信息來源：安全內(nèi)參

勒索軟件攻擊仍然是關(guān)鍵基礎(chǔ)設(shè)施部門和運(yùn)營技術(shù) (OT) 環(huán)境的噩夢。近日，一種稱為物聯(lián)網(wǎng)勒索軟件或R4IoT方法的新攻擊浮出水面。概念驗(yàn)證(PoC)揭示了網(wǎng)絡(luò)犯罪分子日益復(fù)雜的行為，因?yàn)樗麄儗?IT、物聯(lián)網(wǎng)和OT環(huán)境串聯(lián)在一起，形成了一個巨大的攻擊視圖。在數(shù)字化轉(zhuǎn)型競爭優(yōu)勢的推動下，越來越多的工業(yè)企業(yè)正在將以前孤立的運(yùn)營技術(shù) (OT) 連接到企業(yè)IT網(wǎng)絡(luò)，同時還將新的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)資產(chǎn)引入這些融合的OT/IT環(huán)境。這導(dǎo)致工業(yè)系統(tǒng)越來越容易受到新型網(wǎng)絡(luò)威脅的影響，對物理安全和環(huán)境產(chǎn)生嚴(yán)重影響。這些威脅的性質(zhì)和規(guī)模意味著工業(yè)系統(tǒng)運(yùn)營者無法獨(dú)立應(yīng)對，對抗類似R4IoT方法的攻擊必須成為工業(yè)過程各個方面的優(yōu)先事項(xiàng)。

Forescout Technologies的Vedere Labs展示了下一代勒索軟件如何利用物聯(lián)網(wǎng)設(shè)備進(jìn)行初始訪問，利用部署加密礦工和數(shù)據(jù)泄露來攻擊IT設(shè)備，并利用不良的OT安全實(shí)踐對業(yè)務(wù)運(yùn)營造成物理中斷（例如破壞PLC）。通過破壞IoT、IT和OT 資產(chǎn)，R4IoT方法超越了通常的加密和數(shù)據(jù)泄露，從而導(dǎo)致業(yè)務(wù)運(yùn)營的物理中斷。

一旦域控制器處于黑客的控制之下，他們將能夠?qū)⑵湮淦骰赃M(jìn)行大規(guī)模的惡意軟件部署并建立他們的命令和控制（C＆C）通道。基本上，在這個階段，組織資產(chǎn)、流程和網(wǎng)絡(luò)的布局就像一張自助餐桌，用于贖金或破壞。鑒于此類威脅可能造成的嚴(yán)重的破壞程度，R4IoT方法被描述為下一代勒索軟件。

此類威脅在OT環(huán)境中被進(jìn)一步放大，由于OT中運(yùn)行傳統(tǒng)設(shè)備，這些設(shè)備通?？赡芤呀?jīng)過時、停止系統(tǒng)更新服務(wù)、報(bào)廢和/或沒有足夠的安全補(bǔ)丁。此外，黑客可以利用運(yùn)營設(shè)施內(nèi)向數(shù)字化轉(zhuǎn)型的轉(zhuǎn)變，從而使工業(yè)控制系統(tǒng) (ICS) 環(huán)境極易受到網(wǎng)絡(luò)威脅。

今年早些時候，工業(yè)網(wǎng)絡(luò)安全公司Dragos報(bào)告稱，隨著ICS/OT 系統(tǒng)的數(shù)字化轉(zhuǎn)型，漏洞和勒索軟件有所增加。此外，它分析2021年對于勒索軟件團(tuán)伙及其附屬機(jī)構(gòu)來說是關(guān)鍵的一年，勒索軟件成為工業(yè)領(lǐng)域入侵的頭號原因。

在ICS和OT網(wǎng)絡(luò)安全方面，構(gòu)建安全的設(shè)計(jì)以彌補(bǔ)因在這些運(yùn)營環(huán)境中添加工業(yè)物聯(lián)網(wǎng)設(shè)備而增加的網(wǎng)絡(luò)攻擊面是非常重要的。必須立即在整個組織中采用諸如零信任和嚴(yán)格采用對員工、供應(yīng)商、運(yùn)營商、集成商和各種第三方的特權(quán)遠(yuǎn)程訪問等技術(shù)。

分析人士評估，雖然大多數(shù)行業(yè)的組織已經(jīng)關(guān)注網(wǎng)絡(luò)安全一段時間，但其方法的成熟度并高。2021年，麥肯錫估計(jì)了多個行業(yè)領(lǐng)域100多家公司和機(jī)構(gòu)的網(wǎng)絡(luò)安全成熟度水平，并了解到，雖然銀行和醫(yī)療保健領(lǐng)域的一些公司和機(jī)構(gòu)取得了相當(dāng)大的進(jìn)步，但所有行業(yè)的大多數(shù)組織在保護(hù)他們的信息資產(chǎn)免受威脅和攻擊方面，仍然面臨較大的困難。

