您所在的位置: 首頁 >
新聞資訊 >
技術(shù)前沿 >
OT環(huán)境勒索軟件分析與防范
2023年1月,匿名者旗下的GhostSec黑客組織聲稱對RTU(遠(yuǎn)程終端單元)進(jìn)行了“有史以來第一次”勒索軟件攻擊,RTU是一種通常部署在工業(yè)控制系統(tǒng) (ICS)環(huán)境中的小型設(shè)備,是周邊監(jiān)控和數(shù)據(jù)采集(SCADA)設(shè)備,用于測量和控制實際物理設(shè)備。從圖片中可以看出,黑客進(jìn)入了RTU設(shè)備的嵌入操作系統(tǒng)內(nèi)部,并對文件進(jìn)行了加密:
近期SynSaber公司的報告,回顧統(tǒng)計分析了CISA在2020年至2022年期間發(fā)布的ICS系統(tǒng)報告數(shù)量,工業(yè)控制系統(tǒng)(ICS)中漏洞報告數(shù)量持續(xù)增加,2021、2022年的增加數(shù)量大致相同為350份,但2022年新增的漏洞數(shù)量達(dá)到1342個,2021年為1191個。
“嚴(yán)重”等級的漏洞數(shù)量增長更為顯著,從2021年的186個增加到2022年的近300 個。根據(jù)CVSS評分,總共有近1,000個漏洞為“嚴(yán)重”或“高嚴(yán)重性”。報告特別指出,在過去三年中,已發(fā)布的工業(yè)控制系統(tǒng)(ICS)漏洞數(shù)量增長了近70%,關(guān)鍵是其中超過21%仍未被修補。
0x01 勒索的潛在影響
勒索軟件是病毒的一種形式,或者更常稱為惡意軟件。從本質(zhì)上講,攻擊者會找到一種方法(網(wǎng)絡(luò)釣魚、社會工程等)首先入侵目標(biāo)網(wǎng)絡(luò)。然后,他們的“軟件”在網(wǎng)絡(luò)中運行(遍歷網(wǎng)絡(luò)共享、本地驅(qū)動器等),使用只有攻擊者才知道的密鑰對其發(fā)現(xiàn)的所有內(nèi)容進(jìn)行加密。如果你想解鎖你的文件,你必須付錢給壞人給你鑰匙。根據(jù)攻擊者和受害者的具體情況,獲取密鑰和解密文件的成本可能從數(shù)百美元到數(shù)千美元甚至數(shù)百萬美元不等。
勒索軟件植根于詐騙和勒索犯罪世界,從本質(zhì)上講,它也可以用來針對較大的資產(chǎn)所有者和組織,或掩蓋其他可能更不正當(dāng)?shù)幕顒?。勒索軟件對企業(yè)的攻擊,包括OT企業(yè),各類新聞早已屢見不鮮。為什么勒索軟件正在成為當(dāng)今工業(yè)組織面臨的挑戰(zhàn):
1、勒索軟件利用“可用性”風(fēng)險,在工業(yè)組織中利潤豐厚。網(wǎng)絡(luò)竊取個人信息的業(yè)務(wù)曾經(jīng)相當(dāng)有利可圖,但隨著供應(yīng)的增加,這些信息的價格已大幅下降。因此,網(wǎng)絡(luò)罪犯找到了新的商業(yè)模式。它們已經(jīng)從機密性-完整性-可用性三要素中的“C”轉(zhuǎn)變?yōu)椤癆”。而工業(yè)組織需要可用性來運作,因此付款通常是快速和大量的。
2、在大多數(shù)情況下,保險支付贖金和追索費用是的很大一部分。因此,在目前的政策下,保險的存在使支付過程變得更加順利。然而,隨著保險公司開始改變未來的政策,這種情況正在發(fā)生變化,正如安盛(AXA)最近宣布停止對勒索軟件支付的覆蓋。
3、通過IT系統(tǒng)攻擊可以關(guān)閉OT操作。為什么會這樣?首先,OT系統(tǒng)通常非常容易受到勒索軟件的攻擊,如果勒索軟件進(jìn)入這些系統(tǒng)的話。因此,任何事件響應(yīng)處置的第一步都是通過斷開與OT系統(tǒng)連接來阻止傳播。雖然IT系統(tǒng)的恢復(fù)成本很高,但OT系統(tǒng)的成本可能是IT系統(tǒng)的3-4倍,并且可能需要更長的時間。
