【編者按】制造業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)在逐年增加,主要表現(xiàn)為影響工業(yè)過(guò)程的破壞性網(wǎng)絡(luò)攻擊、信息收集和過(guò)程信息竊取以及針對(duì)工業(yè)控制系統(tǒng)(ICS)的新型攻擊。以網(wǎng)絡(luò)攻擊為驅(qū)動(dòng)的制造業(yè)生產(chǎn)過(guò)程破壞越來(lái)越普遍。近日工業(yè)網(wǎng)絡(luò)安全公司Dragos發(fā)布了《制造業(yè)網(wǎng)絡(luò)威脅展望》,詳細(xì)梳理了造成信息收集和處理信息竊取的入侵行為,以及針對(duì)工業(yè)控制系統(tǒng)(ICS)和工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備的攻擊;針對(duì)制造組織的ICS威脅最新觀察結(jié)果及詳盡的分析,并提出了實(shí)用的防御建議。
一、主要發(fā)現(xiàn)
制造業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)正在增加,主要原因是破壞性的網(wǎng)絡(luò)攻擊影響工業(yè)過(guò)程,入侵導(dǎo)致信息收集和過(guò)程信息盜竊,以及針對(duì)工業(yè)控制系統(tǒng)(ICS)的新活動(dòng)。Dragos目前公開(kāi)跟蹤了五個(gè)以制造業(yè)為攻擊目標(biāo)的組織:CHRYSENE、PARISITE、MAGNALLIUM、WASSONITE和XENOTIME,以及各種能夠?qū)嵤┢茐牡睦账鬈浖顒?dòng)。
制造業(yè)依靠ICS來(lái)實(shí)現(xiàn)規(guī)模化、功能化,并確保一致的質(zhì)量控制和產(chǎn)品安全。制造行業(yè)作為國(guó)家關(guān)鍵基礎(chǔ)設(shè)施,生產(chǎn)關(guān)鍵材料、制成品和藥品,是事關(guān)國(guó)計(jì)民生的重要領(lǐng)域。由于設(shè)施和操作的相互關(guān)聯(lián)性,對(duì)制造行業(yè)的攻擊可能會(huì)對(duì)整個(gè)供應(yīng)鏈產(chǎn)生連鎖反應(yīng),而供應(yīng)鏈依賴于及時(shí)和精確的生產(chǎn)來(lái)保障產(chǎn)品、健康和安全以及國(guó)家安全。
勒索軟件運(yùn)營(yíng)商正在采用具有ICS感知的功能,能夠停止與工業(yè)相關(guān)的過(guò)程,并造成潛在破壞性影響。Dragos還沒(méi)有觀察到規(guī)?;驈?fù)雜程度與針對(duì)沙特阿拉伯和烏克蘭的能源運(yùn)營(yíng)的破壞性惡意軟件攻擊TRISIS和CRASHOVERRIDE中使用的規(guī)?;驈?fù)雜程度相同的針對(duì)制造業(yè)運(yùn)營(yíng)商的ICS特定惡意軟件。然而,已知的和持續(xù)存在的制造業(yè)威脅可能會(huì)對(duì)運(yùn)營(yíng)產(chǎn)生直接或間接的影響。對(duì)截至2020年10月的威脅情況以及未來(lái)隨著對(duì)手及其行為的可能演變,報(bào)告總結(jié)了以下特點(diǎn):
具有破壞工業(yè)過(guò)程能力的勒索軟件是對(duì)制造運(yùn)營(yíng)的最大威脅。攻擊者越來(lái)越多地在勒索軟件中采用ICS感知機(jī)制,這可能會(huì)中斷運(yùn)營(yíng);
Dragos公開(kāi)跟蹤了五個(gè)針對(duì)制造業(yè)的活動(dòng)組織;
