Windows Machines等商品系统进入。一家公司无法在OT中修补所有内容,而是一个端到端补丁管理程序(即自动及智能应用补丁)是非常重要的,因为有几个环境因素,例如合规、法例及风险管理(例如补丁与RDP连接到互联网或防火墙主机应优先在可编程序逻辑控制器(PLC)保护几层)是不可行的,应用白名单和策略实施使得攻击者的生活很难改善机会保卫或否认ransomware袭击一个OT组织。
    • 不挑战:公司需要有一个优先的修补程序,并转移到补偿控制必要的时间/地点。
  • 可拆卸媒体:usb、可移动介质和瞬态设备是其他形式的唾手可得的成果,特别是在网络是“气隙”或严格控制的情况下。用户将通过移动媒体绕过控制。作为一种最佳实践,系统策略很容易部署、使用白名单软件、注册的安全驱动器和其他技术(如802)。X确保网段允许使用授权系统。
    • 不挑战:枚举、应用、监控和执行可移动媒体策略,以及扩展到瞬态网络资产。

监控网络,系统和应用程序的异常日志

发作通常有感染的前兆。然而,它可能表明一个脆弱的系统正在遭受攻击或即将被破坏,给防守队一个优势,以防止大规模感染或攻击。其中一种方法是使用所谓的“金丝雀”,它在网络中放置一个系统,充当“煤矿中的金丝雀”,并在勒索软件影响端点时发出警报,以允许更快的响应。

  • 不挑战:为传统SIEM和警报工具提供“OT上下文”。
  • 监控的外部攻击面:许多攻击都是由于错误配置或由变更管理中的缺口造成的无意漏洞而成功完成的。监视公开的服务(例如Shodan)是一种最佳实践。

访问控制和网络分割

要阻止勒索软件的传播,通常需要在其传播路径上设置防火屏障。这些可以是网络保护的形式,如防火墙,其他形式的分割或严格的访问控制。

  • 实现网络分离或分割。减慢赎金软件传播的一个关键方法是将网络障碍和OT(甚至在IT和/或OT)网络之间的网络屏障中放置。这种方法是一个基本要素,而是一个,因为它的技术挑战,通常不利于未充分利用。
    • 不挑战:在IT或OT上进行分割并不容易,但在OT中,由于遗留设备、物理布线的需要、将系统转移到新防火墙所需的停机时间等问题,会出现特殊的挑战。OT细分需要一个对网络和OT系统本身有深入了解的团队。
  • 基于软件、用户角色和功能隔离系统:为了保护因远程访问、本地Windows网络缺陷(例如,打印假脱机或服务器消息块(SMB)/网络基本输入/输出系统(NeTBIOS))或Office/Acrobat而受到损害的系统,根据功能进行隔离,确保标准化的黄金映像中不包含不必要的软件,或者没有同一台AD服务器为IT和OT服务策略。这也适用于基于用户的帐户;如果一个人机界面(HMI)是一个HMI,将其操作人员视为操作人员,而不是管理员。
    • 不挑战:发现、分析和保护这些类型的控制——纠正和执行基线的能力
  • 区域或系统之间的技术差异:跨系统的一致性具有可伸缩性优势,但当单个漏洞影响多个产品时,如果利用这个策略,整个操作就会停滞。带有2FA(双因素授权)的VPN(虚拟专用网络)、远程访问终端服务器和多个防火墙供应商等障碍成倍地增加了外部攻击成功所需的努力。
礼貌:神韵的行业

礼貌:神韵的行业

改进这五个类别可以降低勒索软件攻击的风险和影响,利用现有的技术投资,并在发生妥协时提高恢复能力。每一个都增加了连续的保护和防范可能的勒索软件攻击。总结与成功故事

本文档中确定了OT特有的挑战,不是为了表明一个健壮的OT安全程序是无法实现或不可能实现的,而是为了帮助读者确定关键决策点,帮助一个成功的程序以最小的挑战实现最大的保护。

在世界各地的许多行业、公司和国家中,OT中“类似it”的安全控制的应用正日益得到实现。但衡量成功的真正标准是维持和监督他们最初的努力。正在显著改善其安全状况的公司认识到OT环境的独特挑战,并做出如下决策:

  1. 建立强大的,360度的资产视图
  2. 将多个功能融入单个平台
  3. 在企业级将IT和OT技能集结合在一起,以审查、监控、计划和执行系统安全控制
  4. 自动数据收集和修正任务
  5. 与经过验证的OT安全软件和服务供应商/顾问合作。

这个故事最初出现在《神韵》杂志上网站神韵是CFE Media的内容合作伙伴。


瑞克凯恩和罗恩·烈士
作者生物:Verve Industrial.