安全牛評
SolarWinds供應(yīng)鏈APT攻擊的風(fēng)暴正在席卷全球,同時也為工控系統(tǒng)安全敲響警鐘,因為與曾經(jīng)波及工控系統(tǒng)的NotPetya和Havex類似,SolarWinds供應(yīng)鏈攻擊中的SUNBURST和SUPERNOVA惡意軟件(后門)再次向世人證明,當(dāng)下的防火墻、防病毒系統(tǒng)、入侵檢測系統(tǒng)對此類攻擊無能為力,而隨著OT網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)的集成化發(fā)展,類似SolarWinds供應(yīng)鏈漏洞的巨大威力已經(jīng)引起了勒索軟件組織的極大興趣。如果能夠殺死甚至控制工控系統(tǒng)OT網(wǎng)絡(luò)的關(guān)鍵進程,那么勒索贖金的籌碼也許將不再是解密數(shù)據(jù),而是花錢消災(zāi)甚至拿錢換命。
根據(jù)Dragos和X-Force本周發(fā)布的《針對工控系統(tǒng)的勒索軟件攻擊評估報告》,過去兩年針對工業(yè)實體的勒索軟件攻擊暴增了500%以上(下圖)。
勒索軟件在工控系統(tǒng)相關(guān)網(wǎng)絡(luò)攻擊中的占比(2018-2020)
數(shù)據(jù)來源:Dragos
值得注意的是,與其他類型的網(wǎng)絡(luò)犯罪類似,針對工控系統(tǒng)的勒索軟件事件的快速增長似乎也與全球新冠病毒大流行同步。研究人員指出:“勒索軟件的攻擊者利用用戶對健康和安全的關(guān)注,使用新冠病毒主題的網(wǎng)絡(luò)釣魚誘餌進行初始訪問操作。”
北美地區(qū)占半數(shù)
以下是2018-2020年,針對工控系統(tǒng)的勒索軟件攻擊的地理分布:
可以看出,北美是工控勒索軟件的重災(zāi)區(qū),占比接近一半,歐洲(31%)和亞洲(18%)排名二、三。
制造業(yè)工控勒索軟件增長三倍
行業(yè)分布方面,制造業(yè)是工業(yè)勒索軟件增長最快的領(lǐng)域,從2018年到2020年數(shù)量增長了三倍。過去兩年,制造業(yè)也是勒索軟件攻擊最為頻繁的行業(yè),攻擊數(shù)量占比高達36%。
在某些情況下,攻擊者的重點目標是冷藏設(shè)施和生物醫(yī)學(xué),以及制藥商正在研究和開發(fā)病毒疫苗和分配方法,這可能會破壞重要藥物的研發(fā)和分發(fā)。
工控勒索軟件三巨頭
2018年-2020年,Dragos和X-Force記錄了194次針對工控系統(tǒng)(包括向工控系統(tǒng)提供OT基礎(chǔ)設(shè)施和環(huán)境的可管理服務(wù)提供商和電信公司)的勒索軟件攻擊,最猖獗的工控系統(tǒng)勒索軟件家族有九個,其中Revil(Sidinokibi,17%)、Ryuk(14%)和Maze(13%)排名前三。(下圖)
另據(jù)今年夏天FireEye的報告,已經(jīng)發(fā)現(xiàn)七個勒索軟件家族開始針對運營技術(shù)(OT)軟件進程,有數(shù)十個工控系統(tǒng)軟件進程被列入勒索軟件殺死進程的“黑名單”中。
工控勒索軟件的威脅趨勢
分析還發(fā)現(xiàn),未來勒索軟件將成為工控系統(tǒng)的主要威脅之一。越來越多的勒索軟件組織開始將數(shù)據(jù)盜竊和勒索操作納入其攻擊技術(shù)中,與通過泄露知識產(chǎn)權(quán)和其他關(guān)鍵數(shù)據(jù)破壞操作相比,勒索軟件帶來的影響和損失可能更大。
類似EKANS這樣的能夠殺死關(guān)鍵工業(yè)控制系統(tǒng)進程的新勒索軟件,有可能成為未來工控系統(tǒng)攻擊的基礎(chǔ)和主流方向。
此外,報告還預(yù)測,將有國家黑客行動將勒索軟件作為掩護和偽裝。(編者:例如近日伊朗Pay2Key組織針對以色列的行動。)
根據(jù)報告,在公共網(wǎng)站上被盜和泄漏的數(shù)據(jù)也可能為工控系統(tǒng)攻擊者提供受害者數(shù)據(jù),這些信息可以指導(dǎo)未來的ICS破壞性攻擊。
緩解建議
為了與ICS環(huán)境中的勒索軟件作斗爭,研究人員建議資產(chǎn)所有者和運營商采用有效的深度防御安全策略,重點如下:
“確保了解網(wǎng)絡(luò)的相互依賴性,并進行分析,以確定可能破壞業(yè)務(wù)連續(xù)性和生產(chǎn)的潛在弱點和漏洞。”
在所有IT環(huán)境中都確保盡可能地啟用MFA(多因素身份認證),尤其是安全設(shè)備、關(guān)鍵網(wǎng)絡(luò)服務(wù)(例如Active Directory)與主機、運維和第三方供應(yīng)商人員等。
確保遠程訪問服務(wù)如VPN和RDP連接符合工業(yè)標準安全證書并與OT域隔離。
確保所有員工都接受釣魚攻擊安全意識培訓(xùn)。
通過災(zāi)難恢復(fù)模擬測試確保企業(yè)與運營網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的每日備份和維護的有效性。離線備份是最安全的選擇,但是如果成本原因無法實現(xiàn),務(wù)必限制對備份數(shù)據(jù)的網(wǎng)絡(luò)訪問權(quán)限——只能讀不能寫。對存儲備份重建計劃的測試也極為重要。
制定針對工控系統(tǒng)勒索軟件的事件響應(yīng)計劃,并通過網(wǎng)絡(luò)靶場等方式對響應(yīng)計劃進行壓力測試。
建立一個“業(yè)務(wù)防空洞”,當(dāng)企業(yè)被勒索軟件全面攻陷,攻擊緩解工作正在進行時,部分業(yè)務(wù)依然可以在“防空洞”臨時運行不至中斷。
利用工業(yè)級威脅檢測機制來識別OT系統(tǒng)中的惡意軟件,在網(wǎng)絡(luò)層面強化深度防御措施,這將大大增強防御和分析人員的調(diào)查能力。