行業(yè)動態(tài)

物聯(lián)網(wǎng)勒索軟件攻擊或成為關(guān)鍵基礎(chǔ)設(shè)施安全保護的噩夢

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2022-06-14    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


勒索軟件攻擊仍然是關(guān)鍵基礎(chǔ)設(shè)施部門和運營技術(shù) (OT) 環(huán)境的噩夢。近日,一種稱為物聯(lián)網(wǎng)勒索軟件或R4IoT方法的新攻擊浮出水面。概念驗證(PoC)揭示了網(wǎng)絡(luò)犯罪分子日益復(fù)雜的行為,因為他們將 IT、物聯(lián)網(wǎng)和OT環(huán)境串聯(lián)在一起,形成了一個巨大的攻擊視圖。在數(shù)字化轉(zhuǎn)型競爭優(yōu)勢的推動下,越來越多的工業(yè)企業(yè)正在將以前孤立的運營技術(shù) (OT) 連接到企業(yè)IT網(wǎng)絡(luò),同時還將新的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)資產(chǎn)引入這些融合的OT/IT環(huán)境。這導(dǎo)致工業(yè)系統(tǒng)越來越容易受到新型網(wǎng)絡(luò)威脅的影響,對物理安全和環(huán)境產(chǎn)生嚴重影響。這些威脅的性質(zhì)和規(guī)模意味著工業(yè)系統(tǒng)運營者無法獨立應(yīng)對,對抗類似R4IoT方法的攻擊必須成為工業(yè)過程各個方面的優(yōu)先事項。


Forescout Technologies的Vedere Labs展示了下一代勒索軟件如何利用物聯(lián)網(wǎng)設(shè)備進行初始訪問,利用部署加密礦工和數(shù)據(jù)泄露來攻擊IT設(shè)備,并利用不良的OT安全實踐對業(yè)務(wù)運營造成物理中斷(例如破壞PLC)。通過破壞IoT、IT和OT 資產(chǎn),R4IoT方法超越了通常的加密和數(shù)據(jù)泄露,從而導(dǎo)致業(yè)務(wù)運營的物理中斷。

一旦域控制器處于黑客的控制之下,他們將能夠?qū)⑵湮淦骰赃M行大規(guī)模的惡意軟件部署并建立他們的命令和控制(C&C)通道?;旧?,在這個階段,組織資產(chǎn)、流程和網(wǎng)絡(luò)的布局就像一張自助餐桌,用于贖金或破壞。鑒于此類威脅可能造成的嚴重的破壞程度,R4IoT方法被描述為下一代勒索軟件。

此類威脅在OT環(huán)境中被進一步放大,由于OT中運行傳統(tǒng)設(shè)備,這些設(shè)備通常可能已經(jīng)過時、停止系統(tǒng)更新服務(wù)、報廢和/或沒有足夠的安全補丁。此外,黑客可以利用運營設(shè)施內(nèi)向數(shù)字化轉(zhuǎn)型的轉(zhuǎn)變,從而使工業(yè)控制系統(tǒng) (ICS) 環(huán)境極易受到網(wǎng)絡(luò)威脅。

今年早些時候,工業(yè)網(wǎng)絡(luò)安全公司Dragos報告稱,隨著ICS/OT 系統(tǒng)的數(shù)字化轉(zhuǎn)型,漏洞和勒索軟件有所增加。此外,它分析2021年對于勒索軟件團伙及其附屬機構(gòu)來說是關(guān)鍵的一年,勒索軟件成為工業(yè)領(lǐng)域入侵的頭號原因。

在ICS和OT網(wǎng)絡(luò)安全方面,構(gòu)建安全的設(shè)計以彌補因在這些運營環(huán)境中添加工業(yè)物聯(lián)網(wǎng)設(shè)備而增加的網(wǎng)絡(luò)攻擊面是非常重要的。必須立即在整個組織中采用諸如零信任和嚴格采用對員工、供應(yīng)商、運營商、集成商和各種第三方的特權(quán)遠程訪問等技術(shù)。

分析人士評估,雖然大多數(shù)行業(yè)的組織已經(jīng)關(guān)注網(wǎng)絡(luò)安全一段時間,但其方法的成熟度并高。2021年,麥肯錫估計了多個行業(yè)領(lǐng)域100多家公司和機構(gòu)的網(wǎng)絡(luò)安全成熟度水平,并了解到,雖然銀行和醫(yī)療保健領(lǐng)域的一些公司和機構(gòu)取得了相當(dāng)大的進步,但所有行業(yè)的大多數(shù)組織在保護他們的信息資產(chǎn)免受威脅和攻擊方面,仍然面臨較大的困難。

