本周,业界对这两家公司发布的报告议论纷纷FireeEye.和德拉格中东的一个关键基础设施发生了一起网络安全事件。作为一份专注于整个制造业自动化和控制技术的出版物,自动化世界没有真正的资源——或者倾向——去报道新闻中出现的每一个网络泄漏事件。你也没有时间对每一次攻击大惊小怪。但这一点值得你花时间坐起来注意。
被称为Triton的恶意软件对我们的社区非常重要,因为它不仅是对工业控制系统(ICSs)日益关注的攻击的一部分,它也是第一个直接针对安全仪表系统(SIS)的攻击。具体来说,袭击的目标是该设施的Triconex安全系统施耐德电气,通过关闭操作来适当响应。
根据FireEye的说法,攻击者获得了对设施中SIS工程工作站的远程访问权限,并部署了Triton攻击框架来重新编程SIS控制器。一些SIS控制器进入失效安全状态,自动关闭工业过程。FireEye的Mandiant团队随后进行的调查发现,当冗余处理单元之间的应用代码未能通过验证检查时,SIS控制器会启动安全关闭。
FireEye报告称:“我们有信心地评估,攻击者在无意中关闭了操作,同时发展了造成物理伤害的能力。”
所有迹象都表明这次网络攻击是由一个民族国家发起的。FireEye表示:“针对关键基础设施以及攻击者的持久性,缺乏任何明确的金钱目标和创建攻击框架所需的技术资源,表明这是一个资源充足的国家行为体。”
的想法增加来自国家州的攻击这是我今年早些时候与PAS全球.他指出,针对工业部门的网络攻击很可能成为下一代隐形武器,而我们最近看到的攻击是认真的行为者在测试他们的武器。
“自2010年以来,攻击者已经意识地学习过程控制网络如何在关键基础设施工厂工作中,哪些系统到位,存在漏洞,以及操纵这些系统影响植物安全性和性能的最佳系统,”哈比比说响应Triton Malware。“攻击者现在已经超越了侦察,并利用他们获得的控制网络知识来中断生产和创造安全事件。他们是针对许多情况的系统,在许多情况下为我们的企业提供电力,为我们的汽车汽油汽油,或为家庭清洁水。“
关于关键基础设施的网络安全更多信息,请阅读我们的11月的封面故事关于这个话题。
因此,这与施耐德电气(Schneider Electric)的Triconex系统或它可能存在的任何漏洞无关。是关于坏人找到新的攻击载体。
“市场上有一些参与者认为,任何人都不可能影响安全系统,”艾米丽·s·米勒(Emily S. Miller)说,她是国家安全和关键基础设施项目的主管莫纳纳.“但这是一个可验证的事件,基于初始报告,1)很明显,演员希望了解和影响安全系统;2)由于在空间中工作的恶意网络演员,安全系统绊倒了。“
施耐德电气(Schneider Electric)网络安全和架构主管安迪•克林(Andy Kling)表示:“值得注意的是,这次攻击的目的是针对网站/客户。”“虽然Triton被设计来篡改我们的产品,但这只是因为这些产品恰好在这个地点。恶意软件没有利用施耐德电气产品的固有漏洞。”
DragoS在其关于事件的报告中,还指出,恶意软件(呼叫Trisis)不会利用施耐德电器的任何固有漏洞。事实上,由于部署了各种行业的每个Triconex Sis是独特的,并且了解过程含义都需要具体的过程知识,因此必须为每个特定受害者修改恶意软件,DragoS突出显示。这将降低恶意软件的可扩展性。
“虽然攻击不高度可伸缩的,现在可以显示的间谍情报技术蓝图其他对手寻求目标SIS和代表一个升级攻击迄今为止见过的类型,因为它是专门设计用于目标的安全功能的过程,”德拉戈报告指出。
“It is positive that if the APT [advanced persistent threat] actor is in this facility, they’re elsewhere, and they’re conducting the same kind of recon to learn how to cause a litany of ill effects, and keep their presence unknown,” Miller says.
哈比比同意,新的攻击能力是这次事件的关键。他说:“Triton(又名Trisis)恶意软件攻击强调了攻击者已经获得的能力,以及传统的安全控制——即气隙和模糊安全——不再足够有效的事实。”“Triton的目标是作为保持核电站安全的独立保护层的一个组成部分,这应该引起世界上每一家关键基础设施公司的警惕。”
对于关键基础设施或任何类型的制造工厂的关键信息,因为这是在网络防御中保持警惕。虽然有些人可能想要给施耐德电气是一个糟糕的说唱,但事实是,同样的威胁可以在被糟糕的演员想要攻击的任何安全系统上瞄准。并且triconex sis做了它应该做的事情。“当系统发现错误比较时,系统对恶意软件进行了适当的回应,并知道有问题,”克林说。“因此,该系统进入了安全的状态并安全地关闭了植物操作。如果没有发生这种关机,恶意软件可能已经坐在系统上多年。“
保持网络安全不仅仅需要一个安全的系统;它需要遵循该系统的指导方针。
Triconex的产品开发和部署遵循IEC 62443标准。在这种情况下,它被黑客访问,因为用户没有遵循防止网络和设备内存访问的安全功能,”克林指出。“Triconex用户文档包含详细的安全指南和如何保护Triconex系统免受攻击的建议。我们强烈鼓励所有客户遵循这些关于产品使用和安全的建议,并始终应用和遵循行业公认的网络安全最佳实践,以保护其安装。”
Kling重申了在安全的通知施耐德电气本周发给客户的:
- 确保Triconex解决方案中的网络安全特性始终处于启用状态。
- 当不主动配置控制器时,在“程序”模式下绝不要离开前面板按键位置,并一定要取出并固定按键。
- 确保所有TriStation终端,安全控制器和安全网络与工厂的其他通信通道隔离。
- 同时,检查和评估你的网站的网络准备。
根据Dragos的报告,Triconex SIS控制器在被攻击的设施中,在攻击期间将关键开关置于程序模式。此外,信息系统还根据最佳做法与行动网络相连。“如果控制器处于运行模式(不允许程序更改),则不可能对逻辑进行任意更改,这大大降低了操纵的可能性,”Dragos评论道。
该事件加强了对ICS环境进行基本和复杂控制的需求希瑟麦肯兹在Nozomi网络的博客.“一方面,它令人失望的是一些基本的网络安全控制,例如网络分割,以及使用物理防御,例如物理的triconex键,没有被使用,”她说。“这也很不幸的是,当该公司非常积极地了解IC网络安全时,施耐德电气正在被这种地标事件被挑选出来。”
Fireeye和Nozomi网络推荐特定做法来抵御此类攻击:
- 将安全系统网络与过程控制和信息系统网络隔离开来。
- 不要将双家工程工作站连接到任何其他过程控制或信息系统网络上。
- 使用提供物理控制的硬件功能。应锁定物理密钥,并应锁定警报和更改管理过程以进行更改以进行密钥位置。
- 限制从SIS到应用程序的数据流仅为单向输出流量。
- 使用应用程序白名单和访问控制措施限制从服务器或工作站到SIS的数据流。
- 监控ICS流量的意外通信流和其他异常活动,并及时调查。
PAS的Habibi称,企业必须采取的第一步是更好地了解其工厂的网络资产,其中80%的工厂不在传统的IT网络安全项目之外。“考虑到我们今天面临的威胁,这显然是不可接受的,”他说。“一旦公司获得知名度,他们就可以开始实施基本的安全控制,如监控未经授权的变化或发现隐藏的漏洞。否则,Triton这样的恶意软件将继续寻找造成生产中断、甚至环境或物理伤害的肥沃土壤。”
