2018年3月15日,我们都知道,讨论已久的针对工业控制系统(ICS)的网络攻击真的发生了。当然,以前也发生过许多针对ICSs的攻击。但这个以民族国家为后盾的危机却是最令人担忧的。
这种由俄罗斯发起的入侵,与心怀不满的员工、寻求勒索资金的流氓黑客或企业间谍活动的黑客行为一样,不会被归为一类。俄罗斯对美国关键基础设施和制造业的黑客攻击则不同。这是一场现代战争,而工业正是它的目标。
Juniper Networks网络安全策略师尼克·比洛戈斯基(Nick Bilogorskiy)说:“武装冲突的性质已经发生了巨大的变化……在现代世界,外国实体可以利用网络战对美国发起毁灭性的攻击,而不需要一枚炸弹或导弹。”网络攻击已被用于更广泛的信息战战略。例如,拒绝服务攻击、间谍恶意软件、传播虚假信息和宣传、操纵社交媒体选举,以及破坏网站或Twitter。”
他补充说,网络攻击很难确定来源,因为恶意软件代码中的代理、第三方和假工件被用来混淆它们的真实来源。因此,“理解谁攻击了你比证明它更容易。然而,在这起案件中,国土安全部(Department of Homeland Security)和联邦调查局(FBI)公开谴责了俄罗斯政府的网络行为者,在我看来,这意味着他们发现了俄罗斯参与其中的重要证据。”
美国计算机紧急应变小组(CERT)在其TA18-074A攻击警报中指出,俄罗斯政府已将“美国黑客”作为攻击目标政府实体以及能源、核、商业设施、水、航空和关键制造业部门的组织。”美国政府认为,重点制造业是主要生产初级金属、机械、电气设备和运输设备的行业。
为了更好地理解这对自动化的世界制造商和处理器的观众们,我们联系了行业专家来帮助解释这次攻击是如何发生的,它如何影响你,以及你应该如何应对它。
这事是怎么发生的
网络安全技术供应商Nozomi networks的产品和解决方案总监托马斯·努斯(Thomas Nuth)说:“US-CERT警报将这些攻击描述为远程访问目标工业网络的多阶段入侵行动。”“在获得访问权限后,威胁行为者(即俄罗斯政府网络行为者)进行了网络侦察,以收集与ICS有关的信息。这种行为是APTs(高级持续性威胁)的典型表现。”
警报中提到了三种获取信息的具体方法,这些方法可以进入公司的网络:
- 酒吧。US-CERT警告指出,“威胁行为者破坏了受信任组织的基础设施,以达到预期目标。大约一半已知的水坑是与过程控制、ICS或关键基础设施相关的贸易出版物和信息网站。尽管这些“水坑”可能存有由知名组织开发的合法内容,但威胁行为者改变网站,以包含和引用恶意内容。
请参阅相关文章,详细介绍了自动化世界避免被用作水坑的步骤。 - 网络钓鱼电子邮件。“威胁参与者使用电子邮件附件利用合法的Microsoft Office功能,使用服务器消息块(SMB)协议从远程服务器检索文档……该请求与服务器验证客户端,在检索所请求的文件之前,发送用户的凭证哈希到远程服务器……威胁参与者可以[然后]使用密码破解技术获取明文密码。”有了有效的证书,威胁行为者就能够在使用单因素身份验证的环境中伪装成授权用户。”
- 分析公开的信息,例如图片,其中ICS设备可见。该警告指出,一些访问方式是通过公开发布的公司图像获得的,其中SCADA屏幕是可见的。攻击者能够从这些图片中收集信息,以确定目标公司使用的系统信息。
