如何保护关键基础设施免受网络攻击

【编者按】过去,各国政府通过将其业务网络与互联网独立,来保护关键基础设施免受网络攻击。在当今的互联环境中,数字和物理系统正在融合,并产生了一系列新的网络安全问题。随着新冠疫情、远程办公及物联网的发展,业务网络与互联网之间的联系日益紧密,关键基础设施面临着巨大网络攻击风险。面对不断升级的网络攻击以及关键基础设施所面临的系统日益复杂的情况,公众也越来越意识到并关注关键基础设施中普遍存在的网络漏洞。保护好关基设施,就可保障国家经济、社会和人民福祉,因此除了物理攻击,也应关注针对关键基础设施的网络攻击。
2月2日,名为COMB的有史以来最大规模的破解用户名和口令汇编在网上泄露,包含32亿个唯一电子邮件/口令对,其中包括美国佛罗里达州Oldsmar水厂的凭证。
三天后,一个不明身份的攻击者进入了Oldsmar计算机系统,并试图通过将氢氧化钠(碱液)增加100倍,将城市水中的pH值控制在危险的高酸性水平。尽管攻击迅速被发现,且碱液浓度恢复正常,但该事件凸显了网络犯罪分子越来越容易将关键国家基础设施(Critical National Infrastructure,CNI)作为攻击目标。
在这种特殊情况下,攻击者通过工厂的TeamViewer软件进入了Oldsmar的系统,TeamViewer软件允许管理人员可以远程访问系统。威胁情报平台Flashpoint首席创新官Evan Kohlmann表示,“直到2020年8月,我们的分析人员才发现了与TeamViewer公开相关的几个高风险漏洞和风险。其中一个漏洞允许恶意网站使用任意参数启动TeamViewer,捕获受害者的哈希密码以进行离线口令破解。”
但是,此问题并非TeamViewer独有。早在2013年,国土安全部(DHS)就证实,一个名为“SOBH Cyber Jihad”的伊朗黑客组织至少六次访问控制纽约Bowman Avenue大坝的计算机系统,并访问了包含用户名和口令的敏感文件。同样,在2015年和2016年,乌克兰的电网遭受了一系列攻击,导致22.5万名乌克兰人遭受了数小时的停电,据信这是俄罗斯一个名为Sandworm的APT组织所为。
一、关键基础设施的脆弱性

2020年7月,CyberNews的一项调查发现,攻击者通过不安全的工业控制系统(ICS),就能轻松进入美国关键基础设施。该调查显示,攻击者只需简单的使用搜索引擎和专用于扫描所有开放端口并远程获得控制权的工具。CyberNews高级研究员Edvardas Mikalauskas解释称,“我们的先前研究指出,美国的许多ICS面板严重缺乏保护,很容易被威胁行为者访问。最脆弱的基础设施是能源和水利部门。关键基础设施(如发电厂)的物理安全通常人们非常重视,然而这些设施的网络安全状况并非如此。”

关于应该如何应对关键基础设施存在的潜在威胁,几年前曾以红队活动的名义对一家发电厂进行了黑客攻击的Thycotic首席安全科学家Joseph Carson认为,“与标准网络犯罪活动的不断发展相比,此类攻击级为罕见。对于大多数网络犯罪分子而言,潜在风险实在太大,而获得的潜在回报却很少。一方面,与标准商业业务相比,攻击关键基础设施资产通常需要更多的专业知识和工具。不过,更重要的是,大多数威胁行为者的动机都是单纯的经济利益,而破坏关键基础设施的直接经济收益几乎没有。”

但是,有迹象表明,这种情况正在开始改变。Bridewell Consulting网络安全和数据隐私专家、英国国家网络安全中心(NCSC)顾问Scott Nicholson表示,“现在不仅在美国,还是在英国和整个欧洲,我看到的针对关键基础设施的攻击都在增加。”

