信息化觀察網(wǎng)

近日，美國(guó)多家機(jī)構(gòu)包括FBI、NSA、CISA和EPA聯(lián)合發(fā)布網(wǎng)絡(luò)安全咨詢報(bào)告，數(shù)據(jù)顯示，內(nèi)部威脅和勒索軟件是當(dāng)前企業(yè)組織面臨的主要威脅，而水處理等關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域正成為勒索軟件重點(diǎn)攻擊的目標(biāo)。報(bào)告重點(diǎn)披露了三起由勒索軟件引起的美國(guó)水和廢水處理設(shè)施(WWS)攻擊事件，在所有攻擊中，勒索軟件都對(duì)受感染系統(tǒng)文件進(jìn)行了加密，在其中一起安全事件中，攻擊者破壞了用于控制監(jiān)控和數(shù)據(jù)采集（SCADA）工業(yè)設(shè)備的系統(tǒng)。

此外，該報(bào)告還披露了攻擊者用來(lái)破壞WWS設(shè)施的IT和OT網(wǎng)絡(luò)的常見(jiàn)策略、技術(shù)和程序(TTP)。主要包括：針對(duì)性的魚(yú)叉式釣魚(yú)活動(dòng)，向人員投送惡意負(fù)載，如勒索軟件和RAT；利用在線公開(kāi)的服務(wù)和應(yīng)用程序，以實(shí)現(xiàn)對(duì)WWS網(wǎng)絡(luò)的遠(yuǎn)程訪問(wèn)（即RDP訪問(wèn)）；利用運(yùn)行易受攻擊固件版本的控制系統(tǒng)的漏洞。

攻擊事件

網(wǎng)絡(luò)安全咨詢報(bào)告重點(diǎn)通報(bào)了今年以來(lái)，WWS遭遇的三次勒索軟件攻擊事件，分別發(fā)生在3月、7月和8月。

1、2021年8月，攻擊者對(duì)位于加利福尼亞WWS設(shè)施實(shí)施Ghost變體勒索軟件攻擊，該勒索軟件變種已在系統(tǒng)中存在大約一個(gè)月，并在三個(gè)SCADA服務(wù)器顯示勒索軟件消息時(shí)被發(fā)現(xiàn)；

2、2021年7月，網(wǎng)絡(luò)攻擊者使用遠(yuǎn)程訪問(wèn)將ZuCaNo勒索軟件部署到緬因州WWS設(shè)施處理廢水的SCADA計(jì)算機(jī)。此次攻擊導(dǎo)致處理系統(tǒng)切換到手動(dòng)模式，直到使用本地控制和更頻繁的操作員巡查，才恢復(fù)SCADA計(jì)算機(jī)；

3、2021年3月，網(wǎng)絡(luò)攻擊者對(duì)位于內(nèi)華達(dá)州的WWS設(shè)施使用了一種未知的勒索軟件變體。該勒索軟件影響了受害者的SCADA系統(tǒng)和備份系統(tǒng)。該SCADA系統(tǒng)提供可見(jiàn)性和監(jiān)控，但不是完整的工業(yè)控制系統(tǒng)(ICS)。

緩解措施

報(bào)告建議WWS組織（包括美國(guó)和其他國(guó)家的DoD水處理組織），使用合適的緩解措施，以防止、檢測(cè)、并應(yīng)對(duì)網(wǎng)絡(luò)威脅。

WWS監(jiān)控

負(fù)責(zé)監(jiān)控WWS的人員應(yīng)檢查以下可疑活動(dòng)和指標(biāo)。

出現(xiàn)在SCADA系統(tǒng)控件和設(shè)施屏幕上不熟悉的數(shù)據(jù)窗口或系統(tǒng)警報(bào)，這可能表明存在勒索軟件攻擊；

通過(guò)SCADA系統(tǒng)控制或水處理人員檢測(cè)異常操作參數(shù)，例如異常高的化學(xué)添加率，該添加率用于安全和適當(dāng)?shù)娘嬘盟幚恚?/p>