制造業(yè)過(guò)程中斷對(duì)供應(yīng)鏈的影響會(huì)波及企業(yè)以及其他地方的運(yùn)營(yíng);
知識(shí)產(chǎn)權(quán)盜竊對(duì)于制造商而言仍然是高風(fēng)險(xiǎn);
相互連接的企業(yè)、運(yùn)營(yíng)和過(guò)程控制網(wǎng)絡(luò)日益融合,導(dǎo)致了日益嚴(yán)重的威脅。
二、以制造業(yè)實(shí)體為攻擊目標(biāo)的組織
?。?一 ) CHRYSENE圖片
CHRYSENE的攻擊目標(biāo)為制造業(yè)、石化、石油和天然氣以及發(fā)電行業(yè)。攻擊目標(biāo)已超出該組織最初對(duì)波斯灣地區(qū)的關(guān)注,而且該組織在多個(gè)地區(qū)仍然保持活躍。
相關(guān)組織:APT 34、GREENBUG、OilRig
?。?二 ) MAGNALLIUM圖片
Magnalium至少?gòu)?013年就開(kāi)始攻擊能源、航空航天等行業(yè)。盡管Magnalium沒(méi)有專門(mén)針對(duì)制造業(yè),但化學(xué)制造過(guò)程屬于該組織的攻擊目標(biāo)范疇。該活動(dòng)組織最初的攻擊目標(biāo)是設(shè)在沙特阿拉伯的公司,但后來(lái)將目標(biāo)擴(kuò)大到包括歐洲和北美的實(shí)體,包括美國(guó)電力公司。MAGNALLIUM缺乏專門(mén)針對(duì)ICS開(kāi)展攻擊的實(shí)力,但該組織仍專注于最初的IT入侵。
相關(guān)組織:PARISITE、APT 33、Elfin
?。?三 ) PARISITE圖片
Parisite自2017年開(kāi)始運(yùn)營(yíng),面向制造業(yè)、電力公用事業(yè)、航空航天、石油和天然氣行業(yè)以及政府和非政府組織,攻擊北美、歐洲和中東等地區(qū)目標(biāo)。
相關(guān)組織:MAGNALLIUM, Fox Kitten, Pioneer Kitten
?。?四 ) WASSONITE圖片
WASSONITE的攻擊目標(biāo)是印度(以及可能的韓國(guó)和日本)的制造業(yè)、發(fā)電、核能和研究機(jī)構(gòu)。該組織的運(yùn)營(yíng)依賴于DTrack惡意軟件、憑據(jù)捕獲工具,利用系統(tǒng)工具進(jìn)行橫向移動(dòng)。WASSONITE至少?gòu)?018年開(kāi)始運(yùn)營(yíng)。
相關(guān)組織:Lazarus Group,COVELLITE
?。?五 ) XENOTIME圖片
XENOTIME對(duì)多家ICS供應(yīng)商和制造商造成了威脅,構(gòu)成了潛在的供應(yīng)鏈威脅。XENOTIME以TRISIS攻擊而聞名,該攻擊導(dǎo)致2017年8月在沙特阿拉伯的一家石油和天然氣設(shè)施遭到破壞。2018年,XENOTIME的業(yè)務(wù)范圍擴(kuò)大到北美和亞太地區(qū)的電力公司,歐洲、美國(guó)、澳大利亞和中東的石油和天然氣公司。攻擊目標(biāo)還包括控制系統(tǒng)設(shè)備,超越了2017年事件所針對(duì)的Triconex控制器。
相關(guān)組織:Temp.Veles
三、工業(yè)控制系統(tǒng)(ICS)惡意軟件
目前,有兩個(gè)攻擊組織XENOTIME和ELECTRUM被證明有能力利用專門(mén)針對(duì)ICS進(jìn)程的惡意軟件(TRISIS和CRASHOVERRIDE),并破壞ICS進(jìn)程。盡管Dragos尚未觀察到有惡意軟件家族會(huì)擾亂制造運(yùn)營(yíng),但這些攻擊者可能會(huì)在開(kāi)發(fā)此類惡意軟件的過(guò)程中將目標(biāo)鎖定在制造公司,即使它們不是最終目標(biāo)。