Industrial Cyber聯(lián)系了專家，討論了關(guān)鍵基礎(chǔ)設(shè)施部門必須采取的應(yīng)對措施，以保護(hù)其業(yè)務(wù)環(huán)境并加強(qiáng)其網(wǎng)絡(luò)安全立場，以應(yīng)對傳統(tǒng)勒索軟件的復(fù)雜性和范圍不可避免地增加，正如R4IoT方法所證明的那樣。

Xage Security聯(lián)合創(chuàng)始人兼產(chǎn)品副總裁Roman Arutyunov

Roman Arutyunov表示：“隨著勒索軟件即服務(wù)(RaaS)的興起，勒索軟件攻擊者變得越來越復(fù)雜，攻擊本身對運(yùn)營和平民的破壞性也越來越大”?！坝捎赗4IoT方法會危害IoT、IT和OT 資產(chǎn)，因此這些攻擊會導(dǎo)致業(yè)務(wù)運(yùn)營的物理中斷——例如 Colonial Pipeline和JBS等備受矚目的案例?！?

然而，Arutyunov表示，關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域仍有希望，而希望在于零信任安全戰(zhàn)略?！斑@種主動的、基于身份的安全架構(gòu)——與傳統(tǒng)的基于邊界的檢測和響應(yīng)模型（勒索軟件可以輕松突破）相比——確保任何初始攻擊向量通過非托管憑證和暴露的不安全協(xié)議對 IT 或物聯(lián)網(wǎng)資產(chǎn)進(jìn)行攻擊受到限制和孤立，無法滲入運(yùn)營并造成破壞，”他補(bǔ)充說。

Arutyunov說，換句話說，在零信任的情況下，惡意軟件無法從IT/IoT傳播到 OT，從而確保沒有攻擊者可以在訪問網(wǎng)絡(luò)的某個部分時利用任何網(wǎng)絡(luò)弱點(diǎn)。他補(bǔ)充說：“對于石油和天然氣、公用事業(yè)和能源等現(xiàn)代化速度較慢的行業(yè)的公司來說，零信任尤其重要。”

TXOne Networks首席執(zhí)行官Terence Liu

Terence Liu告訴Industrial Cyber ：“很難否認(rèn)整個威脅領(lǐng)域正在迅速發(fā)展?！?“在工作場所環(huán)境中采用新技術(shù)和設(shè)備只是經(jīng)常引入更多攻擊面的一個因素——我們認(rèn)為，在當(dāng)前網(wǎng)絡(luò)威脅時代的關(guān)鍵問題是，使用最新的物聯(lián)網(wǎng)資產(chǎn)保護(hù)補(bǔ)丁在 OT環(huán)境中具有挑戰(zhàn)性。”

劉還表示，有一件事是肯定的——黑客當(dāng)前使用的戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 組合使得網(wǎng)絡(luò)安全成為任何資產(chǎn)所有者都難以維護(hù)的標(biāo)準(zhǔn)。

“現(xiàn)代化網(wǎng)絡(luò)攻擊的發(fā)展受兩個主要因素的推動——比特幣的普及，以及勒索軟件即服務(wù) (RaaS)的擴(kuò)散，”劉說。“由于這兩個觸發(fā)點(diǎn)，基于暗網(wǎng)RaaS行業(yè)的有組織犯罪現(xiàn)在推動了針對組織的網(wǎng)絡(luò)攻擊數(shù)量的快速發(fā)展。大額贖金支付是更復(fù)雜攻擊的驅(qū)動力，例如利用零日漏洞或協(xié)議和法規(guī)的垂直特定知識的攻擊。我們發(fā)現(xiàn)勒索軟件攻擊的范圍在穩(wěn)步增加，不幸的是，這并沒有放緩的跡象，”他補(bǔ)充說。

鑒于關(guān)鍵基礎(chǔ)設(shè)施部門中存在遺留資產(chǎn)，通常在沒有適當(dāng)保護(hù)的情況下運(yùn)行，無論是在端點(diǎn)（檢查和鎖定）還是網(wǎng)絡(luò)（分段和虛擬補(bǔ)?。┘墑e，遺留資產(chǎn)就像瑞士奶酪——充滿明顯的漏洞，或者“已知漏洞”，攻擊者可以輕松查看和利用這些漏洞。

“應(yīng)對這些復(fù)雜的攻擊需要多層保護(hù)，包括檢測和響應(yīng)策略，以在不影響生產(chǎn)力的情況下降低風(fēng)險并防止網(wǎng)絡(luò)事件，”劉補(bǔ)充道。

在確定適當(dāng)?shù)木W(wǎng)絡(luò)分段和NIST網(wǎng)絡(luò)安全框架和零信任架構(gòu)的利用是否可以防止關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域內(nèi)的網(wǎng)絡(luò)安全事件（例如R4IoT方法）時，Arutyunov同意零信任架構(gòu)和適當(dāng)?shù)木W(wǎng)絡(luò)分段在以下方面非常有效防止勒索軟件攻擊。

