ICS/OT網絡安全:不斷惡化的網絡威脅態勢給工業\制造企業帶來了諸多挑戰

2021年發生了多起影響工業和制造企業的網絡安全事件。攻擊者使用多種技術利用這些組織，包括直接或間接發起勒索軟件和惡意軟件攻擊、破壞硬件漏洞以及瞄準其他安全漏洞。Industrialcyber訪談了知名網絡安全公司的專家，就工業和制造業應對勒索攻擊分享了他們的看法。

■ 勒索軟件的技術和運營模式演化發展非常快速；數量和質量都在快速改進；

■?因IT系統遭勒索對OT的“外溢”影響遠多于直接對OT系統的勒索；

■?未知和不可修補的漏洞以及看不見的IT/OT融合點大量存在；

■?漏洞利用后的策略應重點予以關注，意味著企業應更多關注業務彈性；

■?網絡TAP是解決OT網絡完全可見性的根本之道，僅僅依靠SPAN端口是遠遠不夠的；

■?OT網絡安全應當擁抱AI等新興技術；

如今，勒索軟件攻擊已上升為對國家安全的主要威脅，對企業(包括政府、醫療保健和關鍵基礎設施部門)發起持續攻擊。在2021年與去年同期相比，供應鏈網絡攻擊都有望翻兩番，造成的系統宕機時間，金錢上的損失以及聲譽損失。對于工業和制造企業來說，最大的網絡威脅是缺乏知識和培訓。通常，管理層甚至沒有完全意識到風險，而且大多數員工幾乎沒有接受過有關如何識別和避免潛在威脅的培訓。

從2019年到2021年，勒索軟件運營的影響和規模不斷增加，這在很大程度上是由勒索軟件即服務 (RaaS) 商業模式的增長和推動，通過該模式，運營商向其他網絡犯罪分子出售或租賃勒索軟件。

根據加拿大網絡安全權威機構網絡中心的數據，已知的贖金支付在從2019年到2020年迅速增加之后，似乎在2021年穩定在20萬美元左右，比2020年的水平略有下降。與此同時，到2021年，從勒索軟件事件中恢復的全球平均總成本(即支付贖金和/或修復受感染網絡的成本)今年增加了一倍多，從2020年的970,722加元增加到2021年達到230萬加元。

臨近年底，工業和制造企業發現自己需要應對由Apache Log4j2系列漏洞引起的網絡風險。利用這些漏洞之一，未經身份驗證的攻擊者可以在服務器上遠程執行代碼。即使接受數據輸入的軟件不是用Java編寫的，也可以成功利用;此類軟件可以將惡意字符串傳遞到其他用Java編寫的(后端)系統。

Apache軟件基金會(ASF) 周五發布了另一個補丁版本 2.17.0，作為最初的log4j2漏洞，跟蹤為CVE-2021-44228，已被各種威脅行為者濫用，從國家支持的黑客到勒索軟件團伙和其他人將門羅幣礦工注入易受攻擊的系統。

在關于2021年工業和制造企業面臨的主要網絡安全趨勢方面，除了工業和制造企業在2021年的重點安全領域之外，還將研究勒索軟件威脅在2021年對工業和制造企業的質和量變化。

Industrialcyber訪談了Garland、Darktrace、Mandiant等知名網絡安全公司的專家，就工業和制造業應對勒索攻擊分享了他們的看法。

Garland Technology 的營銷和業務發展副總裁Jason Drewniak

Garland Technology營銷和業務發展副總裁Jason Drewniak在談到美國政府為應對過去一年中不斷上升的威脅形勢而宣布的眾多舉措時表示，美國政府已經認識到保護ICS和OT環境等關鍵基礎設施的緊迫性。立法和行政舉措正在啟動各利益相關者之間早就應該進行的對話，從而制定出有效的藍圖，以加強組織對ICS和OT 網絡威脅的準備。

根據Drewniak 的說法，Garland Technology團隊與ICS和OT客戶的許多討論都轉向了喬·拜登總統關于“改善國家網絡安全”(14028) 的行政命令的主題。每個人都在密切關注總統指令產生的建議和要求。作為業內值得信賴的合作伙伴，希望隨時了解這些快速發展的進展。

Drewniak表示，勒索軟件等威脅總是在不斷演變，因為惡意行為者試圖找到漏洞以破壞關鍵基礎設施。在與客戶的項目討論中，Garland遇到了有關NIST及其提議的勒索軟件管理網絡安全框架配置文件(NISTIR 8374)的問題。該框架提供了一個可操作的路線圖，以幫助組織應對勒索軟件攻擊并降低其對勒索軟件攻擊的敏感性。