例如,2016年惡意軟件CRASHOVERRIDE在烏克蘭的一個(gè)輸變電站中專門(mén)針對(duì)西門(mén)子SIPROTEC保護(hù)繼電器和ABB設(shè)備進(jìn)行破壞。Dragos觀察到,一些大型制造公司可能會(huì)在現(xiàn)場(chǎng)有自己的電力運(yùn)營(yíng)部門(mén),其中包含相同的設(shè)備。從理論上講,如果使用相同的設(shè)備,攻擊者可以將制造業(yè)作為針對(duì)關(guān)鍵基礎(chǔ)設(shè)施(如電力公司)的破壞性攻擊的“試驗(yàn)場(chǎng)”。Dragos估計(jì),由于總體上較復(fù)雜的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和較少的政府監(jiān)督,制造業(yè)可能成為攻擊者更具吸引力的目標(biāo)。
最臭名昭著的ICS惡意軟件Stuxnet也針對(duì)制造業(yè)。2010年首次發(fā)現(xiàn)該蠕蟲(chóng)病毒的攻擊目標(biāo)是伊朗擁有的負(fù)責(zé)控制鈾濃縮離心機(jī)的可編程邏輯控制器(PLC)。這種網(wǎng)絡(luò)攻擊在當(dāng)時(shí)是史無(wú)前例的,它是第一次對(duì)計(jì)算機(jī)系統(tǒng)造成物理破壞的攻擊。
四、針對(duì)制造業(yè)的威脅
( 一 ) 勒索軟件
制造業(yè)最常見(jiàn)的威脅是勒索軟件。Dragos觀察到,在過(guò)去兩年中,影響ICS環(huán)境和操作的非公開(kāi)和公共勒索軟件事件數(shù)量顯著增加。今年,Dragos確定了采用ICS感知功能的多種勒索軟件,包括能夠在環(huán)境中停止工業(yè)過(guò)程的能力,其活動(dòng)可以追溯到2019年。EKANS、Megacortex和Clop只是包含這類代碼的少數(shù)勒索病毒軟件。EKANS和其他關(guān)注ICS的勒索軟件對(duì)工業(yè)操作構(gòu)成了一種獨(dú)特的、特定的風(fēng)險(xiǎn),此前在勒索軟件操作中沒(méi)有觀察到這種風(fēng)險(xiǎn)。
( 二 ) 暴露于互聯(lián)網(wǎng)上的資產(chǎn)
暴露于互聯(lián)網(wǎng)上的工業(yè)和網(wǎng)絡(luò)資產(chǎn)對(duì)制造業(yè)來(lái)說(shuō)是高風(fēng)險(xiǎn),因?yàn)檫@些資產(chǎn)有助于攻擊者進(jìn)入受害環(huán)境。針對(duì)ICS的威脅組織,包括PARISITE、MAGNALLIUM、ALLANITE和XENOTIME,以前或目前都試圖利用遠(yuǎn)程訪問(wèn)技術(shù)或登錄基礎(chǔ)設(shè)施。
根據(jù)《2019年Dragos年度回顧報(bào)告》,66%的事件響應(yīng)案例涉及對(duì)手直接從互聯(lián)網(wǎng)訪問(wèn)ICS網(wǎng)絡(luò),100%的組織都有可路由的網(wǎng)絡(luò)連接到其操作環(huán)境中。最近以色列針對(duì)水基礎(chǔ)設(shè)施的網(wǎng)絡(luò)入侵是可編程邏輯控制器(PLC)暴露在開(kāi)放互聯(lián)網(wǎng)上的結(jié)果。Dragos還響應(yīng)了工業(yè)實(shí)體的勒索軟件事件,這些企業(yè)利用互聯(lián)網(wǎng)連接的遠(yuǎn)程訪問(wèn)門(mén)戶滲透到運(yùn)營(yíng)網(wǎng)絡(luò)并部署勒索軟件。
