“想哭”会成为业界的网络安全警钟吗?

上周席卷全球的勒索软件攻击让多数制造商毫发无损,但暴露了许多尚未开始解决的关键漏洞。

“想哭”索要赎金的截图。
“想哭”索要赎金的截图。

这可能是自那以来最大的网络安全新闻stuxnet.是上周关于Wannacry的消息。Wannacry是一种恶意软件,称为RansomWare,因为它会阻止对受感染的计算机数据的访问,直到ransom获得重新获得访问权限。它在5月12日通过网络钓鱼电子邮件和恶意软件中的自传蠕虫功能开始感染基于Windows的计算机。

当天晚些时候,Malwaretech的一名研究员通过利用Wannacry代码中的杀戮开关帮助慢速追求Wannacry的进展,这涉及登记从诸如Wannacry代码的样本获得的Web域。这样做的介入生恶意软件的流量占据了以扩展其代码。虽然此杀戮交换机可能会捕获恶意软件生成的Internet流量,但它不会阻止恶意软件传播其代码。

首席营销官Patrick McBrideClaroty他指出,由于“许多工业控制系统网络与公共互联网是关闭的,如果恶意软件最初在一个封闭的网络中启动,杀死开关可能不会触发。”具有讽刺意味的是,遵循封闭ICS/OT网络的最佳实践的组织可能仍然面临风险。此外,一些组织通过将杀死开关URL列入黑名单,无意中助长了病毒在其网络中的传播。”

虽然关于卫战期的第一个新闻项目突出了对英国国家卫生服务的影响,但它在150个国家影响了超过230,000台电脑。受恶营软件影响的遗址是日产,中石油和雷诺的生产行动。

由于Wannacry没有专门为目标技术(OT)网络而设计,因此Galina Antova表示,制造商可以容易地解雇它,Claroty的联合创始人Galina Antova表示。“但是......我们有一手知识,蠕虫会影响OT网络并关闭生产,”她说。

虽然同意像“想哭”这样的恶意软件是对OT网络的威胁,但是不是他强调,“想哭”不应引起制造商恐慌。“在这种情况下,专有系统拥有固有的防御机制,可以抵御像‘想哭’这样的广泛网络攻击,”他说。“包括0级到2级的OT专利层通常对WannaCry等恶意软件免疫。原因是WannaCry是微软Windows系统的一个漏洞,从设计上讲,它不能在OT的传统专有层上执行。这对公众和当局来说都很重要,以免造成不必要的恐慌。”

尽管这一级别0-2级别,但跨行业的IT和OT系统之间的链接越来越多,潜在地影响产业运营。McBride注意到ICSS面对诸如Wannacry这样的恶意软件的几个关键弱点,例如:

  • 工业网络在IT/OT之间往往没有很好地分割,因此前者的感染很容易传播到后者。
  • Microsoft Server Message Block出现在ICS环境中,该环境依赖于支持人机界面、工程工作站、历史学家、分布式控制系统等Windows机器。“想哭”恶意软件利用了微软服务器消息阻止中存在的漏洞。
  • ICS环境中的许多Windows机器没有完全打补丁,而且往往过时或不受支持。

尽管最初的WannaCry最糟糕的阶段似乎已经过去,但专家警告称,一个没有终止开关的新版本可能已经在传播。

“无论野外是否存在新版本,我们很快就会期待CopyCat Variants,”McBride表示。“创建一个变体是微不足道的。所有所需的代码都是开放的,并通过多种转换和感染周期进行的Conficker Worm,作为这种可能性的良好提醒。

弱点
虽然WannaCry可能不是引起OT网络恐慌的巨大原因,但它是一种可以并已经影响到全球制造业务的威胁。因此,制造商应该意识到他们需要解决的特定漏洞来保护他们的网络。

虽然“硬实时控制系统,如plc和嵌入式DCS控制器,尚未转移到微软环境,但几乎所有其他部分的过程控制系统已转移到微软Windows服务器,MS SQL数据库和Windows桌面操作系统,”巴拉克·佩雷尔曼指出Indegy.“控制系统的这些部分可以容易受到不同影响的威胁对他们控制的过程的影响。”

该控制系统的其他部分包括HMIS,工程工作站,历史学家,标签服务器,统计过程控制(SPC)和实验室信息管理(LIM)系统,是工业网络安全服务和销售总监的布莱恩歌手说IOActive.他强调,换句话说,“操作OT环境的几乎整个知识体系和所有相关的监管数据都面临风险。”

Thomas Nuth,产品和解决方案营销总监Nozomi网络,指出,监督控制和数据采集(SCADA)和制造执行系统(MES)是对任何OT网络的漏洞最高的点,因为它们对传统IT功能和互联网接入的邻近。“平均苏米达或MES往往缺乏积极监测工业网络的能力,以获得异常活动,从而实时识别网络威胁几乎不可能,”他说。“此外,作为SCADA和MES变得更加先进并与之相连云,他们变得更容易受到创新的网络攻击。虽然保持固件和软件更新很重要,但运营商可能无法按时和每次都这样做。这意味着Scada和MES作为OT攻击的网关,因此应该是任何制造商的工业网络安全战略的最高焦点。“

你受到保护吗?
在这次攻击的后果中,面对更多类似的攻击即将发生的确定性,各种规模的制造商都需要解决他们OT系统中的漏洞。

第一步是对你的网络中所有微软机器进行快速清点,Nuth说。他说:“快速识别所有能够访问你的第一层和第二层网络的电脑,并用微软提供的最新补丁给它们打补丁。”他还补充说,Windows Server 2003以前的遗留操作系统都有专门的补丁。

