分析工控網(wǎng)絡(luò)威脅和防御；認為工控網(wǎng)絡(luò)（OT網(wǎng)絡(luò)）的攻擊已經(jīng)武器化。

　　鑒于工控（OT）威脅的加速增長，IBM Security X-Force觀察到的一些針對OT網(wǎng)絡(luò)組織的最常見威脅，包括勒索軟件和漏洞利用。IBM還將強調(diào)幾種可以增強OT網(wǎng)絡(luò)安全性的措施，這些措施基于X-Force 紅隊滲透測試團隊的見解和X-Force事件響應(yīng)經(jīng)驗，幫助OT客戶應(yīng)對安全事件。其中包括對數(shù)據(jù)記錄系統(tǒng)和網(wǎng)絡(luò)架構(gòu)（如域控制器）的關(guān)注。

　　OT是控制工業(yè)過程的硬件和軟件，如重型制造設(shè)備、機器人、石油管道或化學(xué)流體、電力設(shè)施、水和運輸車輛的功能。

　　通常情況下，OT網(wǎng)絡(luò)與擁有兩者的組織中的信息技術(shù)（IT）網(wǎng)絡(luò)是分離的。電子郵件、客戶交易、人力資源數(shù)據(jù)庫和其他IT與控制物理過程的技術(shù)是分離的。即便如此，針對IT網(wǎng)絡(luò)的典型威脅仍有可能影響OT網(wǎng)絡(luò)，特別是在細分不有效或在IT網(wǎng)絡(luò)遭到攻擊（如勒索軟件）后，工程師決定關(guān)閉OT網(wǎng)絡(luò)作為預(yù)防措施時。

　　OT網(wǎng)絡(luò)面臨的威脅可以說比IT網(wǎng)絡(luò)面臨的威脅更危險，因為可能會導(dǎo)致物理后果，如汽車事故、爆炸、火災(zāi)和其他可能的生命損失。這些結(jié)果使得網(wǎng)絡(luò)攻擊實際上變成了一種真實的武器。

　　勒索病毒是工控網(wǎng)絡(luò)最主要的攻擊形式

　　在X-Force觀察到的針對工控組織的所有攻擊類型中，勒索軟件是最主要的。事實上，X-Force觀察到，在2021年針對工控組織的所有攻擊中，近三分之一是勒索軟件——這一比例明顯高于任何其他類型的攻擊。

　　在許多情況下，勒索軟件攻擊只影響網(wǎng)絡(luò)的IT部分。然而，這些IT感染仍然會對OT網(wǎng)絡(luò)管理的操作產(chǎn)生巨大的后果。X-Force和Dragos在2020年底的研究發(fā)現(xiàn)，56%對OT網(wǎng)絡(luò)組織的勒索軟件攻擊在影響范圍已知的情況下影響操作功能。在許多情況下，OT網(wǎng)絡(luò)可能被關(guān)閉作為預(yù)防措施，以防止勒索軟件蔓延到OT網(wǎng)絡(luò)或負面影響操作。這就是2021年5月針對Colonial Pipeline的高影響勒索軟件攻擊的案例，該攻擊導(dǎo)致美國幾個州出現(xiàn)汽油短缺。

　　然而，在其他情況下，勒索軟件確實會轉(zhuǎn)移到網(wǎng)絡(luò)的OT部分。Ryuk是IBM最常觀察到的攻擊OT網(wǎng)絡(luò)的勒索軟件

　　Ryuk勒索軟件在工控網(wǎng)絡(luò)

　　2019年秋季，Ryuk勒索軟件攻擊了至少五個石油和天然氣組織，這似乎是針對OT（特別是石油和天然氣）實體的針對性行動的一部分。根據(jù)美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的報告和Dragos的分析，根據(jù)美國海岸警衛(wèi)隊的報告，至少有一個組織是美國管道運營商的天然氣壓縮設(shè)施。

