近日，美國多家機(jī)構(gòu)包括FBI、NSA、CISA和EPA聯(lián)合發(fā)布網(wǎng)絡(luò)安全咨詢報(bào)告，數(shù)據(jù)顯示，內(nèi)部威脅和勒索軟件是當(dāng)前企業(yè)組織面臨的主要威脅，而水處理等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域正成為勒索軟件重點(diǎn)攻擊的目標(biāo)。報(bào)告重點(diǎn)披露了三起由勒索軟件引起的美國水和廢水處理設(shè)施 （WWS） 攻擊事件，在所有攻擊中，勒索軟件都對受感染系統(tǒng)文件進(jìn)行了加密，在其中一起安全事件中，攻擊者破壞了用于控制監(jiān)控和數(shù)據(jù)采集（SCADA）工業(yè)設(shè)備的系統(tǒng)。

　　此外，該報(bào)告還披露了攻擊者用來破壞WWS設(shè)施的IT和OT網(wǎng)絡(luò)的常見策略、技術(shù)和程序 （TTP）。主要包括：針對性的魚叉式釣魚活動(dòng)，向人員投送惡意負(fù)載，如勒索軟件和RAT；利用在線公開的服務(wù)和應(yīng)用程序，以實(shí)現(xiàn)對WWS網(wǎng)絡(luò)的遠(yuǎn)程訪問（即RDP訪問）；利用運(yùn)行易受攻擊固件版本的控制系統(tǒng)的漏洞。

　　攻擊事件

　　網(wǎng)絡(luò)安全咨詢報(bào)告重點(diǎn)通報(bào)了今年以來，WWS遭遇的三次勒索軟件攻擊事件，分別發(fā)生在3月、7月和8月。

　　1、2021年8月，攻擊者對位于加利福尼亞WWS設(shè)施實(shí)施Ghost變體勒索軟件攻擊，該勒索軟件變種已在系統(tǒng)中存在大約一個(gè)月，并在三個(gè)SCADA服務(wù)器顯示勒索軟件消息時(shí)被發(fā)現(xiàn)；

　　2、2021年7月，網(wǎng)絡(luò)攻擊者使用遠(yuǎn)程訪問將ZuCaNo勒索軟件部署到緬因州WWS設(shè)施處理廢水的SCADA計(jì)算機(jī)。此次攻擊導(dǎo)致處理系統(tǒng)切換到手動(dòng)模式，直到使用本地控制和更頻繁的操作員巡查，才恢復(fù)SCADA計(jì)算機(jī)；

　　3、2021年3月，網(wǎng)絡(luò)攻擊者對位于內(nèi)華達(dá)州的WWS設(shè)施使用了一種未知的勒索軟件變體。該勒索軟件影響了受害者的SCADA系統(tǒng)和備份系統(tǒng)。該SCADA系統(tǒng)提供可見性和監(jiān)控，但不是完整的工業(yè)控制系統(tǒng)（ICS）。

　　緩解措施

　　報(bào)告建議WWS組織（包括美國和其他國家的DoD水處理組織），使用合適的緩解措施，以防止、檢測、并應(yīng)對網(wǎng)絡(luò)威脅。

　　WWS監(jiān)控

　　負(fù)責(zé)監(jiān)控WWS的人員應(yīng)檢查以下可疑活動(dòng)和指標(biāo)。

　　出現(xiàn)在SCADA系統(tǒng)控件和設(shè)施屏幕上不熟悉的數(shù)據(jù)窗口或系統(tǒng)警報(bào)，這可能表明存在勒索軟件攻擊；

　　通過SCADA系統(tǒng)控制或水處理人員檢測異常操作參數(shù)，例如異常高的化學(xué)添加率，該添加率用于安全和適當(dāng)?shù)娘嬘盟幚恚?/p>

　　未經(jīng)授權(quán)的個(gè)人或團(tuán)體訪問SCADA系統(tǒng)，例如，未被授權(quán)/指派操作SCADA系統(tǒng)和控制的前雇員和現(xiàn)任雇員；

　　在不尋常的時(shí)間訪問SCADA系統(tǒng)，這可能表明合法用戶的憑據(jù)已被盜用；

　　原因不明的SCADA系統(tǒng)重新啟動(dòng)；

　　通常會(huì)波動(dòng)的參數(shù)值停止變化。

　　這些活動(dòng)和指標(biāo)可能表明威脅行為者的活動(dòng)。

　　遠(yuǎn)程訪問緩解措施

　　資產(chǎn)所有者應(yīng)評估與遠(yuǎn)程訪問相關(guān)的風(fēng)險(xiǎn)，確保其處于可接受水平。

　　對所有遠(yuǎn)程訪問OT網(wǎng)絡(luò)（包括來自IT網(wǎng)絡(luò)和外部網(wǎng)絡(luò)）的行為，進(jìn)行多因素身份驗(yàn)證；

　　利用黑名單和許可名單限制用戶的遠(yuǎn)程訪問；

　　確保所有遠(yuǎn)程訪問技術(shù)，都啟用了日志記錄并定期審核這些日志，以識別未經(jīng)授權(quán)的訪問實(shí)例；

　　利用手動(dòng)啟動(dòng)和停止功能，代替始終激活的無人值守訪問，以減少遠(yuǎn)程訪問服務(wù)運(yùn)行的時(shí)間；

　　對遠(yuǎn)程訪問服務(wù)使用系統(tǒng)審計(jì)；

　　關(guān)閉與遠(yuǎn)程訪問服務(wù)相關(guān)的非必要網(wǎng)絡(luò)端口，例如RDP–傳輸控制協(xié)議TCP端口3389；

　　為主機(jī)配置訪問控制時(shí)，利用自定義設(shè)置來限制遠(yuǎn)程方可以嘗試獲取的訪問權(quán)限。

　　網(wǎng)絡(luò)緩解措施

　　在IT和OT網(wǎng)絡(luò)之間實(shí)施強(qiáng)大的網(wǎng)絡(luò)分割，限制惡意網(wǎng)絡(luò)行為者在入侵IT網(wǎng)絡(luò)后轉(zhuǎn)向OT網(wǎng)絡(luò)。