Industrial Cyber聯(lián)系了專家,討論了關(guān)鍵基礎(chǔ)設(shè)施部門必須采取的應(yīng)對措施,以保護其業(yè)務(wù)環(huán)境并加強其網(wǎng)絡(luò)安全立場,以應(yīng)對傳統(tǒng)勒索軟件的復(fù)雜性和范圍不可避免地增加,正如R4IoT方法所證明的那樣。

Xage Security聯(lián)合創(chuàng)始人兼產(chǎn)品副總裁Roman Arutyunov

Roman Arutyunov表示:“隨著勒索軟件即服務(wù)(RaaS)的興起,勒索軟件攻擊者變得越來越復(fù)雜,攻擊本身對運營和平民的破壞性也越來越大”?!坝捎赗4IoT方法會危害IoT、IT和OT 資產(chǎn),因此這些攻擊會導(dǎo)致業(yè)務(wù)運營的物理中斷——例如 Colonial Pipeline和JBS等備受矚目的案例?!?

然而,Arutyunov表示,關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域仍有希望,而希望在于零信任安全戰(zhàn)略。“這種主動的、基于身份的安全架構(gòu)——與傳統(tǒng)的基于邊界的檢測和響應(yīng)模型(勒索軟件可以輕松突破)相比——確保任何初始攻擊向量通過非托管憑證和暴露的不安全協(xié)議對 IT 或物聯(lián)網(wǎng)資產(chǎn)進行攻擊受到限制和孤立,無法滲入運營并造成破壞,”他補充說。

Arutyunov說,換句話說,在零信任的情況下,惡意軟件無法從IT/IoT傳播到 OT,從而確保沒有攻擊者可以在訪問網(wǎng)絡(luò)的某個部分時利用任何網(wǎng)絡(luò)弱點。他補充說:“對于石油和天然氣、公用事業(yè)和能源等現(xiàn)代化速度較慢的行業(yè)的公司來說,零信任尤其重要。”

TXOne Networks首席執(zhí)行官Terence Liu

Terence Liu告訴Industrial Cyber :“很難否認整個威脅領(lǐng)域正在迅速發(fā)展。” “在工作場所環(huán)境中采用新技術(shù)和設(shè)備只是經(jīng)常引入更多攻擊面的一個因素——我們認為,在當(dāng)前網(wǎng)絡(luò)威脅時代的關(guān)鍵問題是,使用最新的物聯(lián)網(wǎng)資產(chǎn)保護補丁在 OT環(huán)境中具有挑戰(zhàn)性。”

劉還表示,有一件事是肯定的——黑客當(dāng)前使用的戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 組合使得網(wǎng)絡(luò)安全成為任何資產(chǎn)所有者都難以維護的標準。

“現(xiàn)代化網(wǎng)絡(luò)攻擊的發(fā)展受兩個主要因素的推動——比特幣的普及,以及勒索軟件即服務(wù) (RaaS)的擴散,”劉說。“由于這兩個觸發(fā)點,基于暗網(wǎng)RaaS行業(yè)的有組織犯罪現(xiàn)在推動了針對組織的網(wǎng)絡(luò)攻擊數(shù)量的快速發(fā)展。大額贖金支付是更復(fù)雜攻擊的驅(qū)動力,例如利用零日漏洞或協(xié)議和法規(guī)的垂直特定知識的攻擊。我們發(fā)現(xiàn)勒索軟件攻擊的范圍在穩(wěn)步增加,不幸的是,這并沒有放緩的跡象,”他補充說。

鑒于關(guān)鍵基礎(chǔ)設(shè)施部門中存在遺留資產(chǎn),通常在沒有適當(dāng)保護的情況下運行,無論是在端點(檢查和鎖定)還是網(wǎng)絡(luò)(分段和虛擬補?。┘墑e,遺留資產(chǎn)就像瑞士奶酪——充滿明顯的漏洞,或者“已知漏洞”,攻擊者可以輕松查看和利用這些漏洞。

“應(yīng)對這些復(fù)雜的攻擊需要多層保護,包括檢測和響應(yīng)策略,以在不影響生產(chǎn)力的情況下降低風(fēng)險并防止網(wǎng)絡(luò)事件,”劉補充道。

在確定適當(dāng)?shù)木W(wǎng)絡(luò)分段和NIST網(wǎng)絡(luò)安全框架和零信任架構(gòu)的利用是否可以防止關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域內(nèi)的網(wǎng)絡(luò)安全事件(例如R4IoT方法)時,Arutyunov同意零信任架構(gòu)和適當(dāng)?shù)木W(wǎng)絡(luò)分段在以下方面非常有效防止勒索軟件攻擊。

