2018年3月15日,我们了解到,对工业控制系统(ICS)的长期讨论的网络攻击实际上发生了。当然,在以前发生了许多对ICS的攻击。但这是一个国家的支持 - 是最担心的国家。
俄罗斯进行的这种侵犯是不可能通过不满的员工与黑客分类的那种侵犯,他们希望揭露资金或企业间谍活动。美国的俄罗斯黑客攻击是不同的基础设施和制造业的不同。这是一系列现代战争与交通界的行为。
瞻博网络公司的网络安全战略家Nick Bilogorskiy说:“武装冲突的性质已经发生了巨大的变化……在现代世界,网络战争可以被外国实体利用来对美国发动毁灭性的攻击,而不需要一枚炸弹或导弹。网络攻击已经被用于更广泛的信息战战略中。一些例子是拒绝服务攻击、间谍恶意软件、散布虚假信息和宣传、社交媒体选举操纵,以及破坏网站或推特。”
他补充说,网络攻击是很难属性的来源,因为代理,第三方和假文物在恶意软件代码来混淆他们的真正来源。因此,“这是比较容易理解谁攻击你比它要能够证明这一点。在这种情况下,[但是],国土安全部和联邦调查局部公开谴责俄罗斯政府的网络行为,这对我来说意味着他们发现俄罗斯的参与显著的证据“。
在其TA18-074A警报攻击时,美国计算机应急准备团队(证书)指出,俄罗斯政府已瞄准“美国”政府实体以及能源,核,商业设施,水,航空和关键制造业的组织。“美国政府认为关键制造部门是那些专注于生产原种金属,机械,电气设备和运输设备的人。
为了更好地理解这意味着什么了自动化世界作为制造商和加工商的听众,我们联系了行业专家,帮助解释这次攻击是如何发生的,它如何影响你,你应该做些什么。
它是怎么发生的
“在US-CERT警告刻画这些攻击为多级的入侵活动,以获得远程访问到有针对性的工业网络,”托马斯Nuth,在网络安全技术供应商希网络产品及解决方案总监说。“获得访问之后,威胁演员[即俄罗斯政府网络参与者]进行网络侦察收集信息有关的ICS。这种行为是典型的APT [高级持续性威胁]的。”
在警报中引用了三种获取启用对公司网络的信息的特定方法:
- 浇水孔。US-CERT警告指出,“威胁行动者破坏受信任组织的基础设施,以达到预期目标。大约一半的已知漏洞是与过程控制、ICS或关键基础设施相关的行业出版物和信息网站。尽管这些“水坑”可能包含由知名组织开发的合法内容,但威胁行动者改变网站,以包含和引用恶意内容。
请参阅相关文章详细说明了自动化世界采用的步骤避免用作浇水孔。 - 网络钓鱼电子邮件。“Threat actors used email attachments to leverage legitimate Microsoft Office functions for retrieving a document from a remote server using the Server Message Block (SMB) protocol…this request authenticates the client with the server, sending the user’s credential hash to the remote server before retrieving the requested file…the threat actors can [then] use password-cracking techniques to obtain the plaintext password. With valid credentials, the threat actors are able to masquerade as authorized users in environments that use single-factor authentication,” the US-CERT alert states.
