物聯(lián)網(wǎng)勒索軟件攻擊或成為關(guān)鍵基礎(chǔ)設(shè)施安全保護(hù)的噩夢 |
來源:聚銘網(wǎng)絡(luò) 發(fā)布時(shí)間:2022-06-14 瀏覽次數(shù): |
信息來源:安全內(nèi)參
勒索軟件攻擊仍然是關(guān)鍵基礎(chǔ)設(shè)施部門和運(yùn)營技術(shù) (OT) 環(huán)境的噩夢。近日,一種稱為物聯(lián)網(wǎng)勒索軟件或R4IoT方法的新攻擊浮出水面。概念驗(yàn)證(PoC)揭示了網(wǎng)絡(luò)犯罪分子日益復(fù)雜的行為,因?yàn)樗麄儗?IT、物聯(lián)網(wǎng)和OT環(huán)境串聯(lián)在一起,形成了一個(gè)巨大的攻擊視圖。在數(shù)字化轉(zhuǎn)型競爭優(yōu)勢的推動下,越來越多的工業(yè)企業(yè)正在將以前孤立的運(yùn)營技術(shù) (OT) 連接到企業(yè)IT網(wǎng)絡(luò),同時(shí)還將新的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)資產(chǎn)引入這些融合的OT/IT環(huán)境。這導(dǎo)致工業(yè)系統(tǒng)越來越容易受到新型網(wǎng)絡(luò)威脅的影響,對物理安全和環(huán)境產(chǎn)生嚴(yán)重影響。這些威脅的性質(zhì)和規(guī)模意味著工業(yè)系統(tǒng)運(yùn)營者無法獨(dú)立應(yīng)對,對抗類似R4IoT方法的攻擊必須成為工業(yè)過程各個(gè)方面的優(yōu)先事項(xiàng)。
Forescout Technologies的Vedere Labs展示了下一代勒索軟件如何利用物聯(lián)網(wǎng)設(shè)備進(jìn)行初始訪問,利用部署加密礦工和數(shù)據(jù)泄露來攻擊IT設(shè)備,并利用不良的OT安全實(shí)踐對業(yè)務(wù)運(yùn)營造成物理中斷(例如破壞PLC)。通過破壞IoT、IT和OT 資產(chǎn),R4IoT方法超越了通常的加密和數(shù)據(jù)泄露,從而導(dǎo)致業(yè)務(wù)運(yùn)營的物理中斷。 一旦域控制器處于黑客的控制之下,他們將能夠?qū)⑵湮淦骰赃M(jìn)行大規(guī)模的惡意軟件部署并建立他們的命令和控制(C&C)通道。基本上,在這個(gè)階段,組織資產(chǎn)、流程和網(wǎng)絡(luò)的布局就像一張自助餐桌,用于贖金或破壞。鑒于此類威脅可能造成的嚴(yán)重的破壞程度,R4IoT方法被描述為下一代勒索軟件。 此類威脅在OT環(huán)境中被進(jìn)一步放大,由于OT中運(yùn)行傳統(tǒng)設(shè)備,這些設(shè)備通??赡芤呀?jīng)過時(shí)、停止系統(tǒng)更新服務(wù)、報(bào)廢和/或沒有足夠的安全補(bǔ)丁。此外,黑客可以利用運(yùn)營設(shè)施內(nèi)向數(shù)字化轉(zhuǎn)型的轉(zhuǎn)變,從而使工業(yè)控制系統(tǒng) (ICS) 環(huán)境極易受到網(wǎng)絡(luò)威脅。 今年早些時(shí)候,工業(yè)網(wǎng)絡(luò)安全公司Dragos報(bào)告稱,隨著ICS/OT 系統(tǒng)的數(shù)字化轉(zhuǎn)型,漏洞和勒索軟件有所增加。此外,它分析2021年對于勒索軟件團(tuán)伙及其附屬機(jī)構(gòu)來說是關(guān)鍵的一年,勒索軟件成為工業(yè)領(lǐng)域入侵的頭號原因。 在ICS和OT網(wǎng)絡(luò)安全方面,構(gòu)建安全的設(shè)計(jì)以彌補(bǔ)因在這些運(yùn)營環(huán)境中添加工業(yè)物聯(lián)網(wǎng)設(shè)備而增加的網(wǎng)絡(luò)攻擊面是非常重要的。必須立即在整個(gè)組織中采用諸如零信任和嚴(yán)格采用對員工、供應(yīng)商、運(yùn)營商、集成商和各種第三方的特權(quán)遠(yuǎn)程訪問等技術(shù)。 分析人士評估,雖然大多數(shù)行業(yè)的組織已經(jīng)關(guān)注網(wǎng)絡(luò)安全一段時(shí)間,但其方法的成熟度并高。2021年,麥肯錫估計(jì)了多個(gè)行業(yè)領(lǐng)域100多家公司和機(jī)構(gòu)的網(wǎng)絡(luò)安全成熟度水平,并了解到,雖然銀行和醫(yī)療保健領(lǐng)域的一些公司和機(jī)構(gòu)取得了相當(dāng)大的進(jìn)步,但所有行業(yè)的大多數(shù)組織在保護(hù)他們的信息資產(chǎn)免受威脅和攻擊方面,仍然面臨較大的困難。 