您所在的位置: 首頁 >
新聞資訊 >
技術前沿 >
OT環(huán)境勒索軟件分析與防范
2023年1月,匿名者旗下的GhostSec黑客組織聲稱對RTU(遠程終端單元)進行了“有史以來第一次”勒索軟件攻擊,RTU是一種通常部署在工業(yè)控制系統(tǒng) (ICS)環(huán)境中的小型設備,是周邊監(jiān)控和數(shù)據采集(SCADA)設備,用于測量和控制實際物理設備。從圖片中可以看出,黑客進入了RTU設備的嵌入操作系統(tǒng)內部,并對文件進行了加密:
近期SynSaber公司的報告,回顧統(tǒng)計分析了CISA在2020年至2022年期間發(fā)布的ICS系統(tǒng)報告數(shù)量,工業(yè)控制系統(tǒng)(ICS)中漏洞報告數(shù)量持續(xù)增加,2021、2022年的增加數(shù)量大致相同為350份,但2022年新增的漏洞數(shù)量達到1342個,2021年為1191個。
“嚴重”等級的漏洞數(shù)量增長更為顯著,從2021年的186個增加到2022年的近300 個。根據CVSS評分,總共有近1,000個漏洞為“嚴重”或“高嚴重性”。報告特別指出,在過去三年中,已發(fā)布的工業(yè)控制系統(tǒng)(ICS)漏洞數(shù)量增長了近70%,關鍵是其中超過21%仍未被修補。
0x01 勒索的潛在影響
勒索軟件是病毒的一種形式,或者更常稱為惡意軟件。從本質上講,攻擊者會找到一種方法(網絡釣魚、社會工程等)首先入侵目標網絡。然后,他們的“軟件”在網絡中運行(遍歷網絡共享、本地驅動器等),使用只有攻擊者才知道的密鑰對其發(fā)現(xiàn)的所有內容進行加密。如果你想解鎖你的文件,你必須付錢給壞人給你鑰匙。根據攻擊者和受害者的具體情況,獲取密鑰和解密文件的成本可能從數(shù)百美元到數(shù)千美元甚至數(shù)百萬美元不等。
勒索軟件植根于詐騙和勒索犯罪世界,從本質上講,它也可以用來針對較大的資產所有者和組織,或掩蓋其他可能更不正當?shù)幕顒?。勒索軟件對企業(yè)的攻擊,包括OT企業(yè),各類新聞早已屢見不鮮。為什么勒索軟件正在成為當今工業(yè)組織面臨的挑戰(zhàn):
1、勒索軟件利用“可用性”風險,在工業(yè)組織中利潤豐厚。網絡竊取個人信息的業(yè)務曾經相當有利可圖,但隨著供應的增加,這些信息的價格已大幅下降。因此,網絡罪犯找到了新的商業(yè)模式。它們已經從機密性-完整性-可用性三要素中的“C”轉變?yōu)椤癆”。而工業(yè)組織需要可用性來運作,因此付款通常是快速和大量的。
2、在大多數(shù)情況下,保險支付贖金和追索費用是的很大一部分。因此,在目前的政策下,保險的存在使支付過程變得更加順利。然而,隨著保險公司開始改變未來的政策,這種情況正在發(fā)生變化,正如安盛(AXA)最近宣布停止對勒索軟件支付的覆蓋。
3、通過IT系統(tǒng)攻擊可以關閉OT操作。為什么會這樣?首先,OT系統(tǒng)通常非常容易受到勒索軟件的攻擊,如果勒索軟件進入這些系統(tǒng)的話。因此,任何事件響應處置的第一步都是通過斷開與OT系統(tǒng)連接來阻止傳播。雖然IT系統(tǒng)的恢復成本很高,但OT系統(tǒng)的成本可能是IT系統(tǒng)的3-4倍,并且可能需要更長的時間。
4、勒索軟件通常利用基于網絡的不安全性來獲取訪問權限(例如,通過RDP),但會從一個端點傳播到另一個端點。補償控制、系統(tǒng)加固、漏洞管理和其他技術(如網絡隔離)都在減少病毒攻擊的影響和傳播方面發(fā)揮著關鍵作用。
下圖顯示了勒索軟件攻擊設施的典型路徑和殺傷鏈(Kill Chain):
2021年底和2022年初的預測都認為,發(fā)達經濟體的重大勒索軟件攻擊將持續(xù)爆發(fā)。然而,實際情況是,預測的爆炸從未發(fā)生。根據來源,圍繞2022年期間勒索軟件是略有增加還是實際減少存在一些爭議。但無論從哪個數(shù)據集來看,人們擔心的勒索軟件大流行從未發(fā)生。使用與去年相同的數(shù)據源, 2022年第三季度的事故略有減少(約10%)。在此之前,第二季度略有增長,第一季度基本持平。全年來看基本輕微增加和減少,而不是另一個巨大的峰值。