4、勒索軟件通常利用基于網(wǎng)絡(luò)的不安全性來獲取訪問權(quán)限(例如,通過RDP),但會從一個端點傳播到另一個端點。補償控制、系統(tǒng)加固、漏洞管理和其他技術(shù)(如網(wǎng)絡(luò)隔離)都在減少病毒攻擊的影響和傳播方面發(fā)揮著關(guān)鍵作用。
下圖顯示了勒索軟件攻擊設(shè)施的典型路徑和殺傷鏈(Kill Chain):
2021年底和2022年初的預(yù)測都認(rèn)為,發(fā)達(dá)經(jīng)濟體的重大勒索軟件攻擊將持續(xù)爆發(fā)。然而,實際情況是,預(yù)測的爆炸從未發(fā)生。根據(jù)來源,圍繞2022年期間勒索軟件是略有增加還是實際減少存在一些爭議。但無論從哪個數(shù)據(jù)集來看,人們擔(dān)心的勒索軟件大流行從未發(fā)生。使用與去年相同的數(shù)據(jù)源, 2022年第三季度的事故略有減少(約10%)。在此之前,第二季度略有增長,第一季度基本持平。全年來看基本輕微增加和減少,而不是另一個巨大的峰值。
2022年沒有快速增長并不意味著勒索軟件仍然不是工業(yè)環(huán)境的最大威脅。同樣,根據(jù)分析師的不同,勒索軟件在2022年至少同比持平——與歷史數(shù)據(jù)相比,持平在一個非常高的水平。
攻擊格局在2022年確實發(fā)生了重大變化。到目前為止,LockBit2.0仍然是“市場份額”領(lǐng)先集團(tuán),并在年中關(guān)閉了最臭名昭著的集團(tuán)之一Conti–意味著LockBit的份額日益集中,以及眾多新的競爭團(tuán)體的崛起——Basta、Hive和其他幾個團(tuán)體。有一些人認(rèn)為,這些不同的團(tuán)體中有許多是Conti的重組團(tuán)體。一個基本的勒索軟件市場占比如下圖所示:
Dragos的報告總結(jié)了2022年全年的工業(yè)控制系統(tǒng)勒索事件
0x02 減少與防范OT環(huán)境中的勒索
考慮到當(dāng)前ICS系統(tǒng)攻擊事件和漏洞呈上升趨勢,因此ICS系統(tǒng)風(fēng)險狀態(tài)以及工業(yè)環(huán)境中勒索軟件事件存在再次加速的可能性,OT企業(yè)應(yīng)如何組織響應(yīng)呢?
了解勒索軟件攻擊給您帶來的實際操作和安全風(fēng)險
要了解這一情況,組織需要掌握三條關(guān)鍵信息:
1、理解不同資產(chǎn)在運營環(huán)境中的關(guān)鍵程度。例如,你可能有某些工廠、制造、設(shè)施等,這對企業(yè)的財務(wù)業(yè)績至關(guān)重要。其他人可能在財務(wù)上不那么重要,但他們是這些關(guān)鍵站點的關(guān)鍵供應(yīng)商。因此,對站點/設(shè)施重要性的業(yè)務(wù)理解是基礎(chǔ)。
2、全面了解這些設(shè)施中的資產(chǎn)面臨的勒索軟件風(fēng)險。通常通過“技術(shù)驅(qū)動漏洞評估”來實現(xiàn)這一點。在OT環(huán)境中,對軟件和硬件漏洞、網(wǎng)絡(luò)保護(hù)和資產(chǎn)的保護(hù)、補丁程序狀態(tài)等的詳細(xì)把握。這種360度的風(fēng)險視圖提供了對現(xiàn)場/設(shè)施/工廠等的潛在威脅的可視化。
3、恢復(fù)和響應(yīng)能力的現(xiàn)狀。準(zhǔn)備充分的組織可以減少任何勒索軟件事件的范圍。強大且更新的備份、快速事件響應(yīng)計劃、Canary文件警報(Canary共享文件類型為檢測勒索軟件感染的誘餌,但其數(shù)據(jù)對企業(yè)并無價值。該共享文件類型僅用于快速的感染檢測)以在早期階段捕獲勒索軟件等。所有這些都可以提供限制因素。通過評估這些響應(yīng)和恢復(fù)能力,組織可以確定攻擊的潛在影響范圍。