　　美國海岸警衛(wèi)隊2019年12月16日發(fā)布的《海上安全信息公報》指出，管道組織的IT和OT網(wǎng)絡(luò)之間的隔離不足以阻止攻擊者到達OT環(huán)境。該報告稱，在感染了該組織的IT網(wǎng)絡(luò)之后，“病毒進一步潛入了監(jiān)視和控制貨物傳輸?shù)墓I(yè)控制系統(tǒng)，以及對流程操作至關(guān)重要的文件進行加密?！惫孢M一步指出，攻擊擾亂了攝像頭和物理訪問控制系統(tǒng)，并導(dǎo)致“關(guān)鍵過程控制監(jiān)控系統(tǒng)”的丟失。

　　X-Force事件響應(yīng)同樣觀察到Ryuk分支機構(gòu)在攻擊補救和調(diào)查中跨越OT網(wǎng)絡(luò)，使用的方法與海岸警衛(wèi)隊觀察到的類似。

　　2021年2月，法國政府的一份報告指出，更新的Ryuk變種具有蠕蟲般的能力，可以在受感染的網(wǎng)絡(luò)中自主復(fù)制。2021年6月，X-Force對Ryuk惡意軟件樣本的惡意軟件分析證實了這些發(fā)現(xiàn)，類似地揭示了這些類似蠕蟲的能力在更新的Ryuk變體。X-Force對Ryuk惡意軟件的分析顯示，樣本被裝入了類似于Emotet和Trickbot活動中使用的加載器中，Emotet過去也曾被認為蠕蟲進入OT網(wǎng)絡(luò)。

　　最近Ryuk勒索軟件樣本中新的蠕蟲樣特征可能會使該組織在未來的勒索軟件操作中更有可能進入OT網(wǎng)絡(luò)，特別是在不存在可靠分割的情況下。

　　工控漏洞在野利用嚴重

　　X-Force事件響應(yīng)數(shù)據(jù)顯示，在2021年，漏洞利用是攻擊者用來獲得工控網(wǎng)絡(luò)的未經(jīng)授權(quán)訪問的主要方法。事實上，到目前為止，X-Force在使用OT網(wǎng)絡(luò)的組織中觀察到的漏洞利用導(dǎo)致了令人震驚的89%的事件，這些組織的最初感染載體是已知的。

　　在2021年，X-Force還觀察到威脅行為者利用CVE-2019-19781漏洞（Citrix服務(wù)器路徑穿越漏洞）訪問OT組織的網(wǎng)絡(luò)。這是X-Force在2020年觀察到的最容易被利用的漏洞。威脅參與者能夠輕松地利用這個Citrix漏洞，以及它對關(guān)鍵服務(wù)器提供的訪問級別，使得它成為多個攻擊者選擇的入口點。如果您的組織還沒有這樣做，我們強烈建議您修復(fù)這個漏洞。

　　零日和供應(yīng)鏈風險

　　在某些情況下，工控組織成為kaseya相關(guān)勒索軟件攻擊的受害者，利用零日漏洞和供應(yīng)鏈式操作成為最初的感染載體。在Kaseya的案例中，Sodinokibi/REvil勒索軟件運營商利用Kaseya的VSA軟件（現(xiàn)在稱為CVE-2021-30116）的零日漏洞進行了勒索軟件攻擊。這種攻擊利用了先進的民族國家行為體更常見的攻擊技術(shù)——即利用零日和供應(yīng)鏈傳播技術(shù)——這是非常難以防御的。

　　在另一起供應(yīng)鏈攻擊中，多個OT組織向X-Force尋求幫助，以確定太陽風供應(yīng)鏈攻擊對他們的影響程度。對于一些受SolarWinds攻擊影響的OT組織來說，原始設(shè)備制造商（oem）是進入路徑，突出表明攻擊者試圖利用供應(yīng)商和客戶之間建立的信任關(guān)系。原始設(shè)備制造商可以訪問OT客戶的網(wǎng)絡(luò)進行遠程維護，并且在這些遠程連接中使用了泄露的SolarWinds軟件。

