工业控制系统:恶意软件的新目标

【编者按】工业部门对一个国家的发展具有重大的战略意义。随着物联网的出现,现代工业已经发生了革命性的变化,通过连接数十亿个传感器和设备而进入了一个新的篇章。信息技术(IT)和操作技术(OT)系统将自动化和互联性结合到了现有设施中。其中,关键基础设施实现了产品或服务的自动化生产,任何对关键基础设施的攻击都能影响到几乎每个人。近年来,工业4.0在世界范围内的普及提高了设施的效率,然而,不管这些基础设施有多先进,但在应对新型网络攻击方面明显准备不足。

在2020年期间,CISA共计发布了38个网络警报,从伊朗和朝鲜等民族国家行为者到专门针对管道运营的已知勒索软件,特别是2020年12月17日发布的最后一个警报,即针对SolarWinds供应链攻击的政府机构、关键基础设施和私营部门组织的高级持续威胁。2020年的网络警报比2019年增加了660%,2019年CISA全年发布了5次网络警报。
各组织也发现越来越多的针对工业控制系统(ICS)和操作技术(OT)网络的攻击,这一趋势一直持续到今年的黑客试图毒害佛罗里达镇的供水事件。
随着所有者和运营商采用新技术来提高运营效率,关键基础设施的攻击面继续扩大,针对ICS系统和OT网络的漏洞和目标预计将会增加。
一、OT网络成为恶意软件攻击目标
在IT领域,恶意软件是一个大产业。例如,勒索软件在2020年造成的全球损失成本约为200亿美元,几乎是2019年的两倍,是2018年的三倍。
勒索软件活动的快速支付性质和投资回报是有明确先例的。去年,Garmin成为WastedLocker的受害者,据报道支付了1000万美元的赎金。2020年其他勒索软件受害者包括电子产品制造商富士康(Foxconn)、一家美国管道公司、以及Toll Group,该组织在一年中遭受了两次攻击。
在过去几年中,恶意软件的编程水平和灵活性也有所提高。而且这种新的恶意软件越来越多地被部署在攻击中,对IT和OT系统都产生了影响。
二、IT恶意软件中出现ICS专用攻击模块

顾名思义,模块化恶意软件包含不同的模块。这些模块可以动态加载到特定环境中的目标系统上。例如,如果受害者有一台Windows 7 PC,则可以加载一个带有Windows 7漏洞攻击的模块来攻击该特定资产。

但许多敌对组织也一直在制造针对ICS和SCADA的恶意软件。TRITON公司被麻省理工学院技术评论评为“世界上最凶残的恶意软件”,专门攻击安全仪表系统(SIS)。安全仪表系统采取“自动操作以保持设备处于安全状态,或在出现异常情况时将其置于安全状态”。SIS是工业过程中的最后一道防线,通常可防止灾难性事故。

Triton对安全系统的攻击是一个号角,它超越了对生产操作的早期攻击,进入了物理破坏和潜在威胁生命与安全灾难的领域。

接下来的逻辑进程是包括更多基于物联网(IoT)和工业物联网(IIoT)的模块。由于在执行网络风险评估和渗透测试方面经验丰富,因此经常会有基于IT的在线系统无意或有意地将联网系统与OT网络连接起来。这将会允许攻击者从成功攻击支持互联网的主机转移到攻击OT网络,而OT网络本不应该与互联网有直接连接。

一旦在与OT连接的主机上建立了立足点,那么在OT系统中,对手往往隐藏几个月都不会被检测到。

除了可见性和检测,几乎没有保护措施来保护关键的OT资产,比如SIS。例如,如果可编程控制器(PLC)和SIS读数被操纵,操作员会知道吗?一般来说,答案是否定的。因为SIS只是检查PLC,而没有验证SIS。

在恶意软件中添加各种模块的能力允许对手根据每个独特的环境定制他们的攻击。HMI是否连接到一个没有足够隔离的VoIP电话端口?一个攻击那部手机的模块就可以轻松用来作为进入工业控制系统网络的支点。