　　實(shí)施非軍事區(qū)（DMZ）、防火墻、跳板機(jī)和單向通信二極管，以防止IT和OT網(wǎng)絡(luò)之間的不規(guī)范通信；

　　開發(fā)或更新網(wǎng)絡(luò)地圖，確保對連接到網(wǎng)絡(luò)的所有設(shè)備進(jìn)行全面統(tǒng)計(jì)；

　　從網(wǎng)絡(luò)中移除不需要進(jìn)行操作的設(shè)備，減少惡意行為者可以利用的攻擊面。

　　規(guī)劃和運(yùn)營緩解措施

　　確保組織的應(yīng)急響應(yīng)計(jì)劃，全面考慮到網(wǎng)絡(luò)攻擊對運(yùn)營可能造成的所有潛在影響；

　　該應(yīng)急響應(yīng)計(jì)劃，還應(yīng)考慮對OT網(wǎng)絡(luò)訪問有合法需求的第三方，包括工程師和供應(yīng)商；

　　每年審查、測試和更新應(yīng)急響應(yīng)計(jì)劃，確保其準(zhǔn)確性。

　　提高對備用控制系統(tǒng)的操作能力，如手動(dòng)操作，以及實(shí)施電子通信降級預(yù)案；

　　允許員工通過桌面練習(xí)獲得決策經(jīng)驗(yàn)，允許員工利用資源，如環(huán)境保護(hù)局（EPA）的網(wǎng)絡(luò)安全事件行動(dòng)清單，以及勒索軟件響應(yīng)清單，參考CISA-多狀態(tài)信息共享和分析中心（MS-ISAC）聯(lián)合勒索指南等，獲得相關(guān)經(jīng)驗(yàn)。

　　安全系統(tǒng)緩解措施

　　安裝獨(dú)立的網(wǎng)絡(luò)物理安全系統(tǒng)。如果控制系統(tǒng)被攻擊者破壞，這些系統(tǒng)可以在物理上防止危險(xiǎn)情況的發(fā)生。

　　網(wǎng)絡(luò)物理安全系統(tǒng)控制，包括對化學(xué)品進(jìn)料泵尺寸、閥門傳動(dòng)裝置、壓力開關(guān)的控制等；

　　這些類型的控制適用于WWS部門設(shè)施，尤其是網(wǎng)絡(luò)安全能力有限的小型設(shè)施，它們可以使工作人員能夠在最壞的情況下，評估系統(tǒng)并確定解決方案；

　　啟用網(wǎng)絡(luò)物理安全系統(tǒng)，允許操作員采取物理措施限制損害，例如阻止攻擊者控制氫氧化鈉泵將pH值提高到危險(xiǎn)水平。

　　額外的緩解措施

　　培養(yǎng)網(wǎng)絡(luò)就緒的安全文化；

　　更新包括操作系統(tǒng)、應(yīng)用程序和固件等在內(nèi)的軟件；使用基于風(fēng)險(xiǎn)的評估策略，來確定哪些OT網(wǎng)絡(luò)資產(chǎn)和區(qū)域應(yīng)參與補(bǔ)丁管理計(jì)劃；考慮使用集中式補(bǔ)丁管理系統(tǒng)；

　　設(shè)置防病毒/反惡意軟件程序，使用最新簽名定期掃描IT網(wǎng)絡(luò)資產(chǎn)；使用基于風(fēng)險(xiǎn)的資產(chǎn)清單策略，來確定如何識別和評估OT網(wǎng)絡(luò)資產(chǎn)是否存在惡意軟件；

　　在IT和OT網(wǎng)絡(luò)上實(shí)施定期數(shù)據(jù)備份程序，如定期測試備份，確保備份未連接到網(wǎng)絡(luò)，防止勒索軟件傳播到備份；

　　在可能的情況下，啟用OT設(shè)備身份驗(yàn)證，利用OT協(xié)議加密版本，對所有無線通信進(jìn)行加密，確保傳輸過程中控制數(shù)據(jù)的機(jī)密性和真實(shí)性；

　　對帳戶進(jìn)行管理，盡可能刪除、禁用或重命名任何默認(rèn)系統(tǒng)帳戶；實(shí)施帳戶鎖定策略，降低暴力攻擊的風(fēng)險(xiǎn)；使用強(qiáng)大的特權(quán)帳戶管理策略和程序，監(jiān)控第三方供應(yīng)商創(chuàng)建的管理員級帳戶；在員工離開組織后或帳戶達(dá)到規(guī)定的使用時(shí)間后，停用和刪除帳戶；

　　實(shí)施數(shù)據(jù)預(yù)防控制，例如實(shí)行應(yīng)用程序許可名單和軟件限制策略，防止從常見勒索軟件位置執(zhí)行相關(guān)程序；

　　通過安全意識和模擬項(xiàng)目，訓(xùn)練用戶識別和報(bào)告網(wǎng)絡(luò)釣魚等，識別并暫停出現(xiàn)異?；顒?dòng)的用戶訪問。