Drewniak在探討2021年工業和制造企業的重點安全領域時，隨著OT系統變得更加復雜，設備種類繁多，遠程連接和地理分布的設施，導致保護變得更加復雜，Drewniak表示，雖然防火墻長期以來一直是分割的基石在OT網絡中，有數據二極管和防火墻的用例，以及數據二極管TAP變體。

數據二極管也是一種安全屏障系統，但它使用單向數據傳輸協議在網段之間強制執行物理隔離，旨在消除后門攻擊或破壞。數據二極管提供了一個物理和電氣隔離層，旨在通過段之間的單向流量以消除攻擊風險。

Drewniak補充說，數據二極 TAP通常會向安全監控工具發送流量的單向“副本，數據二極管TAP是專門構建的‘非智能’硬件設備，其電路在物理上沒有將監控端口連接回網絡，從而無法實現雙向流量并確保安全工具或目的地與網段隔離。

Darktrace網絡物理安全執行副總裁Jeff Cornelius

Darktrace網絡物理安全執行副總裁Jeff Cornelius 表示，雖然美國政府宣布的有關ICS和OT的立法和行政舉措是朝著正確方向邁出的重要一步，但它們只是邁向真正強大的工業網絡防御的第一步。這些法規中的大多數都非常關注漏洞跟蹤和修補。但現實是 a) 大多數ICS/OT漏洞沒有實用的緩解建議，b)復雜的ICS/OT攻擊通常利用零日漏洞(例如，在其披露之前的Log4J)。

Cornelius表示，未知和不可修補的漏洞以及看不見的IT/OT融合點的現實意味著攻擊者仍然可以潛入即使是最嚴格修補的環境。他補充說，組織不僅需要專注于修補邊界，還需要將注意力轉向后利用策略，也就是說，即使是最微妙的異常行為形式也可以識別，并在最早階段消除新出現的攻擊。

Cornelius說，勒索軟件對工業和制造業的威脅確實發生了數量上的變化，隨著勒索軟件在更廣泛范圍內的興起，對這些行業的攻擊也在增加。然而，Colonial Pipeline和JBS Foods勒索軟件事件突出了工業安全的一些方面，這些方面多年來一直構成重大風險，但在很大程度上無人注意——即IT攻擊對OT系統構成的威脅。因此，從質量上講，看到更多公開的攻擊從IT向OT(JBS Foods)“溢出”，并且OT系統被手動關閉以避免這種溢出(Colonial Pipeline)。

在EKANS等勒索軟件中，Darktrace看到攻擊直接針對其殺傷鏈中的ICS進程。然而，這只是影響工業環境的少數勒索軟件;現實情況是，IT攻擊越來越直接或間接地影響OT。

Cornelius說，專注于在孤立的能力中保護OT遠遠不足以抵御針對工業環境的網絡攻擊，尤其是快速移動的攻擊，例如可以非常隱蔽地橫向傳播的勒索軟件。像這樣的攻擊表明，需要對IT和OT進行統一保護——最好是通過一種能夠理解這兩種環境的復雜性并闡明兩者之間任何融合點的技術。

Cornelius表示，隨著工業和制造公司對其技術環境進行現代化改造，他們需要采用足夠現代的安全策略。識別資產、識別漏洞并嘗試修補它們(如果可能)都很重要。但這是必要的，而不是充分的。

Cornelius指出，隨著工業和制造公司接受遠程連接、更先進的設備(如 IIoT)及其環境從廣義上講變得更加復雜，人工智能提供了一種理想的技術來理解這些復雜性和演變。人工智能可以處理大量數據，剔除噪音，實時發現真正具有威脅性的行為。數十年來，OT/ICS安全重點一直停留在過去。是時候讓它們跟上21世紀的步伐了。

Cornelius表示，許多工業組織還沒有為新一波的攻擊做好準備，他們甚至常常沒有意識到其環境中存在的當前漏洞和活躍威脅。因此，從廣義上講，工業和制造組織還沒有做好準備。

然而，好消息是可以隨時使用復雜的技術來保護這些組織，Cornelius說。隨著過去一年發生的重大OT/ICS安全事件，不再可能忽視威脅。問題只是這些組織愿意投資市場上最強大的安全技術，而不是專注于實現工業安全的最低公分母。