未經(jīng)授權(quán)的個(gè)人或團(tuán)體訪問(wèn)SCADA系統(tǒng)，例如，未被授權(quán)/指派操作SCADA系統(tǒng)和控制的前雇員和現(xiàn)任雇員；

在不尋常的時(shí)間訪問(wèn)SCADA系統(tǒng)，這可能表明合法用戶的憑據(jù)已被盜用；

原因不明的SCADA系統(tǒng)重新啟動(dòng)；

通常會(huì)波動(dòng)的參數(shù)值停止變化。

這些活動(dòng)和指標(biāo)可能表明威脅行為者的活動(dòng)。

遠(yuǎn)程訪問(wèn)緩解措施

資產(chǎn)所有者應(yīng)評(píng)估與遠(yuǎn)程訪問(wèn)相關(guān)的風(fēng)險(xiǎn)，確保其處于可接受水平。

對(duì)所有遠(yuǎn)程訪問(wèn)OT網(wǎng)絡(luò)（包括來(lái)自IT網(wǎng)絡(luò)和外部網(wǎng)絡(luò)）的行為，進(jìn)行多因素身份驗(yàn)證；

利用黑名單和許可名單限制用戶的遠(yuǎn)程訪問(wèn)；

確保所有遠(yuǎn)程訪問(wèn)技術(shù)，都啟用了日志記錄并定期審核這些日志，以識(shí)別未經(jīng)授權(quán)的訪問(wèn)實(shí)例；

利用手動(dòng)啟動(dòng)和停止功能，代替始終激活的無(wú)人值守訪問(wèn)，以減少遠(yuǎn)程訪問(wèn)服務(wù)運(yùn)行的時(shí)間；

對(duì)遠(yuǎn)程訪問(wèn)服務(wù)使用系統(tǒng)審計(jì)；

關(guān)閉與遠(yuǎn)程訪問(wèn)服務(wù)相關(guān)的非必要網(wǎng)絡(luò)端口，例如RDP–傳輸控制協(xié)議TCP端口3389；

為主機(jī)配置訪問(wèn)控制時(shí)，利用自定義設(shè)置來(lái)限制遠(yuǎn)程方可以嘗試獲取的訪問(wèn)權(quán)限。

網(wǎng)絡(luò)緩解措施

在IT和OT網(wǎng)絡(luò)之間實(shí)施強(qiáng)大的網(wǎng)絡(luò)分割，限制惡意網(wǎng)絡(luò)行為者在入侵IT網(wǎng)絡(luò)后轉(zhuǎn)向OT網(wǎng)絡(luò)。

實(shí)施非軍事區(qū)（DMZ）、防火墻、跳板機(jī)和單向通信二極管，以防止IT和OT網(wǎng)絡(luò)之間的不規(guī)范通信；

開(kāi)發(fā)或更新網(wǎng)絡(luò)地圖，確保對(duì)連接到網(wǎng)絡(luò)的所有設(shè)備進(jìn)行全面統(tǒng)計(jì)；

從網(wǎng)絡(luò)中移除不需要進(jìn)行操作的設(shè)備，減少惡意行為者可以利用的攻擊面。

規(guī)劃和運(yùn)營(yíng)緩解措施

確保組織的應(yīng)急響應(yīng)計(jì)劃，全面考慮到網(wǎng)絡(luò)攻擊對(duì)運(yùn)營(yíng)可能造成的所有潛在影響；

該應(yīng)急響應(yīng)計(jì)劃，還應(yīng)考慮對(duì)OT網(wǎng)絡(luò)訪問(wèn)有合法需求的第三方，包括工程師和供應(yīng)商；