一旦进入公司网络,Nuth指出,ICS侦察首先使用上述各种方法,延伸到以下战术:
- 利用批脚本对工业控制网络进行列举;
- 使用计划任务和屏幕截图工具来捕获整个网络的系统屏幕;而且
- 访问公司网络上的计算机,收集有关控制和SCADA系统的数据输出,包括ICS供应商名称和参考文档,以及收集配置文件和配置信息。
网络安全技术供应商Indegy的联合创始人兼首席执行官巴拉克·帕尔曼说:“侦察是实施攻击的关键组成部分。”“黑客很有耐心,经常花时间收集包括源代码在内的信息。这本身并不能揭示ICS王国的关键。但是源代码,以及在这个过程中收集到的其他信息,可以被收集起来并用于攻击目标组织。”
对工业的影响
大多数媒体对这些攻击的报道都集中在美国的能源设施上,这是可以理解的,因为它们是我们几乎所有活动的能源来源。但应急响应中心的警报明确表示,这些攻击的威胁远远超出了能源领域。
佩雷尔曼说:“实际上,任何制造商和处理器都是竞争对手。“最近,我们看到了供水设施、食品和饮料、化学和制药行业的趋势和活动。”
网络安全技术供应商Claroty的首席营销官帕特里克·麦克布莱德说,针对这个特定的对手(即俄罗斯)以及这些攻击通过US-CERT警报暴露出来的威胁,“最有可能的目标是参与开发国防相关系统和其他关键基础设施的制造商。这既包括这些系统的制造商,也包括供应链中制造关键、有限供应的专业部件的制造商。”
但佩雷尔曼很快指出,强调活动最多的行业并不意味着其他组织可以幸免。他说:“这些类型的威胁可能是无形的,而且会根据机会迅速变化。”“ICS/SCADA系统在不同的垂直领域共享类似的技术。例如,勒索软件可以攻击并删除Windows电脑,无论其用途如何。类似地,恶意软件可以被设计来关闭其路径上的任何PLC/DCS控制器。因此,作为附带损害的一部分,每一家工业企业都很容易受到这种攻击。”
西门子工业安全服务部门主管兼业务发展主管Stefan Woronka表示,所有类型和规模的制造商和处理器都需要注意这一点,“在过去的12个月里,我们已经看到,组织的规模并不重要。一家公司可以成为独立于其规模的目标。”
他补充说,一种常见的攻击做法是“寻找链条中最薄弱的环节,并试图破解它。在一个相互联系的现代世界,(这意味着)重点可能会转向保护水平较低的公司。”
根据US-CERT的警报所证实的情况,PAS(流程安全、网络安全和资产可靠性软件供应商)的首席执行官埃迪·哈比比(Eddie Habibi)认为,这表明“整个供应链都暴露了出来。如果你想想有多少不同的公司为一个工业设施提供产品和服务,又有多少公司为这些公司提供产品和服务,你就会开始意识到确保供应链的安全是多么困难。”
哈比比说,尽管CERT警报中没有提供攻击的具体细节,但每个公司都应该意识到,任何供应链的强大程度都取决于最薄弱环节。为了回应这一警告,他预计工业企业将开始要求“类似于流程改进程序的网络安全认证,如六西格玛,要求供应商实施并遵守网络安全最佳实践。”
那么远程访问呢?
过去五年里,远程接入是冲击过程制造和离散制造行业的最大趋势之一。尽管远程访问技术在石油和天然气行业已经应用了几十年,用于维护广泛分布的现场设备,但最近,远程访问技术迅速发展,成为oem开发新的维护业务模式的一种手段,工程师可以随时随地监控操作情况。
俄罗斯入侵美国控制系统的消息会阻碍这一趋势吗?
