网络安全

如何保护OT / ICS系统从赎金软件攻击

遵循以下预防提示,降低OT/ICS系统受到勒索软件攻击的风险

里克·考恩(Rick Kaun)和罗恩·布拉什(Ron Brash)著 2021年8月3日
礼貌:神韵的行业

2021年5月12日至5月12日之间,殖民地管道,从德克萨斯队到新泽西州的天然气,汽油和柴油的5,500英里的管道,响应它所说的是一个针对其信息技术的赎金软件攻击而关闭其运作(IT)网络。在媒体声明中,殖民官员表示损坏仅限于其IT系统,但公司“主动地将某些系统脱机遏制威胁。”

包括禁用选择操作技术(OT)/工业控制系统(IC)的那个响应,“暂时停止了所有管道操作......我们正在积极地在恢复过程中。”该公司补充说,其(OT)系统很好,关闭是测量的响应,以便快速恢复。如果没有这种“丰富的谨慎”,它的恶意软件可能已经证明了流水线基础设施和参与者上游/下游的互连(例如,监管转账,共享远程计量,可用存储/容量等)的相互连接。

自殖民事件以来,据报还发生了几起针对经营实体的主要勒索软件攻击事件:玛莎葡萄园岛渡轮公司富士胶片,而且JBS肉类公司谁提供了40%的美国肉类供应。这是在第二大纸公司,韦斯特罗克的其他几个大型公共赎金制品活动的高跟鞋上,Molson Coors以及今年的其他一些。

现实情况是,产业组织现在是勒索软件团伙的目标,因为失去可用性的影响是数百万美元,所以赎金要求可能相当高。最近的一份报告数字阴影发现工业产品和服务是2020年最受关注的行业,占29%。攻击次数超过了紧随其后的三个行业(零售、建筑和技术)的总和。

ransomware是什么?

勒索软件是病毒的一种形式,通常被称为恶意软件。本质上,攻击者找到一种方法(钓鱼、社会工程等)首先入侵目标网络。然后,他们的软件在网络上运行(穿越网络共享、本地驱动器等),用只有攻击者知道的密钥对所有发现的东西进行加密。如果受害者想要解锁文件,那就得花钱才能拿到钥匙。根据攻击者和受害者的具体情况,获取密钥和解密文件的成本可能从数百美元到数千美元,甚至数百万美元不等。

为什么勒索软件使用以及潜在的影响是什么?

勒索软件起源于诈骗和勒索犯罪世界,但从本质上讲,它也可以用于针对更大的资产所有者和组织,或掩盖其他可能更狡猾的活动。

让我们首先看看为什么赎金软件今天对工业组织成为这么挑战:

  • 勒索软件利用“可用性”风险,在工业组织中具有很高的利润。个人信息的网络盗窃业务过去利润颇丰,但随着供应的增加,这些信息的价格大幅下降。因此,网络罪犯找到了新的商业模式。他们已经从“机密性-完整性-可用性”三合一的“C”转变为“A”,而行业组织需要可用性来运作,因此支付通常是快速和庞大的。
  • 在大多数情况下,保险支付了赎金和追索费用的很大一部分。因此,在现有政策到位的情况下,保险的存在对支付过程起到了润滑作用。然而,随着保险公司开始改变政策,这种情况正在发生变化,比如安盛(AXA)最近宣布停止为勒索软件付款提供保险。
  • 甚至IT攻击也能关闭OT操作。OT系统通常非常容易受到勒索软件的攻击。因此,任何事故响应计划的第一步都是通过断开OT系统来阻止传播。IT系统的恢复成本很高,OT系统的恢复成本可能是IT系统的三到四倍,而且可能需要更长的时间。因此,“大量谨慎”被频繁阅读。在许多情况下,运营并不仅仅依赖于“OT”系统,但“IT”系统,如账单或供应链软件,现在是有效运行的必要条件。因此,关闭关键IT系统基本上也需要OT关闭。
  • 为什么OT如此易受影响?
    • 大多数勒索软件利用的是尚未修补的旧漏洞。在OT中,有大量的漏洞和未打补丁的系统。
    • 勒索软件通常利用基于网络的不安全来获得访问(例如,通过远程桌面协议(RDP)),但会从一个端点传播到另一个端点。补偿控制、系统加固、漏洞管理和其他技术(如网络隔离)在减少病毒攻击的影响和传播方面都发挥着关键作用。
  • Ransomware往往非常有效,因为许多组织都无法承认和避免潜在的事件。大量的遗产和未被划分的资产经常受到少数非网络安全人员监控和监督的是灾难的方法。

为了更好地理解这个循环,下面的图表展示了勒索软件进入一个设施的典型路径:

礼貌:神韵的行业

礼貌:神韵的行业

殖民管道公司怎么了?