2020年7月,美國(guó)國(guó)土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和國(guó)家安全局(NSA)發(fā)布了一份警告,鼓勵(lì)資產(chǎn)所有者和運(yùn)營(yíng)商立即采取行動(dòng),限制OT資產(chǎn)接入互聯(lián)網(wǎng)。根據(jù)該警報(bào),最近在發(fā)布前觀察到的行為包括:在轉(zhuǎn)向操作技術(shù)(OT)之前,通過(guò)魚(yú)叉釣魚(yú)獲得對(duì)信息技術(shù)(IT)的初始訪問(wèn),部署商用勒索軟件來(lái)影響IT和OT環(huán)境,連接到不需要驗(yàn)證的可訪問(wèn)互聯(lián)網(wǎng)的可編程邏輯控制器(PLC),使用常用端口和標(biāo)準(zhǔn)應(yīng)用層協(xié)議與控制器通信并下載修改后的控制邏輯,使用供應(yīng)商工程軟件和程序下載、修改可編程邏輯控制器上的控制邏輯和參數(shù)。
攻擊者很快就可以將面向互聯(lián)網(wǎng)的服務(wù)(包括遠(yuǎn)程桌面協(xié)議(RDP)和VPN服務(wù))中的漏洞進(jìn)行武器化和利用。2020年夏季發(fā)現(xiàn)的新漏洞會(huì)影響關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù),包括F5、Palo Alto Networks、Citrix和Juniper網(wǎng)絡(luò)設(shè)備,可能會(huì)被針對(duì)ICS的攻擊者利用,這些漏洞可使對(duì)手獲得對(duì)企業(yè)運(yùn)營(yíng)的初始訪問(wèn)權(quán),之后可能轉(zhuǎn)向工業(yè)運(yùn)營(yíng)。
?。?三 ) ICS漏洞
ICS專用設(shè)備和服務(wù)中的漏洞可能給制造環(huán)境帶來(lái)風(fēng)險(xiǎn)。截至2020年10月,Dragos的研究人員評(píng)估并驗(yàn)證了108個(gè)安全建議,其中包含262個(gè)漏洞,這些漏洞會(huì)影響制造環(huán)境中的工業(yè)設(shè)備。Dragos發(fā)現(xiàn),幾乎有一半的通報(bào)都描述了一個(gè)漏洞,該漏洞可能導(dǎo)致受到破壞的環(huán)境中可視性丟失和/或失去控制。
在Dragos評(píng)估的影響制造業(yè)工業(yè)設(shè)備的漏洞中,70%需要訪問(wèn)受害者網(wǎng)絡(luò)才能利用,26%要求攻擊者能夠訪問(wèn)易受攻擊的設(shè)備本身,8%的要求攻擊者在局域網(wǎng)上以便于攻擊。鼓勵(lì)資產(chǎn)所有者和運(yùn)營(yíng)商注意這些漏洞對(duì)制造操作的威脅。例如,可視化或控制裝置丟失會(huì)引起安全隱患,并可能使工人的生命或環(huán)境面臨風(fēng)險(xiǎn)。
( 四 ) 知識(shí)產(chǎn)權(quán)盜竊
