2021年上半年工业操控体系缝隙剖析

发布日期:2021-11-12 21:49:07 来源:od体育app官网下载 

  依据Claroty最新发布的陈述,跟着针对要害根底设备和工业企业的高调网络进犯将工业操控体系(ICS)安全问题提升为一个干流问题,工业操控体系的缝隙发表也急剧添加。

  跟着越来越多的企业经过将其工业流程衔接到云核算来完成现代化,给进犯者供给了更多途径,经过勒索软件进犯来损害工业运营。

  依据Claroty最新发布的陈述,跟着针对要害根底设备和工业企业的高调网络进犯将工业操控体系(ICS)安全问题提升为一个干流问题,工业操控体系的缝隙发表也急剧添加。

  该陈述涵盖了本年上半年发表的ICS和OT缝隙,不只供给了关于工业设备中普遍存在的缝隙的数据,还供给了环绕它们的必要布景,以评价各自环境中的风险。

  ICS缝隙发表正在显着加快,提醒了在运营技能(OT)环境中发现的安全缝隙的严峻程度。2021年上半年发表了637个ICS缝隙,比2020年下半年发表的449个缝隙添加了41%。其间81%是由受影响供货商的外部来历发现的,包含第三方公司、独立研讨人员、学者和其他研讨组。此外,42名新研讨人员陈述了缝隙。

  71%的缝隙被归类为高危或严峻缝隙,反映了露出的高度严峻性和影响性质及其对运营的潜在风险。

  90%的进犯复杂性较低,这意味着不需求特别条件,进犯者每次都可以重复成功。

  74%的进犯者不需求权限,这意味着进犯者未经授权且不需求拜访任何设置或文件;66%的进犯者不需求用户交互,例如翻开电子邮件、单击链接或附件或同享灵敏的个人或财政信息。

  61%是可长途运用的,这标明保护长途衔接、物联网(IoT)和工业IoT(IIoT)设备的重要性。

  26%要么没有可用的修正程序,要么只要部分弥补办法,这突显了与IT环境比较,保证OT环境安全的要害应战之一。

  在ICS-CERT警报和供货商主张中说到的最重要的缓解办法,包含网络分段(适用于59%的缝隙)、安全长途拜访(53%)和勒索软件、网络垂钓和垃圾邮件防护(33%)。

  Team82在2021年上半年发现并发表了70个缝隙,超越了Claroty在2020年发表的一切缝隙。总的来说,Team82现已发表了超越150个影响ICS设备和OT协议的缝隙。

  Team82的研讨查询了影响该职业很多部分的各种供货商和产品。由于这些参数,Claroty还研讨第三方产品。Team82在2021年上半年发现的70个缝隙影响了20家自动化和技能供货商。以下两个图表别离列出了受影响的供货商和ICS产品类型:

  每个发表的缝隙都可标记为固件或软件缝隙。在某些状况下,一个缝隙会影响这两个方面的多个组件。在2021年上半年,大大都缝隙会影响软件组件,鉴于软件打补丁比固件打补丁相对简单,防护者有才能在其环境中优先打补丁。

  在查看产品系列中的固件和软件缝隙时,重要的是要了解,尽管在可分为固件或软件的组件中发现缝隙,但需求考虑受其影响的产品。例如,HMI上或许存在易受进犯的软件装备,或许或许存在衔接到泵的以太网模块。下图显现了受这些缝隙影响的产品系列,其类别如下所示:

  由于23.55%的缝隙影响普渡模型的运营办理(第三层)层级,这就解说了为什么许多缝隙影响软件组件。此外,发现的大约30%的缝隙影响普渡模型的根本操控(第一层)和监督操控(第二层)层级。当然,在影响这些层级时,进犯者也可以抵达较低的层级并影响进程自身,这使其成为有吸引力的方针。

  2021年上半年发布的一切工业操控体系缝隙的统计数据包含Team82发现和发表的缝隙,以及其他研讨人员、供货商和第三方在2021年上半年揭露发表的一切其他缝隙。Team82的信息来历包含:国家缝隙数据库(NVD)、ICS-CERT、CERT@VDE西门子、施耐德电气和MITRE。