哈比比认为,这个问题的简单答案是:不。“工厂的数字化,包括远程接入、工业物联网等,是不可避免的。它带来的好处太大了,企业致力于投资数字化,”他说。
沃龙卡指出,远程访问只是黑客的一种潜在访问方式,其他途径也应该受到同等关注。“远程访问可能是一种方法,另一种可能利用公司的办公IT环境,”他说。“所有与外部环境连接的方法都需要特别注意。”
佩雷尔曼说:“当发出这样的警报时,总会有下意识的反应。“所以,在短期内,我们可能会看到一些组织调整他们的远程访问。真正的问题是,四到六个月后,当这一警报成为昨日黄花的新闻时,会发生什么。改变远程访问并不是全面解决ICS问题的灵丹妙药。如果是的话,企业早就该实施了。”
正如你可以从上面的评论中推断的那样,每个回复我这篇文章的人都同意,他们不认为这些攻击是对继续投资远程访问或其他连接的数字行业趋势的一种威慑。
哈比比说:“正是这些实现数字化的组件——传感器、连接和智能应用程序——现在使工业部门面临更大的安全风险。”这意味着“正在进行的数字化投资必须包括网络风险缓解计划。”
他补充说,他预计未来网络安全项目将与现有的安全管理项目(如过程危害分析)更加紧密地结合。
佩雷尔曼说:“从长远来看,技术进步显然是无法停止的,像远程访问这样的事情是使我们的设施和公司更高效的必要手段。”“在任何地方连接的概念在未来只会越来越多。例如,我们看到金融机构一次又一次地遭到攻击,但没有人会从他们的智能手机上删除他们的银行应用程序。负责ICS安全的人需要采取更深思熟虑的方法,不仅要解决已经发生的事情,还要解决尚未出现的威胁和漏洞。”
那么你应该怎么做呢?
考虑到US-CERT警报基本上概述了一种典型的APT,这种情况会在很长一段时间内发生,这意味着存在重大机会,可以在造成损害之前检测和阻止ICS攻击。
有关可用于评估和保护ICS系统的具体操作的详细列表,请参阅本文。
努斯说:“在ICS中部署正确的ICS监测和威胁情报技术,可以在早期阶段发现apt。”“这就是为什么ICS网络安全解决方案使用人工智能方法被动监测、分析和基准正常操作是扩展典型保护性网络安全技术的效用最有效的,如工业防火墙、SNMP网络监控软件和SIEM(安全信息和事件管理)产品。”
当被问及异常检测(现代ICS网络安全软件中最受吹捧的功能之一)在做出改变前防止此类入侵的能力时,所有受访者都同意异常检测不会是拯救世界的功能。
佩雷尔曼说:“异常检测只能在发生变化时才能检测到变化,而到那时就太晚了。”许多攻击被“设计成‘低且慢’,因此永远达不到异常阈值”。
然而,这种“缓慢而缓慢”的方法经常会留下痕迹,这些痕迹可以被异常检测软件检测到。
所有的网络攻击都有多个步骤,定义为洛克希德·马丁公司的网络杀伤链”,麦克布莱德说。“攻击者需要进行侦察,在网络上站稳脚跟,并在网络中向最终目标(如PLC或工程工作站)横向移动。只有这样,他们才能做出影响流程的更改。”
根据麦克布莱德的说法,这些步骤在做出改变之前将“异常”流量放到网络上。他说:“异常检测系统的设计目的是在杀伤链的早期阶段注意并发出警报,这样好人就可以在影响过程的变化发生之前阻止攻击。”
佩雷尔曼强调,由于每个系统、架构和操作都是不同的,因此避免对US-CERT警报做出下意识反应是很重要的。他说:“改变一件事往往可以掩盖另一个比第一个更大的漏洞。”
尽管维护打过补丁的IT系统,并对员工进行最佳安全实践培训,可以防止90%的常见网络入侵,但佩雷尔曼指出,对于另外10%的常见网络入侵,特别是ICS网络,打补丁和反病毒通常不是一个有效的选择。认识到这一ICS现实,佩雷尔曼建议部署专门针对ICS环境设计的监测解决方案。根据佩雷尔曼的说法,这类产品的核心要求包括:
- 能够帮助建立网络上工业设备的资产清单,以及它们相关的风险级别和脆弱性;而且
- 以一种确定的方式实时检测恶意活动(无论是侦察还是实际破坏)的能力。
除了US-CERT警告中的网络安全建议和本文中链接的建议(见上面的链接),Habibi指出了ICS网络安全的另一个重要方面,所有公司都应该注意——“有一个后盾,以防所有其他安全控制被证明不足以将坏人排除在外。”公司需要监控未经授权变更的技术,以及基于资产风险概况调查变更的流程。但当所有这些都失败时,他们必须有良好的备份和经过测试的业务连续性计划,因为风险太大了。”