創(chuàng)建站點級別的補救和保護(hù)路線圖
我們經(jīng)常看到組織采取某種措施來降低勒索軟件(和其他潛在的OT攻擊)的風(fēng)險。例如,一個常見的做法是全面的網(wǎng)絡(luò)劃分,以減少連通性IT和OT之間以及OT環(huán)境內(nèi)的隔離,這當(dāng)然是穩(wěn)健做法的一部分。然而,這可能不是整個計劃中最有影響力的第一步。了解風(fēng)險和一系列舉措是取得快速但可持續(xù)進(jìn)展的關(guān)鍵。如果不清楚網(wǎng)絡(luò)上的資產(chǎn)以及它們?nèi)绾蜗嗷ネㄐ牛ǔ:茈y進(jìn)行適當(dāng)?shù)木W(wǎng)絡(luò)分段。因此,全面的環(huán)境清單加快了最終的細(xì)分工作。類似地,一些計劃可能會迅速產(chǎn)生影響,例如,利用可能已經(jīng)到位的備份工具,但要確保它們得到使用和更新。站點和企業(yè)級別的這一系列計劃提供了一個路線圖,可在構(gòu)建保護(hù)和檢測的長期基礎(chǔ)的同時實現(xiàn)近期保護(hù)和恢復(fù)功能。
基于第一點中的站點和資產(chǎn)優(yōu)先級加快OT安全建設(shè)
接著是補救的時候了,“技術(shù)驅(qū)動評估”的優(yōu)勢之一是上面提到的技術(shù)已經(jīng)準(zhǔn)備到位,能夠立即修復(fù)已識別的風(fēng)險。從修補到配置強化,再到管理有風(fēng)險的軟件、用戶和帳戶等。
除了加速這些終端的檢測之外,還需要一系列額外的保護(hù)和響應(yīng)能力。最大的挑戰(zhàn)之一是確定適當(dāng)?shù)膱?zhí)行計劃來保護(hù)最核心的站點和資產(chǎn),同時不會在這些大型/復(fù)雜的站點上陷入困境,并且永遠(yuǎn)不會對評級為“中等”關(guān)鍵程度資產(chǎn)進(jìn)行過度保護(hù)。
一種稱之為“雙焦點”的執(zhí)行方法:一方面,我們肯定會在最關(guān)鍵的站點上進(jìn)行穩(wěn)健的計劃部署。然而,與此同時,我們將鼓勵一種廣泛而淺顯的方法,在企業(yè)級別對所有站點應(yīng)用有限的保護(hù),同時在關(guān)鍵站點上進(jìn)行更深入的工作。
0x03 OT安全計劃中的關(guān)鍵要素
資產(chǎn)盤點
有效的終端管理始于穩(wěn)健的資產(chǎn)庫存。正如一句諺語所說:如果你不知道你擁有什么,你就無法管理風(fēng)險。每個終端資產(chǎn)360度資產(chǎn)畫像將為合理的端點管理提供支撐。OT挑戰(zhàn):整合自動化資產(chǎn)清單,其中包括從基于操作系統(tǒng)到網(wǎng)絡(luò)的所有資產(chǎn)類型,還嵌入了深入的資產(chǎn)配置文件,包括設(shè)置關(guān)鍵程度、用戶和帳戶、補償控制的存在等。
補丁管理
大多數(shù)威脅都是通過商用系統(tǒng)(如Windows計算機)進(jìn)入的。您無法在OT中修補所有內(nèi)容,但由于多個環(huán)境因素,端到端修補程序管理計劃(即修補程序的自動化和智能應(yīng)用)非常重要例如合規(guī)性、法規(guī)和風(fēng)險管理(例如,具有連接到互聯(lián)網(wǎng)的RDP或防火墻的主機上的補丁應(yīng)優(yōu)先于由多個層保護(hù)的PLC)。當(dāng)今勒索軟件的實際情況是,它主要針對基于操作系統(tǒng)的設(shè)備(服務(wù)器、工作站、HMI)。在管理補丁程序以解決勒索軟件時,這些是主要的關(guān)注點。在不可行的情況下,應(yīng)用程序白名單和策略強制執(zhí)行會增加攻擊的成本和難度,以提高您防御或拒絕對您的OT組織進(jìn)行勒索軟件攻擊的機會。OT挑戰(zhàn):需要有一個排定了優(yōu)先級的修補流程并轉(zhuǎn)移到補償控制必要的時候/地方。