　　諸如此類的例子突出了供應(yīng)鏈操作對OT組織的重大風險

　　工控網(wǎng)絡(luò)防御：數(shù)據(jù)記錄系統(tǒng)不能忽視

　　當涉及到OT網(wǎng)絡(luò)安全時，X-Force Red滲透測試人員指出，數(shù)據(jù)記錄系統(tǒng)通常會提供進入OT網(wǎng)絡(luò)的可靠途徑。損害數(shù)據(jù)記錄通常會給OT網(wǎng)絡(luò)帶來損害的機會。因此，安全團隊在識別和支持OT網(wǎng)絡(luò)中的潛在弱點時，應(yīng)該小心不要忽視數(shù)據(jù)記錄系統(tǒng)。

　　數(shù)據(jù)歷史記錄是一種時間序列數(shù)據(jù)庫，旨在有效地收集和存儲工業(yè)自動化系統(tǒng)的過程數(shù)據(jù)。它廣泛應(yīng)用于OT網(wǎng)絡(luò)、工業(yè)控制系統(tǒng)（ICS）和監(jiān)控控制和數(shù)據(jù)采集（SCADA）網(wǎng)絡(luò)。數(shù)據(jù)記錄系統(tǒng)最初是為識別、診斷和修復(fù)可能導(dǎo)致昂貴停機時間的問題而創(chuàng)建的，現(xiàn)在仍然是最常用的。

　　對手能夠獲得訪問數(shù)據(jù)歷史，然后訪問數(shù)據(jù)，分析和信息的控制系統(tǒng)在該組織-有用的偵察和進一步的攻擊計劃。此外，如果數(shù)據(jù)歷史器是雙歸屬的，數(shù)據(jù)記錄器可以提供從IT網(wǎng)絡(luò)到OT網(wǎng)絡(luò)的路徑。此外，數(shù)據(jù)記錄系統(tǒng)往往在整個OT網(wǎng)絡(luò)中有廣泛的連接，這可以為攻擊者提供一系列在OT環(huán)境中移動的潛在選項。

　　OT組織可以通過創(chuàng)建歷史數(shù)據(jù)安全組來更好地保護數(shù)據(jù)，仔細定義誰可以訪問這些組，密切監(jiān)控有訪問權(quán)限的賬戶，以確保它們不被竊取或濫用，并實施強大的身份驗證措施。每當對數(shù)據(jù)歷史記錄中的數(shù)據(jù)或配置進行更改時，組織還可以使用電子簽名和電子記錄來要求身份驗證。此外，將記錄器放置DMZ可以幫助將其與OT網(wǎng)絡(luò)隔離開來，同時仍然提供從IT網(wǎng)絡(luò)的訪問。

　　在IT基礎(chǔ)設(shè)施中創(chuàng)建和使用“企業(yè)”數(shù)據(jù)記錄器的情況并不少見。隨著積極的云采用策略和工業(yè)物聯(lián)網(wǎng)（IIoT）設(shè)備的增加，企業(yè)已經(jīng)開始實施或?qū)⑦@些數(shù)據(jù)記錄器轉(zhuǎn)移到云環(huán)境中。通常，這些數(shù)據(jù)記錄基于特定匯總數(shù)據(jù)。這種方法提供了可伸縮性和與基于云的存儲和應(yīng)用程序的無縫集成，以便在需要時實現(xiàn)安全的信息共享。然而，企業(yè)必須確保它們安全地存儲數(shù)據(jù)，而不為攻擊創(chuàng)造漏洞。

　　工控網(wǎng)絡(luò)安全的一些重要手段

　　保護工控網(wǎng)絡(luò)比以往任何時候都更加重要。工控網(wǎng)絡(luò)防御可以實施一系列措施來減少在他們的OT網(wǎng)絡(luò)上遭遇網(wǎng)絡(luò)事件的機會。其中一些措施旨在降低包括Ryuk攻擊在內(nèi)的勒索軟件攻擊的風險，而其他措施則有助于防止一系列不同類型的攻擊，這些攻擊有可能使OT網(wǎng)絡(luò)武器化。