根据公布的报告,一部分殖民谷歌对攻击的第一个反应是寻求事件响应专家火眼(FireEye)的服务。此后,调查人员将此次袭击归咎于一个名为DarkSide的俄罗斯犯罪勒索软件组织,该组织实施了大约40起类似的袭击,索要的赎金从20万美元(约合人民币1280万元)到200多万美元不等。

黑暗面声称它的攻击以专业的“体验”为特色,专注于为消费者提供“优质产品”。黑客团伙声称,他们只会攻击那些有支付能力的人,或者已知有网络安全保险的人。众所周知,该组织还采用了双重勒索方法——让受害者为解密他们的数据支付费用,否则,威胁将作为犯罪一部分窃取的数据公开。

到周一,黑暗面袭击者对殖民管道袭击事件表示悔过。或许是为了回应这起事件引起的国际关注,以及政府和执法部门的集中努力,黑客们在他们的暗网站上说,他们从未打算破坏公共设施。

“我们不关心政治,”黑客们说。“我们不参与地缘政治,不需要把我们和一个明确的政府绑在一起,寻找我们的其他动机。我们的目标是赚钱,而不是给社会制造问题。”

如上所述,Colonial攻击专门针对操作账单和库存等操作的IT系统。事实上,勒索软件从未侵入该公司的OT系统。然而,手术还是停止了,因为有进一步扩散到OT的风险。

这对OT来说意味着什么?OT系统是否因为较少连接互联网而免疫?他们只是“在传播的后期”,而不是病人1-100,他们是病人101和跟随-这只是时间问题?所有的资源都应该集中在阻止勒索软件对IT的影响上吗?如果可以做到,OT是安全的吗?解决方案是否更多地是关于事件响应,以及如何通过为那些系统创建冗余或设置屏障,让OT在不依赖那些关键IT系统的情况下运行,从而保护操作免受潜在的IT勒索软件的侵害?问题很多,应该为所有工业运营商提出战略问题。

如何防范勒索软件对产业组织的攻击

100%避免停机或事故是不可能的,即使有一个安全系统。更确切地说,安全的真正衡量标准是弹性。换句话说,对威胁或活动的检测、响应和恢复有多快?

虽然总体安全程序(如NIST CSF、IEC 62443或CSC18)是操作安全的最终目标,但有一些特定的安全控制应该与勒索软件直接相关。这里列出了一些非常具体的“OT注释”,这些做法的应用更具挑战性,特别是由于OT的性质。

如何在OT环境中防止勒索软件

了解IT攻击如何影响OT,建立清晰的事件响应玩法,并对风险进行优先排序,以确保在紧急情况下尽可能减少对运营的影响。

  • 定义明确的潜在威胁和影响地图。最大的问题之一是资产和系统的风险水平和优先级。什么系统与什么系统相关联,不仅是技术上的,而且是操作上的?好消息是,许多工业组织已经制定了灾难恢复计划。这些恢复计划需要扩展到网络事件,这样组织才能了解哪些可以断开,哪些可以继续运行,等等。这是关键,因为攻击可以很容易地从IT传播到OT。
  • 风险优先级:这些练习可以确定真正的皇冠宝石——哪些系统是操作的关键,一直到单个服务器等等。这就允许组织对这些系统的风险管理进行优先级划分,并添加额外的安全层来保护那些关键资产
    • 不挑战:加班特定的政策和程序——大多数IT工具和行为必须进行修改,以提供类似的效果,而不干扰加班。这种平衡需要大量的安全实践知识和操作意识
  • 健壮的备份和恢复:需要扩大备份覆盖范围,增加快照次数(主机数量)。经常安全备份的主机越多,并且假设有足够的管道让系统取回这些备份(例如,足够的网络带宽),组织就能更快地从勒索软件攻击中恢复过来。但是,在恢复备份时,组织必须确保该漏洞得到缓解或主机被隔离,否则它们可能会再次受到感染。
    • 不挑战:遗留系统、缺乏带宽以及在大多数OT环境中需要跟踪多个备份解决方案/产品,使得管理变得困难。
  • 对关键资产进行离线备份:离线备份作为一种弹性或灾难恢复策略,对于确保最重要的OT资产得到保护或在基础设施发生故障时能够迅速恢复非常重要。这包括PLC逻辑代码、配置、文档和系统图像/文件。这听起来可能很昂贵,但它通常是通过定期旋转的安全加密usb来实现的,以保持文件完整性。
    • 不挑战:OT环境的复杂性,源代码类型,位置等的数量和变体 - 需要一个完整的备份和恢复程序。
  • 定期进行“网络消防演习”,以测试备份和恢复:加班和网络相关活动应采用频繁的培训制度。取证、硬件故障、关机等应该至少有一个网络的初始记录,只是为了确保它与网络无关,如果是这样,可以确保监管链和尽职调查。其次,重要的是,当出现问题时,你的资源知道该怎么做,所以这是另一种方法,在提高快速恢复的可能性的同时,再次检查过程。

端点管理

如上所述,组织使用丰富的谨慎和关闭其OT流程之一是这些资产的基本终点风险。虽然它可能更容易避免这种硬话题,但现实是恢复力需要更安全的OT端点。

这项工作中的第一个问题(以及开始监测潜在威胁)是端点。为此,以下是基本要求的:

  • 资产库存:有效的端点管理始于强大的资产库存.每个端点的丰富的360度图像视图支持适当的端点管理。
    • 不挑战:包含自动化资产库存,其中包括基于网络的OS的所有资产类型,而且还嵌入了深度资产配置文件,包括集临界,用户和帐户,包括补偿控制等。
  • OT Systems Management:OT资产库存只是健壮的终端管理计划的开始。一个强大的OT系统管理程序包括配置加固、用户帐户管理、软件管理等。在许多情况下,OT系统设计不安全,也没有打补丁,这使得勒索软件的时机成熟。
  • 补丁管理:大多数威胁都是通过Windows电脑等普通系统进入的。一个公司不能在OT中安装所有的补丁,但是端到端补丁管理程序(即自动及智能应用补丁)是非常重要的,因为有几个环境因素,例如合规、法例及风险管理(例如补丁与RDP连接到互联网或防火墙主机应优先在可编程序逻辑控制器(PLC)保护几层)是不可行的,应用白名单和策略实施使得攻击者的生活很难改善机会保卫或否认ransomware袭击一个OT组织。
    • 不挑战:公司需要进行优先修补程序并搬到补偿控制必要的时间/地点。
  • 可移动媒体:usb、可移动介质和瞬态设备是其他形式的唾手可得的成果,特别是在网络是“气隙”或严格控制的情况下。用户将通过移动媒体绕过控制。作为一种最佳实践,系统策略很容易部署、使用白名单软件、注册的安全驱动器和其他技术(如802)。X确保网段允许使用授权系统。
    • 不挑战:枚举、应用、监控和执行可移动媒体策略,以及扩展到瞬态网络资产。

监控网络,系统和应用程序的异常日志

发作通常有感染的前兆。然而,它可能表明一个脆弱的系统正在遭受攻击或即将被破坏,给防守队一个优势,以防止大规模感染或攻击。其中一种方法是使用所谓的“金丝雀”,它在网络中放置一个系统,充当“煤矿中的金丝雀”,并在勒索软件影响端点时发出警报,以允许更快的响应。

  • 不挑战:为传统SIEM和警报工具提供“OT上下文”。
  • 监控的外部攻击面:许多攻击都是由于错误配置或由变更管理中的缺口造成的无意漏洞而成功完成的。监视公开的服务(例如Shodan)是一种最佳实践。

访问控制和网络分段

停止赎金软件的传播通常会归结为在路径中放置防火。这些可以是网络保护的形式,例如防火墙,其他形式的分割或严格的访问控制。

  • 实现网络分离或分割。减缓勒索软件传播的一个关键方法是在IT和OT之间(甚至在IT和/或OT的部分网络中)设置网络屏障。这种方法是一个基本元素,但由于它的技术挑战,经常未得到充分利用。
    • 不挑战:在IT或OT上进行分割并不容易,但在OT中,由于遗留设备、物理布线的需要、将系统转移到新防火墙所需的停机时间等问题,会出现特殊的挑战。OT细分需要一个对网络和OT系统本身有深入了解的团队。
  • 基于软件、用户角色和功能隔离系统:To protect systems compromised through remote access, local Windows networking flaws (e.g., print spool or server message block (SMB)/Network Basic Input/Output System (NeTBIOS)), or Office/Acrobat, isolate them based on function and ensure unnecessary software is not included in standardized golden images or the same AD server is not serving policy for IT and OT. This also applies to user-based accounts; if an human-machine interface (HMI) is an HMI, treat its operator as an operator, not as an administrator.
    • 不挑战:发现、分析和保护这些类型的控制——纠正和执行基线的能力
  • 区域或系统之间的技术多样性:跨系统的一致性具有可伸缩性优势,但当单个漏洞影响多个产品时,如果利用这个策略,整个操作就会停滞。带有2FA(双因素授权)的VPN(虚拟专用网络)、远程访问终端服务器和多个防火墙供应商等障碍成倍地增加了外部攻击成功所需的努力。
礼貌:神韵的行业

礼貌:神韵的行业

提高这五个类别降低了赎金软件攻击的风险和影响,利用现有的技术投资,并在妥协时提高恢复。这些中的每一个都会在可能的赎金软件攻击中加入连续的保护和保障.Conclusion和成功案例

本文档中确定了OT特有的挑战,不是为了表明一个健壮的OT安全程序是无法实现或不可能实现的,而是为了帮助读者确定关键决策点,帮助一个成功的程序以最小的挑战实现最大的保护。

'IT-Libly'安全控制在OT中的应用越来越多地在世界各地的众多行业,公司和国家实现。但成功的真正衡量标准在维护和监督他们的最初努力。大大提高安全态度的公司承认OT环境的独特挑战并制定决定:

  1. 建立强大的,360度的资产视图
  2. 将多个功能整合到一个平台中
  3. 在企业级将IT和OT技能集结合在一起,以审查、监控、计划和执行系统安全控制
  4. 自动数据收集和修复任务
  5. 与经过验证的OT安全软件和服务供应商/顾问合作。

这个故事最初出现在《神韵》杂志上网站神韵是CFE Media的内容合作伙伴。


Rick Kaun和Ron Brash
作者简介:神韵工业