2022年沒有快速增長并不意味著勒索軟件仍然不是工業(yè)環(huán)境的最大威脅。同樣,根據分析師的不同,勒索軟件在2022年至少同比持平——與歷史數(shù)據相比,持平在一個非常高的水平。
攻擊格局在2022年確實發(fā)生了重大變化。到目前為止,LockBit2.0仍然是“市場份額”領先集團,并在年中關閉了最臭名昭著的集團之一Conti–意味著LockBit的份額日益集中,以及眾多新的競爭團體的崛起——Basta、Hive和其他幾個團體。有一些人認為,這些不同的團體中有許多是Conti的重組團體。一個基本的勒索軟件市場占比如下圖所示:
Dragos的報告總結了2022年全年的工業(yè)控制系統(tǒng)勒索事件
0x02 減少與防范OT環(huán)境中的勒索
考慮到當前ICS系統(tǒng)攻擊事件和漏洞呈上升趨勢,因此ICS系統(tǒng)風險狀態(tài)以及工業(yè)環(huán)境中勒索軟件事件存在再次加速的可能性,OT企業(yè)應如何組織響應呢?
了解勒索軟件攻擊給您帶來的實際操作和安全風險
要了解這一情況,組織需要掌握三條關鍵信息:
1、理解不同資產在運營環(huán)境中的關鍵程度。例如,你可能有某些工廠、制造、設施等,這對企業(yè)的財務業(yè)績至關重要。其他人可能在財務上不那么重要,但他們是這些關鍵站點的關鍵供應商。因此,對站點/設施重要性的業(yè)務理解是基礎。
2、全面了解這些設施中的資產面臨的勒索軟件風險。通常通過“技術驅動漏洞評估”來實現(xiàn)這一點。在OT環(huán)境中,對軟件和硬件漏洞、網絡保護和資產的保護、補丁程序狀態(tài)等的詳細把握。這種360度的風險視圖提供了對現(xiàn)場/設施/工廠等的潛在威脅的可視化。
3、恢復和響應能力的現(xiàn)狀。準備充分的組織可以減少任何勒索軟件事件的范圍。強大且更新的備份、快速事件響應計劃、Canary文件警報(Canary共享文件類型為檢測勒索軟件感染的誘餌,但其數(shù)據對企業(yè)并無價值。該共享文件類型僅用于快速的感染檢測)以在早期階段捕獲勒索軟件等。所有這些都可以提供限制因素。通過評估這些響應和恢復能力,組織可以確定攻擊的潛在影響范圍。
創(chuàng)建站點級別的補救和保護路線圖
我們經常看到組織采取某種措施來降低勒索軟件(和其他潛在的OT攻擊)的風險。例如,一個常見的做法是全面的網絡劃分,以減少連通性IT和OT之間以及OT環(huán)境內的隔離,這當然是穩(wěn)健做法的一部分。然而,這可能不是整個計劃中最有影響力的第一步。了解風險和一系列舉措是取得快速但可持續(xù)進展的關鍵。如果不清楚網絡上的資產以及它們如何相互通信,通常很難進行適當?shù)木W絡分段。因此,全面的環(huán)境清單加快了最終的細分工作。類似地,一些計劃可能會迅速產生影響,例如,利用可能已經到位的備份工具,但要確保它們得到使用和更新。站點和企業(yè)級別的這一系列計劃提供了一個路線圖,可在構建保護和檢測的長期基礎的同時實現(xiàn)近期保護和恢復功能。
基于第一點中的站點和資產優(yōu)先級加快OT安全建設
接著是補救的時候了,“技術驅動評估”的優(yōu)勢之一是上面提到的技術已經準備到位,能夠立即修復已識別的風險。從修補到配置強化,再到管理有風險的軟件、用戶和帳戶等。
除了加速這些終端的檢測之外,還需要一系列額外的保護和響應能力。最大的挑戰(zhàn)之一是確定適當?shù)膱?zhí)行計劃來保護最核心的站點和資產,同時不會在這些大型/復雜的站點上陷入困境,并且永遠不會對評級為“中等”關鍵程度資產進行過度保護。
一種稱之為“雙焦點”的執(zhí)行方法:一方面,我們肯定會在最關鍵的站點上進行穩(wěn)健的計劃部署。然而,與此同時,我們將鼓勵一種廣泛而淺顯的方法,在企業(yè)級別對所有站點應用有限的保護,同時在關鍵站點上進行更深入的工作。
0x03 OT安全計劃中的關鍵要素