三、自动化系统面临新的网络威胁
  • COVID-19加剧网络威胁
由于疫情隔离和社交隔离政策,员工已经从工厂转移到远程办公,因此导致维护关键基础设施的人力资源减少,并增加了通过公司安全屏障的潜在泄漏。想象一下,在从一个端点到工厂的远程连接过程中,如果工人的设备受到威胁,后果可能是黑客访问了OT和ICS系统,读取数据或控制操作过程。更可怕的情况可能是人为关闭电网或城市的交通控制系统。
  • 5G风险可能蔓延至工业环境
2019年的5G崛起既带来了新的机遇,也带来了漏洞。5G之所以具有前所未有的吸引力,是因为它在部署方面具有很高的业务潜力,而这一点对于那些安全性较差、设备陈旧的传统行业尤其需要。
  • 各种类型的网络攻击已经出现
利用IIoT和5G连接,网络犯罪分子将不遗余力地加强对IIoT设备和关键基础设施的攻击。从连接到ICS的水泵、温度监视器、IP摄像机或连接到ICS的无人机,每一个设备都会受到威胁。大多数企业都经历过各种各样的攻击方式,如鱼叉式网络钓鱼、证书泄露、恶意软件或勒索软件。在未来,还可以预见更多定制的、多样化的、同步的攻击,甚至是与数字网络攻击技术相结合的物理入侵。
四、关键OT资产成攻击者关注的重点
每年都有越来越多的漏洞被发现在OT设备上。恶意的参与者将针对这些ICS漏洞的攻击合并到他们的套件中,这些攻击将被利用。值得警醒的是,该如何准备行动来注意、应对和防御这些攻击,企业的运营能否经受住这些攻击。
VoIP电话攻击就是一个典型的例子。在一次工业网络风险评估中,该组织的会议室中有一个易受密钥重新安装攻击(KRACK)的WIFI路由器。一旦OT-pen测试人员利用该漏洞进入WIFI网络,几分钟内,就可以通过会议室中的WIFI路由器,对该电话执行成功的攻击,绕过防火墙,并在OT网络上站稳脚跟。
模块化恶意软件允许攻击者将特定于环境的攻击链接在一起,并自动利用特定的漏洞进行攻击。还可以更轻松地简化对抗性工具集,或者将侦察和开发阶段分解为由不同团队完成的更清晰的步骤。
2020年针对Garmin的攻击是加速IT/OT混合攻击的一个例子,因为成功的勒索软件攻击不仅停止了IT运营,还停止了服务和制造业。为了预防灾难,运营部门必须采取积极有效的措施来保护他们的运营、员工和更大的利益相关者。
五、防御建议
部署正确的安全方法有助于降低关键基础设施的风险,并增强工业级的网络安全。
  • 增强IT和OT团队的融合
为了从本质上抵御新的威胁,企业应该利用IT安全和OT专家的专业知识来确定网络安全风险的优先级,并共同设计一个集成的安全策略。
  • 为PLC和RTU制定安全策略
PLC(可编程逻辑控制器)和RTU(远程终端单元)对于企业OT环境的运行都是必不可少的。利用可用的检测方法提前识别威胁、应用安全修复、升级以及保持系统的最新良好状态配置,是降低网络风险的基础。
  • 确保全面了解IT/OT环境
要全面了解系统中的活动,监视或限制网络内部使用的端口上的网络流量和访问是至关重要的。除了全面了解IT足迹之外,全面的资产清点也同样重要。

参考资料:

1.https://www.missionsecure.com/blog/industrial-control-systems-the-new-target-of-malware

2.https://www.lannerinc.com/news-and-events/eagle-lanner-tech-blog/ics-industrial-control-system-becoming-the-new-target-protecting-your-critical-infrastructure-from-cyber-attacks

(0)

相关推荐