产业圈本周对 报表发布消防Eye并德拉戈斯网络安全事件 发生在中东关键基础设施出版物侧重于全制造方方面面自动化控制技术自动化世界并没有资源-或意向-报告每个网络破解新闻也没有时间为每次攻击大惊小怪但这个值得你花时间 站起记事
恶意软件称为Triton对社区意义重大,因为它不仅是日益聚焦工业控制系统的一部分,也是第一个直接瞄准安全仪表系统具体地说,攻击目标设施Triconex安全系统Schneider电机适当响应关闭运维
FireEye表示,攻击者远程访问设施SIS工程站,并部署Triton攻击框架重编SIS控制器sIS控制器中有些输入故障安全状态,自动关闭工序FireEye曼迪安特团队后续调查发现SIS控制器启动安全关机时冗余处理单元应用码失效验证
FireEye报告:「我们怀着适度信心评估攻击者无意关闭操作同时开发造成物理破坏的能力
所有信号指向网络攻击 由民族国家赞助FireEye表示:「锁定关键基础设施以及攻击者持久性、缺乏明确的货币目标和技术资源来创建攻击框架显示资源充沛的国家行为方”。
思想大全越来越多来自民族国家的攻击关键主题 今年早些时候我曾与Eddie Habibi讨论过 Eddie Habibi 创建人兼CEOPAS全局.网络攻击工业部门 可能是下一代隐形武器 最近我们所看到的攻击
自2010年以来攻击者一直想学习关键基础设施工厂流程控制网络如何运作、系统已建立、脆弱之处以及如何最优操作这些系统来影响工厂安全性能,Habibi本周回应Triton恶意软件并正在利用获取的控制网络知识中断生产并制造安全事件目标系统常为企业生产电源、汽车汽油或家用净水
更多关键基础设施网络安全阅读11月封面故事题目论题
并无关Schneider电机系统 或它可能有的任何漏洞关乎坏角色寻找新攻击向量
Emily S表示:「市场中有一些角色相信没有人能影响安全系统。”Miller 国家安全和关键基础程序主管莫卡纳.可验证事件 根据初始报告 1) 行为主体显然想学习并影响安全系统安全系统因恶意网络行为主体在空间工作而被绊倒
Andy Kling表示, 网络安全架构主管Schneider ElectricTriton设计来篡改我们的产品 仅仅因为这些产品 碰巧在现场恶意软件对Schneider电气产品不产生固有漏洞
Dragos在事件报告内也指出恶意软件(它称它为Trisis)并不影响Schneider电气产品固有的脆弱性事实上,由于各种行业部署的每一TriconexSIS都独一无二,理解过程所涉问题需要具体了解过程,恶意软件需为每个具体受害者Dragos高亮修改这会降低恶意软件的可缩放性
Dragos报告表示:「虽然攻击不是高度可扩缩性,
并进行同种侦察学习如何制造一连串不良效果, 并保持不为人知, Miller说 。
新的攻击能力是事件关键 哈比比同意Triton恶意攻击突显攻击者所获取能力, 传统安全控制-即隐蔽屏蔽安全-不再充分有效,正像Triton目标 独立保护层的一部分 维护植物安全, 这会提高红旗 遍及世界所有关键基础设施公司
关键基础设施关键信息-或任何类型制造设施-在网络防御中时刻保持警惕虽然有些人可能想给Schneider Electrict说错话,但事实上同样的威胁可能针对任何安全系统使用,而不良行为方想攻击时使用安全系统。TriconexsIS做了它应该做的系统发现误判后对恶意软件适当响应 并知道有问题系统安全关闭工厂恶意软件可能多年都置入系统
保持网络安全不单需要安全系统要求遵循与该体系并发的准则
Triconex产品开发部署黑客访问此实例是因为安全特征防止网络和设备内存访问Triconex用户文档详细安全指南和建议 如何保护Triconex系统不受攻击我们强烈鼓励所有客户采纳有关产品使用和安全的建议,并随时应用并遵循行业认可的网络安全最佳做法保护他们的设施。”
Kling重申最佳实践安全通知Schneider Elect本周寄送客户
- 保证Triconex解决方案中的网络安全特征总能实现
- 前端面板键位不主动配置控制器时永不离开程序设计模式,并始终删除并安全密钥
- 确保所有TriStation终端安全控制器和安全网与工厂通信通道其余部分隔离
- 并审查和评估网站网络准备
根据Dragos报告 受攻击设施TriconexSIS控制器在攻击时用程序模式开关sIS联系运营网络,以最佳实践为例控制器置入运行模式(程序变换不允许),逻辑任意变换是不可能的,大大降低了操作概率,Dragos评论
事件强化了ICS环境基本精密控件需求Heather MacKenzie网络博客.网络分割等基本网络安全控件 使用物理屏蔽如物理Triconex密钥Schneider Electric被选为标志性事件也很不幸, 公司对ICS网络安全非常主动
FireEye和Nozomi网络建议具体实践防攻击:
- 安全系统网络从流程控制信息系统网络升级
- 不向任何其他流程控制或信息系统网络提供双家庭工程工作站
- 硬件特征提供物理控件物理键应锁住并发布警告和修改管理过程应到位以改变密钥位置
- 限制数据流从 sIS应用到单向外向流量
- 限制数据从服务器或工作站流到SIS使用应用白列表和访问控件
- 监控ICS交通意外通信流和其他异常活动并立即调查
企业首先必须采取的步骤之一是提高网络资产在其工厂中的可见度,据PASHabii表示,80%的网络资产不属于传统IT网络安全程序范围。以今日威胁风景为例,公司一旦获得可见度,便可开始实施基本安全控制,如监控未经授权变化或发现隐蔽漏洞恶意软件如Triton会继续寻找肥沃土壤造成生产中断甚至环境或物理伤害