Dragos高度自信地認(rèn)為,知識(shí)產(chǎn)權(quán)盜竊和工業(yè)間諜活動(dòng)是制造實(shí)體的主要威脅,尤其是來(lái)自國(guó)家支持的攻擊者和惡意內(nèi)部人士的威脅。與過(guò)程和自動(dòng)化功能相關(guān)的知識(shí)產(chǎn)權(quán)和商業(yè)秘密的竊取,可使工業(yè)組織以及感興趣的政府快速發(fā)展關(guān)鍵基礎(chǔ)設(shè)施,包括制造業(yè)。它還可以支持國(guó)家資助的間諜活動(dòng),以進(jìn)行政治或國(guó)家安全工作。獲得產(chǎn)品的材料規(guī)格可能不足以復(fù)制它們,企業(yè)依賴工程和工業(yè)設(shè)計(jì)原理圖以及基因自動(dòng)化測(cè)序詳細(xì)信息。根據(jù)Dragos研究人員稱,攻擊者可能會(huì)竊取算法、工程設(shè)計(jì)和編程規(guī)范,以復(fù)制整個(gè)生產(chǎn)過(guò)程,而不僅僅是物質(zhì)產(chǎn)品和服務(wù)的輸出。
( 五 ) 第三方/供應(yīng)鏈
自2017年以來(lái),作為威脅受害者的第一步,多種威脅已轉(zhuǎn)移到危害供應(yīng)商、托管服務(wù)提供商(MSP)和外部網(wǎng)絡(luò)服務(wù)。攻擊者可以濫用現(xiàn)有的信任關(guān)系和互聯(lián)性,以獲得對(duì)敏感資源的訪問(wèn)權(quán),在某些情況下還包括ICS系統(tǒng),幾乎都不可能被發(fā)現(xiàn)。
此類活動(dòng)的最新案例包括:DYMALLOY和ALLANITE組織針對(duì)幾個(gè)原始設(shè)備制造商和供應(yīng)商進(jìn)行了攻擊,針對(duì)電力部門(mén)實(shí)施了后續(xù)網(wǎng)絡(luò)釣魚(yú)攻擊;針對(duì)幾家原始設(shè)備制造商和供應(yīng)商的XENOTIME;APT10進(jìn)行了一場(chǎng)廣泛的黑客攻擊,劫持了MSP及其客戶之間的連接,其中包括制造企業(yè)。
承包商、供應(yīng)商和其他第三方人員通常可以直接訪問(wèn)操作環(huán)境進(jìn)行更新、檢查或新設(shè)備安裝等活動(dòng)。攻擊者有可能將這些個(gè)人使用的設(shè)備作為進(jìn)入其最終目標(biāo)的接入點(diǎn)。企業(yè)資源規(guī)劃(ERP)供應(yīng)商還提供了潛在的感染媒介,如果沒(méi)有適當(dāng)?shù)母綦x和安全控制,這些媒介可以彌合IT和OT之間的鴻溝。ERP服務(wù)需要訪問(wèn)操作資產(chǎn)以監(jiān)視和存儲(chǔ)與生產(chǎn)、供應(yīng)鏈、庫(kù)存和安全相關(guān)的信息。它們應(yīng)該集成到企業(yè)功能中,如合規(guī)或財(cái)務(wù)。最近的漏洞暴露突出了這些系統(tǒng)的威脅和潛在的利用。2020年7月,主要的ERP供應(yīng)商SAP發(fā)布了影響SAP NetWeaver Application Server(AS)Java組件的嚴(yán)重漏洞的詳細(xì)信息和修補(bǔ)程序,該漏洞影響了眾多SAP業(yè)務(wù)解決方案,包括ERP。攻擊者可以利用該漏洞控制受信任的SAP連接。
制造業(yè)實(shí)體是全球供應(yīng)鏈的一部分,支持多個(gè)其他行業(yè),這使得它們成為對(duì)手攻擊電力公用事業(yè)或制藥等行業(yè)的跳板。一些制造業(yè)公司的活動(dòng)延伸到多個(gè)垂直行業(yè)。汽車(chē)制造商大眾汽車(chē)于2019年成為可再生能源供應(yīng)商,旨在與能源公司在電池儲(chǔ)能和管理方面展開(kāi)競(jìng)爭(zhēng)。