Industrial Cyber聯(lián)系了專家,討論了關(guān)鍵基礎(chǔ)設(shè)施部門必須采取的應(yīng)對措施,以保護(hù)其業(yè)務(wù)環(huán)境并加強(qiáng)其網(wǎng)絡(luò)安全立場,以應(yīng)對傳統(tǒng)勒索軟件的復(fù)雜性和范圍不可避免地增加,正如R4IoT方法所證明的那樣。 Xage Security聯(lián)合創(chuàng)始人兼產(chǎn)品副總裁Roman Arutyunov Roman Arutyunov表示:“隨著勒索軟件即服務(wù)(RaaS)的興起,勒索軟件攻擊者變得越來越復(fù)雜,攻擊本身對運(yùn)營和平民的破壞性也越來越大”?!坝捎赗4IoT方法會危害IoT、IT和OT 資產(chǎn),因此這些攻擊會導(dǎo)致業(yè)務(wù)運(yùn)營的物理中斷——例如 Colonial Pipeline和JBS等備受矚目的案例。” 然而,Arutyunov表示,關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域仍有希望,而希望在于零信任安全戰(zhàn)略。“這種主動的、基于身份的安全架構(gòu)——與傳統(tǒng)的基于邊界的檢測和響應(yīng)模型(勒索軟件可以輕松突破)相比——確保任何初始攻擊向量通過非托管憑證和暴露的不安全協(xié)議對 IT 或物聯(lián)網(wǎng)資產(chǎn)進(jìn)行攻擊受到限制和孤立,無法滲入運(yùn)營并造成破壞,”他補(bǔ)充說。 Arutyunov說,換句話說,在零信任的情況下,惡意軟件無法從IT/IoT傳播到 OT,從而確保沒有攻擊者可以在訪問網(wǎng)絡(luò)的某個(gè)部分時(shí)利用任何網(wǎng)絡(luò)弱點(diǎn)。他補(bǔ)充說:“對于石油和天然氣、公用事業(yè)和能源等現(xiàn)代化速度較慢的行業(yè)的公司來說,零信任尤其重要?!? TXOne Networks首席執(zhí)行官Terence Liu Terence Liu告訴Industrial Cyber :“很難否認(rèn)整個(gè)威脅領(lǐng)域正在迅速發(fā)展?!?“在工作場所環(huán)境中采用新技術(shù)和設(shè)備只是經(jīng)常引入更多攻擊面的一個(gè)因素——我們認(rèn)為,在當(dāng)前網(wǎng)絡(luò)威脅時(shí)代的關(guān)鍵問題是,使用最新的物聯(lián)網(wǎng)資產(chǎn)保護(hù)補(bǔ)丁在 OT環(huán)境中具有挑戰(zhàn)性?!? 劉還表示,有一件事是肯定的——黑客當(dāng)前使用的戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 組合使得網(wǎng)絡(luò)安全成為任何資產(chǎn)所有者都難以維護(hù)的標(biāo)準(zhǔn)。 “現(xiàn)代化網(wǎng)絡(luò)攻擊的發(fā)展受兩個(gè)主要因素的推動——比特幣的普及,以及勒索軟件即服務(wù) (RaaS)的擴(kuò)散,”劉說?!坝捎谶@兩個(gè)觸發(fā)點(diǎn),基于暗網(wǎng)RaaS行業(yè)的有組織犯罪現(xiàn)在推動了針對組織的網(wǎng)絡(luò)攻擊數(shù)量的快速發(fā)展。大額贖金支付是更復(fù)雜攻擊的驅(qū)動力,例如利用零日漏洞或協(xié)議和法規(guī)的垂直特定知識的攻擊。我們發(fā)現(xiàn)勒索軟件攻擊的范圍在穩(wěn)步增加,不幸的是,這并沒有放緩的跡象,”他補(bǔ)充說。 鑒于關(guān)鍵基礎(chǔ)設(shè)施部門中存在遺留資產(chǎn),通常在沒有適當(dāng)保護(hù)的情況下運(yùn)行,無論是在端點(diǎn)(檢查和鎖定)還是網(wǎng)絡(luò)(分段和虛擬補(bǔ)丁)級別,遺留資產(chǎn)就像瑞士奶酪——充滿明顯的漏洞,或者“已知漏洞”,攻擊者可以輕松查看和利用這些漏洞。 “應(yīng)對這些復(fù)雜的攻擊需要多層保護(hù),包括檢測和響應(yīng)策略,以在不影響生產(chǎn)力的情況下降低風(fēng)險(xiǎn)并防止網(wǎng)絡(luò)事件,”劉補(bǔ)充道。 在確定適當(dāng)?shù)木W(wǎng)絡(luò)分段和NIST網(wǎng)絡(luò)安全框架和零信任架構(gòu)的利用是否可以防止關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域內(nèi)的網(wǎng)絡(luò)安全事件(例如R4IoT方法)時(shí),Arutyunov同意零信任架構(gòu)和適當(dāng)?shù)木W(wǎng)絡(luò)分段在以下方面非常有效防止勒索軟件攻擊。 “由于零信任將每臺機(jī)器、應(yīng)用程序、用戶、數(shù)據(jù)流和其他資產(chǎn)的身份視為其自己的獨(dú)立‘邊界’,因此運(yùn)營商可以訪問高度精細(xì)的訪問策略執(zhí)行,即使黑客受到攻擊,也能確保繼續(xù)執(zhí)行嚴(yán)格的安全驗(yàn)證。最初成功地進(jìn)入了 IT 資產(chǎn),”Arutyunov說道?!癗IST和美國聯(lián)邦政府(即拜登政府的2021年行政命令)已經(jīng)證明了它的功效,”他補(bǔ)充說。 Arutyunov表示,與普遍看法相反,零信任可以快速、經(jīng)濟(jì)高效且易于實(shí)施。他補(bǔ)充說:“關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營實(shí)施的大部分延遲不是由于技術(shù)本身的細(xì)節(jié),而是基于錯(cuò)誤信息的對采用新方法的懷疑。” “老實(shí)說,目前擺在桌面上的任何解決方案或方法都不能保證100%防止網(wǎng)絡(luò)攻擊,”TXOne的Liu說?!跋喾?,組織必須專注于降低風(fēng)險(xiǎn)并提高使用現(xiàn)實(shí)世界實(shí)踐的潛在攻擊者的難度級別。這也是為什么提供從端點(diǎn)到網(wǎng)絡(luò)的多層保護(hù)的產(chǎn)品都遵循零信任架構(gòu)和NIST網(wǎng)絡(luò)安全框架的原因,無論它們是用于IT還是OT用例,”他補(bǔ)充道。 不僅如此,劉說,NIST網(wǎng)絡(luò)安全框架解決了一個(gè)組織可以在多長時(shí)間內(nèi)檢測到違規(guī)或事件,以及如何減少影響、如何恢復(fù)以及對網(wǎng)絡(luò)安全事件的彈性的定義。 Liu指出,在OT環(huán)境中成功的網(wǎng)絡(luò)安全部署通常由三個(gè)要求定義——部署后不會影響運(yùn)營,不會顯著增加管理網(wǎng)絡(luò)安全的人員數(shù)量,以及當(dāng)攻擊者來襲時(shí),部署將減少對業(yè)務(wù)的影響.?!耙虼?,通常在不同的OT環(huán)境中,我們建議我們的客戶從小規(guī)模部署開始,以確保前兩個(gè)元素在大規(guī)模部署之前發(fā)揮作用,”他補(bǔ)充道。 Arutyunov定義了關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)所有者和運(yùn)營商能夠在多大程度上抵御日益復(fù)雜的對抗性攻擊和技術(shù),例如 R4IoT方法,Arutyunov表示,通過主動、零信任的方法,關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營商可以充分防御自己抵御新的勒索軟件威脅,例如R4IoT。 “真正的零信任架構(gòu)允許運(yùn)營商從源頭上完全阻止黑客或隔離他們以防止他們破壞運(yùn)營,”Arutyunov說?!凹词购诳偷牟呗匝杆侔l(fā)展,基于身份的零信任方法也將適應(yīng)新環(huán)境,同時(shí)考慮位置、重復(fù)訪問失敗和漏洞級別等參數(shù)以防止攻擊,”他補(bǔ)充說。 劉說,通過準(zhǔn)備,關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)所有者和運(yùn)營商可以抵御日益復(fù)雜的對抗性攻擊和技術(shù)?!靶枨蠛筒樵兺ǔS擅襟w中的重大事件推動——加強(qiáng)網(wǎng)絡(luò)防御和安全的時(shí)機(jī)沒有錯(cuò),但當(dāng)事件發(fā)生時(shí),要想在業(yè)務(wù)影響上占上風(fēng)可能為時(shí)已晚,”他加了。 劉說, “我們認(rèn)為防止災(zāi)難性網(wǎng)絡(luò)事件向前邁出一大步的趨勢是,許多組織最近致力于大力推動更好的監(jiān)管,尤其是在去年5月的殖民管道攻擊之后?!?“我們還看到,對OT網(wǎng)絡(luò)安全的認(rèn)識和需求正在增加,而且更多的預(yù)算實(shí)際上是由決策者或高層管理人員贊助的,他們已經(jīng)明白網(wǎng)絡(luò)安全是任何組織的基礎(chǔ)風(fēng)險(xiǎn)控制。” “從我們的角度來看,大多數(shù)資產(chǎn)所有者和運(yùn)營商現(xiàn)在都在尋找可以在其垂直領(lǐng)域參考和采用的最佳實(shí)踐和成功案例,”劉說。“我們還與全球系統(tǒng)集成商 (GSI) 密切合作,貢獻(xiàn)知識以降低資產(chǎn)所有者的進(jìn)入門檻,”劉總結(jié)道。
|
下一篇:2022年6月14日聚銘安全速遞 |