“由于零信任將每臺機器、應(yīng)用程序、用戶、數(shù)據(jù)流和其他資產(chǎn)的身份視為其自己的獨立‘邊界’,因此運營商可以訪問高度精細的訪問策略執(zhí)行,即使黑客受到攻擊,也能確保繼續(xù)執(zhí)行嚴格的安全驗證。最初成功地進入了 IT 資產(chǎn),”Arutyunov說道?!癗IST和美國聯(lián)邦政府(即拜登政府的2021年行政命令)已經(jīng)證明了它的功效,”他補充說。

Arutyunov表示,與普遍看法相反,零信任可以快速、經(jīng)濟高效且易于實施。他補充說:“關(guān)鍵基礎(chǔ)設(shè)施運營實施的大部分延遲不是由于技術(shù)本身的細節(jié),而是基于錯誤信息的對采用新方法的懷疑?!?

“老實說,目前擺在桌面上的任何解決方案或方法都不能保證100%防止網(wǎng)絡(luò)攻擊,”TXOne的Liu說?!跋喾矗M織必須專注于降低風(fēng)險并提高使用現(xiàn)實世界實踐的潛在攻擊者的難度級別。這也是為什么提供從端點到網(wǎng)絡(luò)的多層保護的產(chǎn)品都遵循零信任架構(gòu)和NIST網(wǎng)絡(luò)安全框架的原因,無論它們是用于IT還是OT用例,”他補充道。

不僅如此,劉說,NIST網(wǎng)絡(luò)安全框架解決了一個組織可以在多長時間內(nèi)檢測到違規(guī)或事件,以及如何減少影響、如何恢復(fù)以及對網(wǎng)絡(luò)安全事件的彈性的定義。

Liu指出,在OT環(huán)境中成功的網(wǎng)絡(luò)安全部署通常由三個要求定義——部署后不會影響運營,不會顯著增加管理網(wǎng)絡(luò)安全的人員數(shù)量,以及當(dāng)攻擊者來襲時,部署將減少對業(yè)務(wù)的影響.?!耙虼?,通常在不同的OT環(huán)境中,我們建議我們的客戶從小規(guī)模部署開始,以確保前兩個元素在大規(guī)模部署之前發(fā)揮作用,”他補充道。

Arutyunov定義了關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)所有者和運營商能夠在多大程度上抵御日益復(fù)雜的對抗性攻擊和技術(shù),例如 R4IoT方法,Arutyunov表示,通過主動、零信任的方法,關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商可以充分防御自己抵御新的勒索軟件威脅,例如R4IoT。

“真正的零信任架構(gòu)允許運營商從源頭上完全阻止黑客或隔離他們以防止他們破壞運營,”Arutyunov說?!凹词购诳偷牟呗匝杆侔l(fā)展,基于身份的零信任方法也將適應(yīng)新環(huán)境,同時考慮位置、重復(fù)訪問失敗和漏洞級別等參數(shù)以防止攻擊,”他補充說。

劉說,通過準備,關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)所有者和運營商可以抵御日益復(fù)雜的對抗性攻擊和技術(shù)?!靶枨蠛筒樵兺ǔS擅襟w中的重大事件推動——加強網(wǎng)絡(luò)防御和安全的時機沒有錯,但當(dāng)事件發(fā)生時,要想在業(yè)務(wù)影響上占上風(fēng)可能為時已晚,”他加了。

劉說, “我們認為防止災(zāi)難性網(wǎng)絡(luò)事件向前邁出一大步的趨勢是,許多組織最近致力于大力推動更好的監(jiān)管,尤其是在去年5月的殖民管道攻擊之后?!?“我們還看到,對OT網(wǎng)絡(luò)安全的認識和需求正在增加,而且更多的預(yù)算實際上是由決策者或高層管理人員贊助的,他們已經(jīng)明白網(wǎng)絡(luò)安全是任何組織的基礎(chǔ)風(fēng)險控制?!?

“從我們的角度來看,大多數(shù)資產(chǎn)所有者和運營商現(xiàn)在都在尋找可以在其垂直領(lǐng)域參考和采用的最佳實踐和成功案例,”劉說?!拔覀冞€與全球系統(tǒng)集成商 (GSI) 密切合作,貢獻知識以降低資產(chǎn)所有者的進入門檻,”劉總結(jié)道。


 
 

上一篇:俄羅斯知名媒體電臺遭黑客攻擊:奏響烏克蘭國歌

下一篇:2022年6月14日聚銘安全速遞