  在2021年上半年,发布了637个ICS缝隙,影响了76个ICS供货商。

  2021年上半年,80.85%的缝隙是由受影响供货商以外的来历发现的,外部来历包含许多研讨安排,包含第三方公司、独立研讨人员和学者等。

  下图剖析了以第三方公司为首的外部来历发表的缝隙数量,在2021年上半年发现了341个缝隙(占53.87%)。这些揭露的缝隙中,有许多是由网络安全公司的研讨人员发现的,这标明,在IT安全研讨的一起,要点也搬运到了工业操控体系。需求指出的是,一些发表是多个研讨小组之间的协作,或许不同的研讨人员别离发现和发表了相同的缝隙,在2021年上半年有139个缝隙。

  2021年上半年发表的637个ICS缝隙影响了76家供货商的产品,受影响的供货商数量比2020年下半年有所添加(59家),该数据2020年上半年为53家。

  西门子是陈述缝隙最多的供货商,共有146个缝隙,其间许多缝隙是西门子CERT团队进行的内部研讨发表的,其次是施耐德电气、罗克韦尔自动化、WAGO和研华科技。

  重要的是要认识到,遭到很多揭露缝隙的影响并不必定意味着供货商的安全状况不佳或研讨才能有限。一个分配了很多资源来测验其产品安全性的供货商,很或许比一个疏忽了在相同程度上查看其产品的供货商发现更多的缝隙。每个供货商的目录和装置根底也往往会影响其产品所发表的缝隙的数量。

  在2021年上半年,其产品未遭到2020年发表的ICS缝隙影响的20家供货商遭到了2021年上半年发表的至少一个ICS缝隙的影响。

  这些供货商中有六家专门从事医疗技能,三家专门从事自动化,两家专门从事制作业。影响这些新受影响的供货商(20个供货商中的16个)的缝隙是由从前发表缝隙的研讨人员发现的。

  尽管陈述中的许大都字令人大开眼界,令人形象深入,但的确说明晰一种继续趋势:发表的缝隙数量及修补或缓解的缝隙继续呈上升趋势。这一增加背面有许多要素,首先是越来越多的研讨人员正在寻觅ICS产品和OT协议中的缝隙。

  此外,在IT下集成了OT办理或将云引进OT的安排不只进步了事务功率和剖析才能,并且还在扩展了要挟进犯面,并将本不方案衔接的设备露出在互联网中。

  最重要的是,深入研讨了补丁和其他弥补办法,包含供货商供给的缓解办法。软件缝隙的修补速度比固件缝隙高得多。在ICS和OT安全圈中,由于打补丁和产品更新需求停机时刻,这在许多范畴是无法承受的。因而,关于运用者来说,缓解办法具有重大意义。经过衡量供货商和职业CERT最引荐的缓解办法,发现网络分段和安全长途拜访无疑是2021年上半年最首要的缓解办法。

  跟着气隙式OT网络成为曩昔,网络分段在缓解办法中占有了杰出位置。虚拟分区(专为工程或其他面向流程的功用量身定做的特定于区域的战略)等技能也将成为不可或缺的缓解手法。

  与此一起,安全长途拜访是仅次于分段的首要缓解过程。恰当的拜访操控和特权办理关于阻挠下一个Oldsmar类型的事情有很长的路要走,更重要的是,避免以赢利为导向的参与者经过IT和OT网络横向移动,盗取数据,并开释勒索软件等歹意软件。

  针对固件修正的很少。简直62%的固件缝隙没有得到修正或主张进行部分修正,而其间大大都缝隙都是布置在普渡模型第一层的产品中。

  下半年会有三个重要的趋势:OT云搬迁、针对要害根底设备和OT的勒索软件进犯,以及行将出台的美国网络立法。

  推进企业将云引进工业流程的气势是不可否认的。当公司开端从云核算办理OT和IT时,这种交融将带来许多一起的风险。

  数据安全曾经是工业流程的一个风险较低的变量,但现在也将被提升为优先事项,特别是在监管严厉的职业,安排不只有必要评价要挟,还有必要评价风险。

  例如,加密或许会使一些东西无法获得对网络财物的彻底可见性。在气隙环境中,这可以被以为是可承受的风险,但一旦财物露出在网上,状况就不同了。最好的做法是在传输进程中对数据进行加密,并在数据停止时进行加密,以保证在产生事端时可以充沛康复数据。跟着公司开端将服务和运用放到云端,从第一层设备如PLC接纳数据,这一点将尤为显着。