卡巴斯基最近的一份報告發現，許多組織在與ICS直接相關的計算機上存在妥協跡象，并表示已確定的趨勢不僅會繼續，而且會在來年獲得新的關注。在評估工業和制造企業是否為此類入侵做好準備時，Drewniak 表示，要充分防范此類入侵，組織必須部署正確的資產管理、威脅檢測和響應工具。

當今，獲得用于發現和管理的完整資產可見性始于網絡TAP提供的100%數據包可見性。在今天的環境中，依靠交換機SPAN端口是遠遠不夠的，因為它們不是為連續監控而設計的。

另外，根據Drewniak的說法，網絡TAP是一種專用硬件設備，它允許您通過復制數據包來訪問和監控網絡流量，而不會影響或損害網絡完整性。TAP允許網絡流量在其網絡端口之間無中斷地流動，創建流量兩端的精確副本，連續 24×7。然后將重復的副本用于監控和安全分析，使網絡TAP成為可靠的網絡安全策略的基礎。

Mandiant ICS Consulting技術經理Chris Sistrunk

Mandiant ICS Consulting 的技術經理Chris Sistrunk分析了政府的這些立法和行政舉措如何幫助ICS和OT環境識別和改善其安全漏洞。這些安全漏洞早已為人所知，但直到現在基本上都沒有得到大規模解決。因為他們要么不是受害者，要么沒有被政府法規強迫提高他們的ICS/OT安全性。

Mandiant情報分析經理Daniel Zafra

Mandiant情報分析經理Daniel Zafra在評估勒索軟件威脅在2021年對工業和制造企業是否發生質和量變化時告訴Industrial Cyber，勒索軟件威脅行為者已經發展了他們的策略，并希望勒索愿意支付的有錢公司，其中包括擁有ICS/OT系統來制造或交付其產品的公司。勒索軟件在質量和數量上都發生了變化。

從質量上講，在過去的兩年里，Mandiant觀察到勒索軟件運營商從使用影響多個隨機受害者的‘散彈槍’方法演變為后損害方法。這需要在整個生命周期中使用各種技術向目標組織撒網。最后，勒索軟件運營商通過勒索受害者增加了獲得贖金的機會(即，如果他們不支付贖金，運營商就會威脅發布受害者的數據)。

從數量上講，Mandiant根據這些勒索泄漏暴露的數據跟蹤的勒索軟件事件數量從2020年的約1.5萬增加到2021年的超過2.5萬。實際事件數量可能甚至高于通過跟蹤這些數字觀察到的數量。

每家提高安全性的工業公司都采用不同的方式，因為他們的網絡和ICS/OT系統的設計都不同(例如，內置不同年份、使用不同 ICS 供應商、不同應用程序等)。許多人專注于提高安全意識，并專注于強化ICS/OT網絡的入口/出口點。根據Mandiant響應和研究勒索軟件操作的經驗，攻擊者使用的勒索軟件系列通常不能確定一次事件影響的嚴重程度。

鑒于大多數勒索軟件入侵都適用于在目標環境中工作，其影響取決于受害者的整體安全性和攻擊者在攻擊期間的選擇。出于這個原因，我們建議組織通過從威脅情報出版物、信息共享組和其他開源研究。

勒索軟件威脅行為者將繼續發展策略和工具。在很大程度上，必須滿足政府法規(如電力部門、核能、關鍵管道、關鍵化學品)的工業和制造組織將比不受監管或不關注ICS的組織準備得更充分安全計劃。

Mandiant 金融犯罪分析主管 Kimberly Goody

Mandiant金融犯罪分析主管Kimberly Goody告訴Industrial Cyber，與去年同期相比，出現在勒索軟件數據泄露網站上的制造組織增加了70%。

與2021年上半年和2021年下半年相比，出現在這些網站上的制造組織數量增加了25%。總體而言，多方面勒索攻擊的威脅已經增加到所有組織。部署勒索軟件的威脅參與者越來越多地改進了他們的能力和方法，使他們能夠進行更多的攻擊并擴大對單個受害者的影響。將操作階段外包給其他威脅行為者，例如獲得對受害者的初步訪問權限，有助于促進這一點，因為它使他們能夠專業化。

參考來源：

https://industrialcyber.co/threats-attacks/widening-threat-landscape-brings-multitude-of-challenges-to-industrial-manufacturing-enterprises/

來源：網空閑話