　　嚴格隔離OT和企業(yè)IT網(wǎng)絡(luò)，理想情況下創(chuàng)建ISA/IEC 62443指南中建議的工業(yè)DMZ （iDMZ）。確保OT和IT環(huán)境之間的任何依賴關(guān)系都是已知的，并有良好的文檔記錄。使用微分割減少不同操作環(huán)境之間的依賴關(guān)系。網(wǎng)絡(luò)和系統(tǒng)應(yīng)該以這樣一種方式進行架構(gòu)，即能夠從物理上將一個環(huán)境或系統(tǒng)從其他環(huán)境中拔下或隔離出來，并保持完整的操作。禁用不需要公共訪問的OT域控制器、服務(wù)器和工作站的互聯(lián)網(wǎng)訪問；理想情況下，互聯(lián)網(wǎng)連接的服務(wù)應(yīng)該位于iDMZ。

　　對網(wǎng)絡(luò)流量進行過濾，增強OT和ICS網(wǎng)絡(luò)的防御能力，防止ICS協(xié)議穿越IT網(wǎng)絡(luò)，禁止已知惡意IP地址的通信，監(jiān)控OT和IT環(huán)境之間的通信。

　　通過僅使用絕對最小數(shù)量的域管理員帳戶，鎖定域控制器上的域管理員帳戶，以防止獲取憑證和刪除所有帳戶的本地管理員權(quán)限，減少域管理員帳戶受損的機會。

　　確保健壯的安全監(jiān)視功能通過一個不安全的實現(xiàn)操作中心（SOC）收集和相關(guān)安全信息從OT網(wǎng)絡(luò)使用一個OT入侵檢測系統(tǒng)（IDS），應(yīng)用程序日志收集和存儲在一個SIEM解決方案或有管理的檢測和響應(yīng)（MDR）服務(wù)。

　　在勒索軟件緊急響應(yīng)計劃中包括對OT的影響。CISA建議考慮網(wǎng)絡(luò)攻擊可能對OT造成的全面影響，包括視野喪失、控制喪失和安全性喪失。仔細區(qū)分需要關(guān)閉操作環(huán)境的事件和不需要關(guān)閉操作環(huán)境的事件。

　　防范釣魚攻擊-一個常見的感染載體Ryuk勒索軟件-通過實現(xiàn)一個電子郵件安全軟件解決方案，包括在所有外部電子郵件上的橫幅，與員工分享真實世界的釣魚技術(shù)及其最終效果，禁用宏作為默認和使用基于行為的反軟件解決方案來檢測商品惡意軟件，如TrickBot, QakBot和Emotet。

　　為您的團隊投資于事件應(yīng)對準備和培訓(xùn)。X-Force觀察到，準備工作是區(qū)別于那些從勒索軟件攻擊中相對快速和容易恢復(fù)的組織和那些不能的組織的一個重要因素。創(chuàng)建和演練一個事件反應(yīng)計劃可以幫助你的團隊發(fā)展肌肉記憶，在關(guān)鍵時刻做出適當?shù)姆磻?yīng)。此外，有特定的站點或OT安全網(wǎng)絡(luò)事件響應(yīng)計劃和準備。每個OT環(huán)境都是獨特的，有不同的產(chǎn)品和系統(tǒng)。當OT組織計劃獨立的應(yīng)急響應(yīng)計劃時，他們應(yīng)該設(shè)法制定一個特定于現(xiàn)場的事件響應(yīng)計劃。

　　使用安全滲透測試測試您的安全控制。不建議對現(xiàn)場生產(chǎn)OT環(huán)境進行滲透測試。但是，應(yīng)該探索安全的機會，例如在工廠驗收測試（FAT）、現(xiàn)場驗收測試（SAT）或周轉(zhuǎn)（維護）期間。

　　利用暗網(wǎng)分析或Shodan來監(jiān)控受損資產(chǎn)。保持對網(wǎng)絡(luò)上任何被破壞的設(shè)備（或攻擊者可能用來破壞網(wǎng)絡(luò)的信息）的意識有助于在必要時采取主動措施。Shodan可以通過對互聯(lián)網(wǎng)進行掃描來幫助識別可發(fā)現(xiàn)的設(shè)備，并對暗網(wǎng)市場進行例行監(jiān)控，以獲取有關(guān)您的組織的信息，從而幫助您領(lǐng)先于潛在的威脅參與者。