Habibi解释说,如果你的网络上没有完整和准确的微软机器清单,“它就变成了一个猜谜游戏。”“问题是,大多数公司不容易获得这些数据,尤其是整个企业。我们看到最常用的一种方法是向每个设施发送电子邮件,询问他们的系统是否受到公开的漏洞的影响。这意味着公司依赖于手工电子表格或OT主题专家的记忆来进行漏洞审计。”

根据Habibi的说法,正确的方法是“在工厂内拥有一个自动化的、常备的系统库存——不仅仅是工作站和其他基于it的系统——还包括可编程逻辑控制器、分布式控制系统、智能现场仪器等等。”综合考虑网络资产,漏洞识别是一个简单、准确的查询。这适用于WannaCry使用的漏洞,以及过程控制网络中发现的0级和1级漏洞。”

安托瓦指出,微软在一个月前发布了一个补丁来解决WannaCry所利用的漏洞。然而,“供应商通常需要时间来证明补丁可以工作,而不会破坏其他东西,”她说,并补充说,他们应该尽快做到这一点,并向他们的客户提供经过认证的补丁。“即使到那时,许多客户将不得不要么等待维护窗口,要么做出风险决定,停止生产并应用补丁。”

作为进一步的预防措施,辛格建议制造商不应允许移动设备,如USB、4G数据调制解调器、未经测试的笔记本电脑和现场设备连接到他们的OT网络。他说:“此外,检查防火墙配置,确保Windows SMB端口、SNMP和OT网络上的几乎所有东西都没有任何来自互联网的外部访问。”“这包括VPN隧道。”

应用补丁
由于有针对WannaCry的补丁可用,McBride向制造商推荐了以下六个步骤:

1.请尽快申请Windows SMB补丁。针对不受支持的Windows版本(如Windows XP、Vista、Server 2003或2008)的紧急补丁也适用于较旧的系统。(见Microsoft安全公告MS17-010 -紧急).

2.IT/OT网络间的SMB端口块(139和445)。

3.在不需要使用SMB的系统上,完全禁用它(可以找到Microsoft说明)在这里)或使用端点防火墙阻止它。

4.对于不太重要的服务可能需要SMB的系统,请考虑禁用SMB 1,直到可以应用补丁。

5.快速审查灾难恢复计划,并确定哪些基于Windows的ICS具有当前备份UPS。如果这些系统被感染,图像或尽快备份这些系统以帮助快速恢复。

6.ICS安全团队需要对WannaCry的新变种保持警惕。

“一旦可以更新可以修补的系统,组织应该努力看看无法修补的那些系统并考虑其他方法来保护它们,”Perelman说。“他们还应该记住,还应保护易受攻击的系统,例如PLC和嵌入式DCS控制器,也不应保护基于Windows的基于Windows的。“

对制造商来说,“想哭”事件的好处在于,它应该成为一记警钟。尽管大多数关键的制造系统没有受到影响,但如果不注意保持良好的网络安全卫生,这些关键系统所连接的网络是非常脆弱的。

“对于3级设备,Wannacry的最糟糕的情况是历史学家或高级应用程序服务器必须在修补程序升级期间脱机,”Habibi说。“好消息是,控制控制和安全的专有设备旨在继续运行,即使Windows设备脱机。我们的许多客户正在修补他们的Windows设备,以外的计划维护以处理Wannacry。“

除了修补外,公司应该“验证现有安全控制的可靠性,通过风险评估确定新的新潜力,提醒人员风险,刷新网络安全培训,并确保备份在需要快速恢复时正常执行备份,“Habibi推荐。”最后,如果它不存在,公司应该制定一个预期某些攻击情景的危机管理计划。等待受妥协的系统和生产局势是通过决策考虑和通信要求思考的错误时间。“

提前计划
无论行业如何迅速、成功地解决了“想哭”的漏洞,网络安全仍然是一个不断变化的目标。总会有新的威胁出现。

为了尽可能超越曲线,歌手建议公司遵循ISA / IEC 62443,NIST Cyber​​seecurity Framework,SANS前20个关键控制等来源的行业领先的指导。“如果您没有对网络进行网络漏洞评估或渗透测试,则安排一个,”他说。

Perelman说,纵深防御是保护任何公司的最佳方法,他补充说,这需要多层安全解决从外围和网络防御,包括工厂的每一个关键资产。“在OT环境中的问题是,几十年来,组织没有部署外围防御层,”他说。“我们不能再忽视这样一个事实,即威胁可以找到进入这些网络的途径,而像plc、rtu和dcs等关键资产必须受到保护。”

Nuth补充说:“随着云SCADA和多站点MES等技术的进步和引入,认为工业网络能够与互联网保持分离和隔离的想法不再可行。”

这意味着制造商必须调整他们的方法以适应网络安全。从历史上看,制造商采取了“自上而下的方法,试图将IT方法工业化,以实现网络安全,”努斯说。“这种方法的问题是,防火墙虽然有益,但作用有限。制造商需要首先投资于针对其环境设计的ICS网络安全策略。换句话说,需要一个自底向上的网络安全解决方案来从工业节点级别扩展到第3级防火墙。制造商需要投资于ICS网络安全领域的创新,以提供从资产管理、漏洞评估到实时监控和异常检测的全面方法。”

WannaCry资源

更多在IIOT.