資產盤點
有效的終端管理始于穩(wěn)健的資產庫存。正如一句諺語所說:如果你不知道你擁有什么,你就無法管理風險。每個終端資產360度資產畫像將為合理的端點管理提供支撐。OT挑戰(zhàn):整合自動化資產清單,其中包括從基于操作系統(tǒng)到網絡的所有資產類型,還嵌入了深入的資產配置文件,包括設置關鍵程度、用戶和帳戶、補償控制的存在等。
補丁管理
大多數(shù)威脅都是通過商用系統(tǒng)(如Windows計算機)進入的。您無法在OT中修補所有內容,但由于多個環(huán)境因素,端到端修補程序管理計劃(即修補程序的自動化和智能應用)非常重要例如合規(guī)性、法規(guī)和風險管理(例如,具有連接到互聯(lián)網的RDP或防火墻的主機上的補丁應優(yōu)先于由多個層保護的PLC)。當今勒索軟件的實際情況是,它主要針對基于操作系統(tǒng)的設備(服務器、工作站、HMI)。在管理補丁程序以解決勒索軟件時,這些是主要的關注點。在不可行的情況下,應用程序白名單和策略強制執(zhí)行會增加攻擊的成本和難度,以提高您防御或拒絕對您的OT組織進行勒索軟件攻擊的機會。OT挑戰(zhàn):需要有一個排定了優(yōu)先級的修補流程并轉移到補償控制必要的時候/地方。
應用程序白名單
這始于可能嘗試在HMI、工作站等上運行的新軟件的應用程序控制。在IT中,考慮到所需的新應用程序的廣度,維護此解決方案相當具有挑戰(zhàn)性。然而,在OT中,大多數(shù)系統(tǒng)應該被“鎖定”,新的應用程序是不必要的。因此,國土安全部強烈建議將白名單作為2-3項首要舉措之一。白名單還可以擴展到USB、可移動介質和臨時設備,尤其是在您的網絡存在“物理隔離”或受到嚴格控制的情況下。用戶將通過可移動介質繞過您的控制。作為最佳實踐,系統(tǒng)策略易于部署,使用白名單軟件,注冊安全驅動器和其他技術(如802.X)可確保網段上允許授權系統(tǒng)。OT挑戰(zhàn):列舉、應用、監(jiān)控和執(zhí)行可移動介質策略以及擴展到臨時網絡資產。
強大且更新的備份
任何安全計劃都不足以阻止每一次攻擊。因此,全面的備份程序對于確保快速恢復至關重要。這包括確定要備份的系統(tǒng)的優(yōu)先級,確保及時備份,監(jiān)控失敗的備份(在許多OT環(huán)境中似乎經常發(fā)生),以及確保在離線存儲庫中進行復制,以便惡意軟件不會限制其有效性。OT挑戰(zhàn):創(chuàng)建與供應商無關的備份解決方案,因為許多OEM都有首選的備份解決方案。成功的關鍵是創(chuàng)建單一的備份平臺,以便能夠提高效率,同時確??绺鞣N站點的法規(guī)遵從性。
實施網絡分離或分段
減緩勒索軟件傳播的一個關鍵方法是在IT和OT網絡之間(甚至在IT和/或OT的網段內)設置網絡屏障。這種方法是一個基本要素,但由于其技術挑戰(zhàn),往往沒有得到充分利用。OT挑戰(zhàn):對IT或OT進行分段并不容易,但在OT中,由于傳統(tǒng)設備、物理布線需求、將系統(tǒng)移至新防火墻所需的停機時間等原因,出現(xiàn)了特殊的挑戰(zhàn)。OT細分需要一個對網絡和OT系統(tǒng)有深入了解的團隊。
參考資料:
https://industrialcyber.co/industrial-cyber-attacks/hacker-group-discloses-ability-to-encrypt-an-rtu-device-using-ransomware-industry-reacts/https://synsaber.com/resources/industrial-cve-retrospective-2020-2021-2022
https://verveindustrial.com/resources/blog/how-to-prevent-ransomware-in-2023/
https://hub.dragos.com/ics-cybersecurity-year-in-review-2022
原文來源:博智非攻研究院