每年審查、測(cè)試和更新應(yīng)急響應(yīng)計(jì)劃，確保其準(zhǔn)確性。

提高對(duì)備用控制系統(tǒng)的操作能力，如手動(dòng)操作，以及實(shí)施電子通信降級(jí)預(yù)案；

允許員工通過(guò)桌面練習(xí)獲得決策經(jīng)驗(yàn)，允許員工利用資源，如環(huán)境保護(hù)局（EPA）的網(wǎng)絡(luò)安全事件行動(dòng)清單，以及勒索軟件響應(yīng)清單，參考CISA-多狀態(tài)信息共享和分析中心（MS-ISAC）聯(lián)合勒索指南等，獲得相關(guān)經(jīng)驗(yàn)。

安全系統(tǒng)緩解措施

安裝獨(dú)立的網(wǎng)絡(luò)物理安全系統(tǒng)。如果控制系統(tǒng)被攻擊者破壞，這些系統(tǒng)可以在物理上防止危險(xiǎn)情況的發(fā)生。

網(wǎng)絡(luò)物理安全系統(tǒng)控制，包括對(duì)化學(xué)品進(jìn)料泵尺寸、閥門傳動(dòng)裝置、壓力開(kāi)關(guān)的控制等；

這些類型的控制適用于WWS部門設(shè)施，尤其是網(wǎng)絡(luò)安全能力有限的小型設(shè)施，它們可以使工作人員能夠在最壞的情況下，評(píng)估系統(tǒng)并確定解決方案；

啟用網(wǎng)絡(luò)物理安全系統(tǒng)，允許操作員采取物理措施限制損害，例如阻止攻擊者控制氫氧化鈉泵將pH值提高到危險(xiǎn)水平。

額外的緩解措施

培養(yǎng)網(wǎng)絡(luò)就緒的安全文化；

更新包括操作系統(tǒng)、應(yīng)用程序和固件等在內(nèi)的軟件；使用基于風(fēng)險(xiǎn)的評(píng)估策略，來(lái)確定哪些OT網(wǎng)絡(luò)資產(chǎn)和區(qū)域應(yīng)參與補(bǔ)丁管理計(jì)劃；考慮使用集中式補(bǔ)丁管理系統(tǒng)；

設(shè)置防病毒/反惡意軟件程序，使用最新簽名定期掃描IT網(wǎng)絡(luò)資產(chǎn)；使用基于風(fēng)險(xiǎn)的資產(chǎn)清單策略，來(lái)確定如何識(shí)別和評(píng)估OT網(wǎng)絡(luò)資產(chǎn)是否存在惡意軟件；

在IT和OT網(wǎng)絡(luò)上實(shí)施定期數(shù)據(jù)備份程序，如定期測(cè)試備份，確保備份未連接到網(wǎng)絡(luò)，防止勒索軟件傳播到備份；

在可能的情況下，啟用OT設(shè)備身份驗(yàn)證，利用OT協(xié)議加密版本，對(duì)所有無(wú)線通信進(jìn)行加密，確保傳輸過(guò)程中控制數(shù)據(jù)的機(jī)密性和真實(shí)性；

對(duì)帳戶進(jìn)行管理，盡可能刪除、禁用或重命名任何默認(rèn)系統(tǒng)帳戶；實(shí)施帳戶鎖定策略，降低暴力攻擊的風(fēng)險(xiǎn)；使用強(qiáng)大的特權(quán)帳戶管理策略和程序，監(jiān)控第三方供應(yīng)商創(chuàng)建的管理員級(jí)帳戶；在員工離開(kāi)組織后或帳戶達(dá)到規(guī)定的使用時(shí)間后，停用和刪除帳戶；

實(shí)施數(shù)據(jù)預(yù)防控制，例如實(shí)行應(yīng)用程序許可名單和軟件限制策略，防止從常見(jiàn)勒索軟件位置執(zhí)行相關(guān)程序；

通過(guò)安全意識(shí)和模擬項(xiàng)目，訓(xùn)練用戶識(shí)別和報(bào)告網(wǎng)絡(luò)釣魚(yú)等，識(shí)別并暫停出現(xiàn)異?；顒?dòng)的用戶訪問(wèn)。