- 分析公开的信息,例如图片,其中ICS设备可见。警报指出,通过公开发布的企业形象获得了一些访问方式,其中SCADA屏幕可见。攻击者能够从这些图片中收集信息,以确定有关目标公司使用的系统的信息。
一旦获得了公司网络,Nuth指出,ICS侦察开始,它通过使用上面详述的方法而开始,延伸到以下策略:
- 使用批处理脚本来枚举工业控制网络;
- 使用计划任务和截图工具捕获的整个网络系统的屏幕;和
- 访问公司网络上的计算机,收集有关控制和SCADA系统的数据输出,包括ICS供应商名称和参考文档,以及收集概要和配置信息。
“侦察是一项攻击的重要组成部分,”网络安全技术供应商相互作用的Barak Perlman表示,联合创始人兼首席执行官。“黑客是患者,经常花费时间收集信息,可以包括源代码等物品。而且,本身,可能不会向ICS王国透露钥匙。但源代码以及沿途收集的其他信息,可以对目标组织进行积累和使用。“
对工业的影响
这些攻击大部分媒体的报道集中在美国的能源设施,这是可以理解的考虑他们作为权力几乎我们所做的一切的来源的作用。但CERT警告清楚这些攻击的威胁远远超出了能源领域。
佩雷尔曼说:“实际上,任何制造商和处理器都是公平竞争的对象。“最近,我们看到了供水设施、食品和饮料、化学和制药行业的趋势和活动。”
With regard to this specific adversary (i.e., Russia) and the threat these attacks have exposed via the US-CERT alert, Patrick McBride, chief marketing officer for cybersecurity technology supplier Claroty, said, “the most likely targets are manufacturers involved in developing defense-related systems and other critical infrastructure. This includes both the manufacturers of these systems as well as those in the supply chain that make key, limited supply, specialty components.”
但佩尔曼很快指出,突出了最多活动的行业,并不表明其他组织是免疫的。“这些类型的威胁可以是无定形的,并基于机遇迅速变化,”他说。“ICS / SCADA系统在不同垂直方面共享类似的技术。例如,勒索软件可以攻击并删除Windows PC,无论其使用如何。同样,可以设计恶意软件以关闭其路径的任何PLC / DCS控制器。因此,每个工业公司都容易受到抵押品损害的一部分的攻击。“
西门子工业安全服务总监兼业务发展主管Stefan Woronka表示:“在过去的12个月里,与我们的客户一起,我们发现组织的规模并不重要。一家公司可以成为与其规模无关的目标。”
他补充说,共同的攻击实践是“寻找链中最薄弱的联系并试图破解它。在现代和相互关联的世界中,[这意味着]焦点可能会转向具有较低保护水平的公司。“
在PAS(流程安全,网络安全和资产可靠性软件的供应商)所确认的基础上,以本美国证书警报证实,Eddie Habibi的威胁,表示,它说明了“整个供应链暴露”。如果你想不同的公司有多少提供的产品和服务单一的工业设施,以及有多少公司这些公司提供的产品和服务,你开始得到的是多么困难,以确保供应链中的感觉。“
虽然证书警报未提供攻击细节,但Habibi表示,对于每个公司来说,都必须意识到任何供应链的才能与其最薄弱的联系一样重要。为了响应这一警报,他希望看到工业公司开始需要“网络安全认证类似于过程改进计划,例如六西格玛,要求供应商实施并遵守网络安全最佳实践。”
远程访问呢?
在过去5年里,对流程和离散制造业都造成冲击的最大趋势之一是远程访问。远程访问技术已经在油气行业应用了几十年,用于维护分散的现场设备,但近年来,远程访问技术迅速发展,成为oem开发新的维护业务模式和工程师随时随地监控作业的一种手段。
俄罗斯侵犯美国的新闻将对这一趋势进行阻尼器吗?
