自从2010年Stuxnet病毒利用USB闪存驱动器摧毁了伊朗核设施中任何表面上的气隙以来,工业界已经很清楚USB设备可能给他们的操作带来的漏洞。然而,一个问题仍然存在,即任何给定的工业公司在多大程度上认为自己可能面临风险,以及他们愿意在多大程度上放弃高便携存储器的便利来保护他们的操作。
但现在霍尼韦尔掌握了直接的信息,显示了这些便利的闪存驱动器所带来的威胁有多么严重。自从这家自动化供应商一年多前推出了安全媒体交换(SMX)技术以来,它已经能够通过扫描和控制50个客户地点的USB设备来收集数据。研究表明,近一半的客户(44%)发现并阻止了至少一个存在安全问题的文件。此外,26%的检测到的威胁可能对作业造成重大干扰,包括视野丢失或控制丢失。
霍尼韦尔开始谈论它的SMX技术当时,u盘等可移动媒体已经是攻击者访问网络的首选途径。SMX,去年正式上线,旨在管理USB安全,为用户提供一个地方插入和检查设备的批准使用。SMX情报网关用于与高级威胁情报交换(ATIX)一起分析文件,霍尼韦尔的威胁情报云.
这是一种更有效的USB管理方法,比,例如,用环氧树脂停止端口和禁用任何类型的USB使用。曾经与承包商交换信息或下载补丁的简单方式不仅变得完全不可用,而且成为生产力的阻碍——这是一个危险的命题。霍尼韦尔(Honeywell)的网络安全技术专家塞斯•卡彭特(Seth Carpenter)最近在圣安东尼奥举行的霍尼韦尔用户小组(HUG)会议上接受采访时表示:“当你让事情变得痛苦时,人们总会找到解决办法。”
SMX不仅使USB的使用更加安全,而且霍尼韦尔也获得了通过这些设备试图进行的各种攻击的宝贵信息。
霍尼韦尔工业网络安全战略创新主管埃里克•纳普(Eric Knapp)表示:“数据显示,威胁比我们预期的严重得多。”“综合来看,这些结果表明,一些威胁是有针对性的,是故意的。”
Knapp补充说,尽管霍尼韦尔长期以来一直怀疑USB对工业运营商的威胁是非常真实的,但数据证实了威胁的范围和严重性令人惊讶。“其中许多会在处理工业过程的场所导致严重和危险的情况。”
这些威胁针对的是一系列工业场所,包括世界各地的炼油厂、化工厂和纸浆和造纸设施。大约六分之一的威胁专门针对工业控制系统(ICSs)或物联网(IoT)设备。
在检测到的威胁中,15%是备受瞩目的、众所周知的问题,如Triton、Mirai和WannaCry,以及Stuxnet的变体。虽然这些威胁已经在野外被发现,但霍尼韦尔工业网络安全团队认为令人担忧的是,这些威胁试图通过相对高密度的可移动存储设备进入工业控制设施。
“人们首先担心的是,用于工业控制设施的USB驱动器普遍存在高效威胁。正如ICS安全专家所清楚知道的,恶意软件绕过安全防御,只需一个实例就能迅速执行成功的、广泛的攻击。”霍尼韦尔的报告指出。“其次,研究结果也证实了这种威胁在野外确实存在,因为这种强大的恶意软件是在日常日常通信中检测到的,而不是纯研究实验室或测试环境。最后,正如历史趋势所表明的那样,针对安全仪器系统的Triton等新兴威胁技术可能会引发模仿攻击者。尽管实现起来更加困难和复杂,但这种更新的威胁方法可能预示着新一波衍生或模仿攻击的开始。”
在比较测试中,高达11%的被发现的威胁没有被更传统的反恶意软件技术可靠地检测出来。尽管检测到的恶意软件的类型和行为有很大的不同,木马程序——可以通过USB设备非常有效地传播——占恶意文件的55%。其他被发现的恶意软件类型包括机器人(11%)、黑客工具(6%)和潜在的不需要的应用程序(5%)。
“客户已经知道这些威胁的存在,但许多人认为他们不是这些高调攻击的目标,”Knapp说。“这些数据表明情况并非如此,并强调了先进系统检测这些威胁的必要性。”
通过其工业USB威胁报告在美国,霍尼韦尔建议操作人员将人员培训、流程更改和技术控制结合起来,以降低整个工业设施的USB威胁风险。阅读报告全文和建议在这里.