二、物理安全vs网络安全
在最新发表的《CNI网络报告:风险与弹性》中,Bridewell表示,感知到的网络攻击威胁与对CNI面临的实际威胁之间存在巨大差距。尽管78%的组织认为其OT网络受到了良好保护不会遭受网络威胁,且28%的组织对其网络安全非常有信心,但实际上CNI正面临着“网络困境”。根据Bridewell对五个CNI关键领域(航空、化学、能源、运输和水)的250位英国IT和安全决策者的研究,在过去的12个月中,有86%的组织在其OT/ICS环境中检测到了网络攻击,有近四分之一(24%)的组织经历了一到五次的网络攻击。水利和运输业一直是遭受最多成功攻击的部门。同样,IBM报告称,2019年针对OT的网络安全事件增加了2000%,其中大部分涉及Echobot物联网恶意软件。
对于计算机安全公司Skybox Security北美技术总监Terry Olaes来说,最新的OT攻击预示着网络犯罪分子的意图发生了变化,同时也引发了越来越多有关关键基础设施漏洞的问题。他表示,“管理关键基础设施面临着一些挑战。在关键基础设施的大规模环境中无法承受设施停机时间,物理安全优先于网络安全。因此,OT设备上的漏洞一年只会修复一次或两次,这使得关键基础设施给恶意攻击者敞开了后门。”
Bridewell的Scott Nicholson同意这一观点,“在工业控制环境中,服务的一致性和可用性是关键,而升级软件被视为是有风险的。对于OT组织来说,修补系统并保持更新是非常复杂的。需要网络尽可能地与互联网分开。这可以通过普渡模型来实现,普渡模型是1990年代开发的一种工业通信分层结构。”
另一个问题是对互联网连接的需求,新冠疫情大流行在一定程度上加速了互联网连接的需求。传统上,CNI部门中的许多组织都在自己的封闭专用网络上管理工业控制系统(ICS)和关键应用程序,但这种情况正在开始改变。物联网(IoT)的兴起使互联互通的优势脱颖而出,推动关键运营技术、IT网络和远程管理互联网融合的需求日益增长。然而不可避免的,这会增加潜在的攻击面,并带来更广泛的威胁。
Nozomi Networks联合创始人Andrea Carcano解释表示,“对于许多关键基础设施,新冠疫情迫使员工突然变成在家工作,这意味着安全团队必须远程访问生产控制网络,以保持系统正常运行。然而,远程访问通常是攻击者渗透网络最简单的途径。”
三、关键基础设施面临的安全挑战
Thycotic的Joseph Carson表示,围绕电厂等关键国家基础设施的物理安全通常人们非常重视,然而对于网络安全来说却大不相同。关键基础设施拥有大门、武装警卫、传感器及周边检测系统,然而对于网络安全来说,实际情况却令人担忧。
关键基础设施面临的挑战不会消失。物联网的发展,尤其是工业4.0的崛起,以及对无人机和自动驾驶车辆的需求不断增长,意味着攻击的可能性只会越来越大。同时,由于新冠疫情流行,对远程工作的持续需求带来了额外的风险,正如最近TeamViewer对佛罗里达州水处理设施的攻击那样。与新冠疫情斗争本身已经为网络攻击者提供了攻击目标。
Nozomi Networks的Andrea Carcano总结表示,“过去几年,我们继续看到对关键基础设施的威胁不断增加,而且我们预计这种趋势不会很快消失。最近针对医疗保健组织及与新冠疫情相关组织的攻击提醒我们,所应对的系统是高价值目标,容易受到攻击,并且不断面临攻击风险。”
四、保护关键基础设施免受网络攻击
  • 安全远程访问。这通常是攻击者渗透网络的最简单途径。管理人员需要使用端点保护、良好的口令习惯和网络防火墙来保护远程访问。
  • 创建资产清单。如果看不到网络上的所有设备,则无法保护或分段网络以提高弹性。通过维护所有网络资产的实时清单,安全团队可以实现对其设备、连接、通信和协议的准确可见性。
  • 识别和修补漏洞。工业网络包含来自许多供应商的数千种OT和IoT设备。然而,大多数并不是为关键基础设施环境所需的安全级别而设计的。使用国家漏洞数据库识别系统漏洞的工具可以帮助确定哪些设备有风险,确定优先级并推荐固件更新。
  • 监视异常情况。自动化网络异常检测解决方案利用人工智能对用于控制工业过程的实际参数进行异常检测。
  • 整合OT和IT网络。OT知道如何实现生产目标并保持工厂安全运行,同时IT可以解决网络和网络安全问题。两者结合可以提高弹性、减少高度连接的工业控制系统的盲区和安全风险。

参考资源:

【1】https://www.ifsecglobal.com/borders-infrastructure/how-to-protect-our-critical-infrastructure-from-attack/

【2】https://govinsider.asia/digital-gov/how-to-protect-critical-infrastructure-from-cyber-attacks/

(0)

相关推荐