Habibi认为这个问题的简短答案是:不可以。“工厂的数字化,包括远程访问,工业互联网[IIOT]等等,是不可避免的。他说,这些福利太大而且公司致力于投资数字化。“
他指出,远程接入只是其中的一个黑客潜在的接入手段,Woronka说,其他的途径应该是平等的关注。“远程访问可能是一种方法,另一种可能利用公司的办公IT环境,”他说。“连接到外部环境的所有方法都需要特别注意。”
“当签发这样的警报时,总会有一个膝盖jerk反应,”Perelman说。“所以,在短期内,我们可能会看到一个调整远程访问的组织闪烁。真正的问题是当这个警报成为昨天的新闻时,从现在开始四到六个月。更改远程访问不是完全解决ICS问题的银弹。如果是,公司就会很久以前就实施了。“
正如你可以从上面的评论推断,所有人都回答我的问题,本文同意,他们没有看到这些攻击作为一种防范措施,以远程访问或其他连接,数码行业的发展趋势持续投资。
“使数字化的组件传感器,连接和智能应用 - 现在将工业部门暴露于更大的安全风险,”Habibi说。这意味着“持续的数字化投资必须包括网络风险缓解计划。”
他补充说,他预计未来的网络安全项目将与现有的安全管理项目(如过程风险分析)更加紧密地结合在一起。
“从长远来看,显而易见的是,技术进步无法停止,并且远程访问的事情是必须使我们的设施和公司更高效,”Perelman说。“任何地方连接的概念只会增加未来。例如,我们已经看到了金融机构一次又一次地攻击,但没有人从他们的智能手机删除他们的银行应用程序。负责ICS安全的人需要采取更周到的方法,不仅仅是解决已经发生的事情,而且还解决了尚未到来的威胁和脆弱性。“
那么你该怎么办?
考虑到US-CERT警报本质上概述了典型的APT,这在很长一段时间内发生,这意味着存在重大机会以在可以完成损坏之前检测和停止ICS攻击。
有关您可以采取的特定操作列表,可以采取评估和保护您的ICS系统,请参阅此同伴文章。
“通过在ICS内部署的正确类型的ICS监测和威胁情报技术,可以在早期阶段检测到APTS,”Nuth说。“这就是为什么使用人工智能方法被动地监测,分析和基线正常运行的IC网络安全解决方案是最有效的,最有效地扩展典型的保护网络安全技术,例如工业防火墙,SNMP网络监控软件和暹粒[安全信息和事件管理]产品。“
当被问及异常检测的能力检测 - 现代IC网络安全软件的更令人兴奋的特征之一 - 在进行更改之前保护此类侵入,所有受访者都同意异常检测不会是节省日期的功能。
“异常检测只能检测一旦它们制作,就可以检测变化,然后它可以为时已晚,”Perelman说。许多攻击是“被架构为”低矮“,以便从未达到异常阈值。”
这种“低,慢”的方式往往会留下痕迹,但是,可以通过异常检测软件检测到。
所有的网络攻击都是分多个步骤进行的洛克希德马丁的网络杀链条,“麦克布莱德说。“攻击者需要进行RECT,在网络上立足,并在网络中横向移动到最终目标,例如PLC或工程工作站。只有这样,他们才能产生过程影响。“
根据McBride的说法,这些步骤将网络上的“异常”流量放在网络上。“异常检测系统旨在注意并在杀灭链中的早期步骤上注意到并警觉,所以好人可以在进行过程发生变化之前停止攻击,”他说。
Perelman强调,因为每个系统,架构和操作都不同,因此重要的是要避免膝关节反应响应美国证书警报。“改变一件事通常可以掩盖另一个比第一个更大的漏洞,”他说。
虽然维护修补的IT系统和教育最佳安全实践的员工将阻止90%的常见网络入侵,但是,Perelman指出,当涉及到其他10% - 特别是ICS网络中,抗病毒通常不是有效的选择。在认识到这一IC现实中,Perelman建议部署专门用于处理ICS环境的监控解决方案。根据Perelman的说法,这些产品的核心要求包括:
- 能够帮助构建网络上的工业设备的资产库存以及其相关的风险级别和脆弱性;和
- 能够检测恶意活动 - 是否实时侦察或实际损坏 - 以确定的方式。
除了美国证书警报中的网络安全建议和与本文相关联的人(见上文链接),Habibi指出了ICS Cybersecurity的另一个重要方面所有公司都应该注意 - “在所有其他安全控制中都有一个反向击,以便所有其他安全控制证明不足以保持不足坏人。公司需要监视未经授权的变更和流程的技术,以根据资产风险概况调查变更。但是当所有其他人都失败时,他们必须有良好的备份和测试的业务连续性计划,因为赌注太大。“