應(yīng)用程序白名單
這始于可能嘗試在HMI、工作站等上運行的新軟件的應(yīng)用程序控制。在IT中,考慮到所需的新應(yīng)用程序的廣度,維護(hù)此解決方案相當(dāng)具有挑戰(zhàn)性。然而,在OT中,大多數(shù)系統(tǒng)應(yīng)該被“鎖定”,新的應(yīng)用程序是不必要的。因此,國土安全部強烈建議將白名單作為2-3項首要舉措之一。白名單還可以擴展到USB、可移動介質(zhì)和臨時設(shè)備,尤其是在您的網(wǎng)絡(luò)存在“物理隔離”或受到嚴(yán)格控制的情況下。用戶將通過可移動介質(zhì)繞過您的控制。作為最佳實踐,系統(tǒng)策略易于部署,使用白名單軟件,注冊安全驅(qū)動器和其他技術(shù)(如802.X)可確保網(wǎng)段上允許授權(quán)系統(tǒng)。OT挑戰(zhàn):列舉、應(yīng)用、監(jiān)控和執(zhí)行可移動介質(zhì)策略以及擴展到臨時網(wǎng)絡(luò)資產(chǎn)。
強大且更新的備份
任何安全計劃都不足以阻止每一次攻擊。因此,全面的備份程序?qū)τ诖_??焖倩謴?fù)至關(guān)重要。這包括確定要備份的系統(tǒng)的優(yōu)先級,確保及時備份,監(jiān)控失敗的備份(在許多OT環(huán)境中似乎經(jīng)常發(fā)生),以及確保在離線存儲庫中進(jìn)行復(fù)制,以便惡意軟件不會限制其有效性。OT挑戰(zhàn):創(chuàng)建與供應(yīng)商無關(guān)的備份解決方案,因為許多OEM都有首選的備份解決方案。成功的關(guān)鍵是創(chuàng)建單一的備份平臺,以便能夠提高效率,同時確??绺鞣N站點的法規(guī)遵從性。
實施網(wǎng)絡(luò)分離或分段
減緩勒索軟件傳播的一個關(guān)鍵方法是在IT和OT網(wǎng)絡(luò)之間(甚至在IT和/或OT的網(wǎng)段內(nèi))設(shè)置網(wǎng)絡(luò)屏障。這種方法是一個基本要素,但由于其技術(shù)挑戰(zhàn),往往沒有得到充分利用。OT挑戰(zhàn):對IT或OT進(jìn)行分段并不容易,但在OT中,由于傳統(tǒng)設(shè)備、物理布線需求、將系統(tǒng)移至新防火墻所需的停機時間等原因,出現(xiàn)了特殊的挑戰(zhàn)。OT細(xì)分需要一個對網(wǎng)絡(luò)和OT系統(tǒng)有深入了解的團(tuán)隊。
參考資料:
https://industrialcyber.co/industrial-cyber-attacks/hacker-group-discloses-ability-to-encrypt-an-rtu-device-using-ransomware-industry-reacts/https://synsaber.com/resources/industrial-cve-retrospective-2020-2021-2022
https://verveindustrial.com/resources/blog/how-to-prevent-ransomware-in-2023/
https://hub.dragos.com/ics-cybersecurity-year-in-review-2022
原文來源:博智非攻研究院