利用第三方連接可使攻擊者進(jìn)行間諜活動(dòng)、偵察和數(shù)據(jù)竊取操作,以預(yù)先做好準(zhǔn)備以展開(kāi)破壞性O(shè)T攻擊。由于制造業(yè)公司在各個(gè)行業(yè)垂直領(lǐng)域的相互關(guān)聯(lián)關(guān)系,資產(chǎn)所有者和運(yùn)營(yíng)商應(yīng)意識(shí)到所有ICS實(shí)體面臨的威脅,并將ICS特定威脅情報(bào)納入安全運(yùn)營(yíng)和風(fēng)險(xiǎn)管理。
五、IT/OT融合
?。?一 ) 網(wǎng)絡(luò)隔離
制造商的網(wǎng)絡(luò)安全成熟度取決于行業(yè)、監(jiān)管要求、地理位置和各種其他因素。然而,在制造環(huán)境中存在“扁平網(wǎng)絡(luò)”并不罕見(jiàn)。這是因?yàn)槠髽I(yè)和運(yùn)營(yíng)部門(mén)之間共享網(wǎng)絡(luò)連接。這使得攻擊者更容易跨越IT和OT邊界,并從IT接入點(diǎn)進(jìn)入后攻擊制造業(yè)務(wù)。
如果企業(yè)和運(yùn)營(yíng)部門(mén)之間確實(shí)存在隔離,利用跳轉(zhuǎn)主機(jī)和訪問(wèn)限制,那么制造工廠通常利用所有制造工廠的相同廣域網(wǎng)(WAN)連接。如果攻擊者能夠進(jìn)入一個(gè)設(shè)施的運(yùn)營(yíng),則可能會(huì)危及整個(gè)公司的運(yùn)營(yíng)。
扁平網(wǎng)絡(luò)結(jié)構(gòu)的危險(xiǎn)在2017年得到了廣泛證明。那一年,WannaCry和NotPetya蠕蟲(chóng)勒索軟件和惡意軟件攻擊全球,破壞了眾多制造商的運(yùn)營(yíng)。這些蠕蟲(chóng)利用舊版本的Microsoft服務(wù)器消息塊(SMB)協(xié)議中的漏洞和連續(xù)的憑據(jù)竊取和重用進(jìn)行傳播。由于IT和OT之間存在較弱的隔離、環(huán)境之間的維護(hù)互連以及缺乏訪問(wèn)限制進(jìn)行互連,惡意軟件在工業(yè)運(yùn)營(yíng)中緩慢蔓延,造成了數(shù)十億美元的損失。盡管WannaCry和NotPetya事件給全球制造商敲響了警鐘,但三年后,不當(dāng)?shù)木W(wǎng)絡(luò)隔離仍然是一個(gè)問(wèn)題。
?。?二 ) Wi-Fi連接
除了與互聯(lián)網(wǎng)連接的過(guò)程自動(dòng)化和其他“智能”制造過(guò)程外,運(yùn)營(yíng)商還采用了支持Wi-Fi的機(jī)床和診斷設(shè)備?;ヂ?lián)網(wǎng)連接工具連接到歷史數(shù)據(jù)庫(kù),用于質(zhì)量保證、監(jiān)管和物流等目的。通常,這些工具連接到企業(yè)或運(yùn)營(yíng)資源,可以用作網(wǎng)絡(luò)接入點(diǎn),或在旨在破壞生產(chǎn)和阻礙運(yùn)營(yíng)的攻擊中成為攻擊目標(biāo)。物流應(yīng)用程序和服務(wù)使制造資產(chǎn)的移動(dòng)部件(如車(chē)輛、司機(jī)和貨物)能夠與倉(cāng)庫(kù)或人力資源等靜態(tài)資產(chǎn)進(jìn)行通信和交互。員工和承包商使用帶有Wi-Fi連接的移動(dòng)和桌面硬件來(lái)使用應(yīng)用程序和服務(wù),并定期訪問(wèn)企業(yè)網(wǎng)絡(luò),有時(shí)還訪問(wèn)運(yùn)營(yíng)網(wǎng)絡(luò)。
物流技術(shù)可以確保供應(yīng)鏈的及時(shí)、精簡(jiǎn),但對(duì)任何中斷都非常敏感。如果物流網(wǎng)絡(luò)中的一臺(tái)設(shè)備受到威脅,則惡意軟件或?qū)κ挚赡軙?huì)散布到該設(shè)備所連接的所有網(wǎng)段。時(shí)間敏感的小事故可能意味著制造業(yè)運(yùn)營(yíng)的嚴(yán)重破壞,并影響客戶、產(chǎn)品和服務(wù)。
