通信界訊 近日,美國工業網絡安全公司Dragos發布了工業控制系統網絡安全年度2020總結報告,回顧了2020年披露的工業控制系統(ICS)威脅狀況和漏洞。該報告還分享了Dragos在2020年工作中吸取的經驗教訓,并為行業組織提供了保障其網絡安全的建議。
關于威脅態勢,報告指出工業部門的網絡風險急劇增長和加速,首當其沖的是影響工業流程的勒索軟件、使信息收集和過程信息盜竊成為可能的入侵,以及來自針對ICS的攻擊對手的新活動,特別指出專門針對ICS的勒索軟件出現。另外,由于OT環境可見性的嚴重缺失,供應鏈的風險愈發嚴峻。攻擊對手通常會慢慢地建立入侵基礎設施和行動,之后的行動往往由于之前的工作而更加成功和具有破壞性。
關于ICS漏洞態勢,報告指出,2020年分析了703個ICS/OT漏洞,比2019年增加了29%,表明支持工業運營的系統中公開已知漏洞的增加。對這些漏洞和相關建議的分析發現,一小部分漏洞可以被歸類為需要立即采取行動的,例如帶有外部和網絡可利用漏洞的關鍵漏洞。困難在于,由于錯誤和建議中缺乏可操作的指導,從業者很難對這些問題進行優先級排序。
關于針對ICS的攻擊組織活動情況,報告指出,在整個2020年,Dragos在2020年之前確定的11個威脅行為組織仍然積極地針對工業組織開展活動。此外,該公司又發現了4個新的威脅行為組織,其動機是確定是瞄準了ICS/OT。
四個新發現攻擊組織概況
2018年,Dragos報告稱,有5個組織直接攻擊了ICS,或表現出收集ICS系統信息的強烈興趣。2019年,Dragos報告說,這個數字已經增長到9個,現在共有15個攻擊行動組織。
Dragos表示,該公司在2020年的針對ICS的攻擊組織榜單上增加了4個新團體。這些威脅行為體對瞄準運營技術(OT)系統表現出了興趣。此外,前面所述的11組仍然活躍。該公司告訴《安全周刊》,新增加的攻擊組織“有可能破壞控制系統,但還沒有發現專門針對控制系統的攻擊案例。”
第一個新組織被Dragos命名為STIBNITE。它被觀察到攻擊阿塞拜疆的電力公司,特別是風力渦輪機。雖然亞美尼亞和阿塞拜疆之間的沖突仍在持續,但這家網絡安全公司表示,“沖突與輝銻礦開采之間的聯系并不緊密,Dragos團隊沒有就誰可能對攻擊負責做出評估。”
STIBNITE被發現使用PoetRAT惡意軟件從受害者那里收集信息,它的目標可能是位于烏克蘭的風力發電場的供應商和維護者。
Dragos追蹤的第二個攻擊組織,命名為VANADINITE(釩礦)。該組織被觀測到瞄準北美、亞洲、歐洲和澳大利亞的能源、制造和運輸部門。攻擊者們一直專注于收集信息,包括與ICS流程和設計相關的信息,專家們認為,這些信息可以使其幕后支持者開發出專門的ICS目標鎖定能力。
Dragos認為,VANADINITE可能是名為ColdLock的勒索軟件的幕后黑手,該軟件被用來攻擊臺灣,包括一些國有工業企業,它們的業務被勒索軟件間接中斷。
VANADINITE被認為與Winnti有關——Winnti已經存在了十多年,據信起源于中國——還有一個與Winnti相關的活動組織被追蹤為LEAD。
Dragos追蹤的第三個新攻擊組織被命名為TALONITE。它似乎專注于突破美國電力部門的組織,以期實現初始訪問。黑客一直在利用與電網相關的主題進行網絡釣魚活動。他們因使用惡意軟件而聞名,比如在2019年出現的用于針對美國公用事業公司的遠程訪問木馬(RAT),以及在2020年被研究人員分析的遠程控制工具FlowCloud。
Dragos追蹤的第4個組織命名名為KAMACITE。該組織也以美國能源公司為目標。KAMACITE的行動與臭名昭著的與俄羅斯有關聯的組織“沙蟲”(ELECTRUM)的活動有重疊,據信該組織曾對烏克蘭的電網發起破壞性攻擊。盡管發現存在TTP的重疊,但Dragos認為,KAMACITE是一個獨特的群體,應該單獨進行追蹤。
該公司認為KAMACITE是一個“訪問支持團隊”,幫助其他團隊專注于破壞性操作。
Dragos表示,這類事件,即對手進入ICS網絡,但目前沒有破壞的意圖,比公開報道的情況要常見得多。威脅來自學習ICS。雖然不是每一個攻擊都會影響到今天,但很多攻擊可能會影響到未來的攻擊。Dragos補充說,威脅的增長速度是驚人的。這可能是由于對手在過去5到10年增加了針對ICS的投入,他們的投入將繼續加速ICS威脅環境的惡化。
Dragos的安全建議
Dragos根據報告中的經驗總結,推薦了5個關鍵的OT網絡安全倡議,以在2021年進行改進提高。
1、增加OT網絡可見性
90%的服務約定都包含了關于缺乏可見性的發現。可見性包括網絡監視、主機日志記錄和維護收集管理框架(CMF)。
2、確定“皇冠”資產的優先級
到ICS環境的100%外部可路由網絡連接被認為是物理隔離的。“皇冠寶石”分析確定了影響關鍵物理過程的數字攻擊路徑。
3、增強事件響應能力
42%的事件響應服務項目發現組織沒有合適的事件響應計劃(IRP), 75%難以公布網絡事件。
4、驗證網絡隔離有效性
88%的服務約定中包括關于不適當的網絡微隔離的發現。這包括IT和OT網絡之間的薄弱或隔離、允許的防火墻規則集和外部路由網絡連接等問題。
5、將IT和OT的憑證管理分開
54%的服務約定中包含了關于共享憑證的發現。這包括IT和OT之間共享的帳戶、默認帳戶和供應商帳戶。共享憑據使對手能夠使用有效帳戶,這是跟蹤的ICS攻擊組織使用的頂級TTP。