“由于零信任將每臺機(jī)器、應(yīng)用程序、用戶、數(shù)據(jù)流和其他資產(chǎn)的身份視為其自己的獨(dú)立‘邊界’，因此運(yùn)營商可以訪問高度精細(xì)的訪問策略執(zhí)行，即使黑客受到攻擊，也能確保繼續(xù)執(zhí)行嚴(yán)格的安全驗(yàn)證。最初成功地進(jìn)入了 IT 資產(chǎn)，”Arutyunov說道?！癗IST和美國聯(lián)邦政府（即拜登政府的2021年行政命令）已經(jīng)證明了它的功效，”他補(bǔ)充說。

Arutyunov表示，與普遍看法相反，零信任可以快速、經(jīng)濟(jì)高效且易于實(shí)施。他補(bǔ)充說：“關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營實(shí)施的大部分延遲不是由于技術(shù)本身的細(xì)節(jié)，而是基于錯誤信息的對采用新方法的懷疑?！?

“老實(shí)說，目前擺在桌面上的任何解決方案或方法都不能保證100%防止網(wǎng)絡(luò)攻擊，”TXOne的Liu說。“相反，組織必須專注于降低風(fēng)險并提高使用現(xiàn)實(shí)世界實(shí)踐的潛在攻擊者的難度級別。這也是為什么提供從端點(diǎn)到網(wǎng)絡(luò)的多層保護(hù)的產(chǎn)品都遵循零信任架構(gòu)和NIST網(wǎng)絡(luò)安全框架的原因，無論它們是用于IT還是OT用例，”他補(bǔ)充道。

不僅如此，劉說，NIST網(wǎng)絡(luò)安全框架解決了一個組織可以在多長時間內(nèi)檢測到違規(guī)或事件，以及如何減少影響、如何恢復(fù)以及對網(wǎng)絡(luò)安全事件的彈性的定義。

Liu指出，在OT環(huán)境中成功的網(wǎng)絡(luò)安全部署通常由三個要求定義——部署后不會影響運(yùn)營，不會顯著增加管理網(wǎng)絡(luò)安全的人員數(shù)量，以及當(dāng)攻擊者來襲時，部署將減少對業(yè)務(wù)的影響.?！耙虼耍ǔＴ诓煌腛T環(huán)境中，我們建議我們的客戶從小規(guī)模部署開始，以確保前兩個元素在大規(guī)模部署之前發(fā)揮作用，”他補(bǔ)充道。

Arutyunov定義了關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)所有者和運(yùn)營商能夠在多大程度上抵御日益復(fù)雜的對抗性攻擊和技術(shù)，例如 R4IoT方法，Arutyunov表示，通過主動、零信任的方法，關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營商可以充分防御自己抵御新的勒索軟件威脅，例如R4IoT。

“真正的零信任架構(gòu)允許運(yùn)營商從源頭上完全阻止黑客或隔離他們以防止他們破壞運(yùn)營，”Arutyunov說?！凹词购诳偷牟呗匝杆侔l(fā)展，基于身份的零信任方法也將適應(yīng)新環(huán)境，同時考慮位置、重復(fù)訪問失敗和漏洞級別等參數(shù)以防止攻擊，”他補(bǔ)充說。

劉說，通過準(zhǔn)備，關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)所有者和運(yùn)營商可以抵御日益復(fù)雜的對抗性攻擊和技術(shù)?！靶枨蠛筒樵兺ǔＳ擅襟w中的重大事件推動——加強(qiáng)網(wǎng)絡(luò)防御和安全的時機(jī)沒有錯，但當(dāng)事件發(fā)生時，要想在業(yè)務(wù)影響上占上風(fēng)可能為時已晚，”他加了。

劉說， “我們認(rèn)為防止災(zāi)難性網(wǎng)絡(luò)事件向前邁出一大步的趨勢是，許多組織最近致力于大力推動更好的監(jiān)管，尤其是在去年5月的殖民管道攻擊之后?！?“我們還看到，對OT網(wǎng)絡(luò)安全的認(rèn)識和需求正在增加，而且更多的預(yù)算實(shí)際上是由決策者或高層管理人員贊助的，他們已經(jīng)明白網(wǎng)絡(luò)安全是任何組織的基礎(chǔ)風(fēng)險控制。”

“從我們的角度來看，大多數(shù)資產(chǎn)所有者和運(yùn)營商現(xiàn)在都在尋找可以在其垂直領(lǐng)域參考和采用的最佳實(shí)踐和成功案例，”劉說?！拔覀冞€與全球系統(tǒng)集成商 (GSI) 密切合作，貢獻(xiàn)知識以降低資產(chǎn)所有者的進(jìn)入門檻，”劉總結(jié)道。