?。?三 ) 缺乏可見(jiàn)性
隨著制造業(yè)務(wù)的聯(lián)系日益緊密,這些環(huán)境中仍然缺乏對(duì)過(guò)程、資產(chǎn)和連接的可見(jiàn)性。很難抵御運(yùn)營(yíng)商看不到的威脅。
根據(jù)Dragos 2019年度回顧報(bào)告,81%的Dragos服務(wù)團(tuán)隊(duì)合作的組織對(duì)ICS/OT網(wǎng)絡(luò)的可見(jiàn)性極為有限或根本沒(méi)有。從事件響應(yīng)活動(dòng)中觀察發(fā)現(xiàn),沒(méi)有用于事件分析的安全性和過(guò)程數(shù)據(jù)聚合實(shí)例,而需要手動(dòng)檢索日志和分布式分析。
至關(guān)重要的是,在未來(lái),所有制造部門(mén)和運(yùn)營(yíng)部門(mén)(包括工程、裝配和物流)的資產(chǎn)所有者和運(yùn)營(yíng)商改善網(wǎng)絡(luò)和主機(jī)可見(jiàn)性,以識(shí)別和抵御日益增長(zhǎng)的威脅。
六、防御建議
制造企業(yè)都是不同的,并且網(wǎng)絡(luò)安全機(jī)制、網(wǎng)絡(luò)體系結(jié)構(gòu)以及它們?cè)敢饨邮艿娘L(fēng)險(xiǎn)也會(huì)因行業(yè)而異。例如,在食品和制藥行業(yè),已經(jīng)制定了監(jiān)管條例,以監(jiān)測(cè)生產(chǎn)和銷售給公眾的產(chǎn)品的安全性。但是,為了提高環(huán)境的整體安全性,所有制造企業(yè)都應(yīng)執(zhí)行以下建議:
進(jìn)行架構(gòu)檢查,以確定IT和OT網(wǎng)絡(luò)之間的所有資產(chǎn)、連接和通信。確定非軍事區(qū)(DMZ)以限制飛地之間的流量。嚴(yán)格檢查并限制公司網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)之間的連接,并將其限制為僅已知的、需要的流量。
確保理解網(wǎng)絡(luò)的相互依賴關(guān)系,并進(jìn)行核心分析,以識(shí)別可能破壞業(yè)務(wù)連續(xù)性的潛在弱點(diǎn)。
盡可能實(shí)施多因素身份驗(yàn)證(MFA),尤其是在外圍設(shè)備和登錄門(mén)戶。重點(diǎn)關(guān)注與集成商、維護(hù)人員、供應(yīng)商人員以及諸如安全設(shè)備之類連接。如果無(wú)法在內(nèi)部設(shè)備上實(shí)現(xiàn)MFA,請(qǐng)確保對(duì)所有憑證使用強(qiáng)且難以猜測(cè)的口令。
確保維護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的備份,并在災(zāi)難恢復(fù)模擬期間測(cè)試備份。制定ICS特定事件響應(yīng)計(jì)劃,并演練如何處理不同的事件。
被動(dòng)識(shí)別和監(jiān)視ICS網(wǎng)絡(luò)資產(chǎn),以識(shí)別網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)、阻塞點(diǎn)和外部通信。
尋找針對(duì)制造的對(duì)手所使用的威脅行為和已知的戰(zhàn)術(shù)、技術(shù)和程序(TTPs),比如那些映射到ICS的ATT&CK。
監(jiān)控來(lái)自ICS網(wǎng)絡(luò)的出站通信,以檢測(cè)惡意威脅行為、指標(biāo)和異常情況。了解惡意活動(dòng)組織表現(xiàn)出的惡意行為,對(duì)于防范至關(guān)重要。
監(jiān)測(cè)和標(biāo)記關(guān)鍵資產(chǎn)。Dragos資產(chǎn)識(shí)別允許通過(guò)檢測(cè)針對(duì)資產(chǎn)類型的惡意行為來(lái)進(jìn)行特定分析。
利用特定于行業(yè)的威脅檢測(cè)機(jī)制來(lái)識(shí)別OT中的惡意軟件,并在網(wǎng)絡(luò)級(jí)別加強(qiáng)縱深防御策略,從而使防御者和分析員具有更強(qiáng)大的調(diào)查能力。
確保公司網(wǎng)絡(luò)已修補(bǔ),以防止惡意軟件感染進(jìn)入環(huán)境并防止后續(xù)傳播。
確保關(guān)鍵的網(wǎng)絡(luò)服務(wù),如Active Directory(AD)和托管它的服務(wù)器都受到很好的保護(hù),并盡可能最大程度地限制對(duì)托管設(shè)備的管理訪問(wèn)。
盡可能評(píng)估和限制IT和ICS網(wǎng)絡(luò)之間的共享。在共享AD環(huán)境中為OT系統(tǒng)創(chuàng)建專用安全組,并將部署組策略對(duì)象(GPO)或其他更改的權(quán)限限制為僅對(duì)管理員,以減少攻擊面。
確保最大程度地將網(wǎng)絡(luò)隔離。如果無(wú)法進(jìn)行隔離,請(qǐng)確保應(yīng)急響應(yīng)計(jì)劃有良好的文檔記錄,以詳細(xì)說(shuō)明緊急情況下,如惡意軟件感染時(shí)的隔離工作。例如,實(shí)施防火墻規(guī)則,將關(guān)鍵的ICS組件從網(wǎng)絡(luò)中分離出來(lái),這些組件可以根據(jù)環(huán)境的信息安全和功能安全以及任何潛在的惡意活動(dòng)進(jìn)行激活和停用。
不需要進(jìn)行實(shí)時(shí)通信或直接訪問(wèn)操作的服務(wù)和設(shè)備應(yīng)進(jìn)行虛擬化。這可以改進(jìn)漏洞管理,并為相互依賴提供更好的安全性。例如,工程工作站(EWS)和人機(jī)界面(HMI)操作可以虛擬化。
隔離用于建筑物出入控制(BAC)和供暖、通風(fēng)和空調(diào)(HVAC)的設(shè)備和服務(wù)。這些服務(wù)可被視為二級(jí)或支持系統(tǒng),對(duì)維持安全、可靠的制造運(yùn)營(yíng)至關(guān)重要,并且可以作為試圖破壞制造生產(chǎn)的對(duì)手的潛在目標(biāo)。
七、結(jié)論
針對(duì)制造企業(yè)、導(dǎo)致運(yùn)營(yíng)中斷的勒索軟件呈現(xiàn)上升趨勢(shì)?;ヂ?lián)網(wǎng)暴露的資產(chǎn)、供應(yīng)鏈和第三方危害風(fēng)險(xiǎn),以及互聯(lián)企業(yè)和運(yùn)營(yíng)網(wǎng)絡(luò)的日益融合,導(dǎo)致了威脅態(tài)勢(shì)的不斷惡化。Dragos繼續(xù)監(jiān)測(cè)重點(diǎn)的攻擊組織和針對(duì)制造業(yè)務(wù)的威脅,包括涉及能夠破壞運(yùn)營(yíng)的ICS勒索軟件。此外,如Dragos所述,攻擊者無(wú)需專門(mén)針對(duì)工業(yè)過(guò)程,就可實(shí)現(xiàn)跨工廠、車(chē)隊(duì)或自動(dòng)化過(guò)程的廣泛危害破壞。可以肯定的是,明年制造業(yè)面臨的威脅還將繼續(xù)增加。