  身份验证和身份办理也有必要是安排的云OT深度防护方案的一部分。2019年新冠疫情大盛行加快了长途作业,本年2月的Oldsmar事情现已证明晰对体系拜访和特权办理操控不力所带来的风险。

  搬迁到依据云的根底设备一般意味着安排根底设备(IT或OT)的一部分保管在第三方云供给商(如谷歌、Amazon和Microsoft)的长途服务器上。根底设备包含一个依据云的办理渠道,以支撑安排服务的不同用户,例如办理员或工程师。依据用户和人物的战略有必要界说用户可以履行哪些功用,以及依据他们的人物具有哪些特权。

  尽管现在还没有看到勒索软件专门影响第一层设备,但进犯者现已成功地影响了工业运营。最著名的比如是针对Colonial Pipeline的进犯,在IT体系被勒索软件感染后,该公司十分慎重地封闭了美国东海岸上下的燃料运送。

  进犯者在运用勒索软件时变得愈加慎重,他们会搜索他们以为最有或许付出高额赎金的受害者。尽管市政府、医疗保健和教育部分一度被以为是勒索软件进犯的方针,但大型制作企业和要害根底设备现在成了众矢之的。

  另一种在以盈余为意图的进犯集体中盛行的战略是高档侵略,即盗取灵敏的事务或客户数据,以及揭露走漏这些信息的要挟,一起或许会使要害体系遭到勒索软件的感染。再次,进犯者把方针对准了或许满意他们需求的高价值安排。据称,Colonial Pipeline和JBS Foods都向要挟参与者付出了数百万美元加密钱银,以康复加密体系。

  跟着越来越多的公司将ICS设备衔接到互联网并交融OT和IT,对网络财物的可见性至关重要,关于或许被进犯者运用的软件和固件缝隙的信息也是如此。例如,运行在依据Windows的机器上的工程作业站的缺点,或许会让进犯者损坏IT和OT网络之间的这些交叉点,并修正流程,或许投进勒索软件,阻止或许影响公共安全或国家安全的要害服务的供给。

  除了传达垂钓进犯的依据电子邮件的要挟外,防护者还需求重视安全的长途拜访,以及在虚拟专用网络和其他依据网络的进犯载体中发现的缝隙调集。Team82数据中超越60%的缝隙可以经过网络进犯载体进行长途进犯。这强调了保护长途拜访衔接和面向互联网的ICS设备的重要性,并在进犯者可以在网络和域之间横向移动以盗取数据和丢掉勒索软件等歹意软件之前将其堵截。

  在2021年上半年,对Oldsmar、Colonial Pipeline和JBS Foods的进犯标明,要害根底设备和制作业露出于互联网的脆弱性。这些进犯标明,进犯者可以找到缺点,改动公共饮用水中的化学物质含量,或许运用大宗产品勒索软件封闭燃料和食物运送体系。

  这些歹意进犯活动也引起了美国政府的重视。许多政府支撑的网络相关活动特别指出,工业网络安全关于国家安全和美国经济至关重要。

  美国总统拜登在7月签署了一份要害根底设备国家安全备忘录,该备忘录树立了工业操控体系网络安全建议,这是一项针对私营部分一切者和运营商的自愿举动,旨在使其体系与当时要挟坚持一致。美国政府将在9月前拟定功能方针,这些自愿方案将不可避免地成为强制性办法,以布置可以供给OT网络可视性和要挟检测的技能。

  备忘录是在5月份签署的一项行政指令之后签署的,该指令旨在改进私营和公共部分之间的要挟信息同享、完成联邦网络安全规范的现代化,加强供给链安全、树立网络安全审查委员会,拟定应对网络事情的规范手册,改进联邦网络上的事情检测,以及更好的查询和弥补才能。

  此前,为改进电网网络安全进行了为期100天的冲刺,这也强化了公共事业私营部分一切者和政府之间更好地同享信息的主题。拜登政府还经过TSA对殖民地管道事情做出了巨大反响,并发布了一项安全指令,要求进步管道网络的康复才能,包含在检测后12小时内强制陈述事情、定时进行脆弱性评价,以及避免勒索软件进犯。

  展望未来,华盛顿的法案草案包含在事情产生后严厉的陈述要求。有必要坚持慎重和耐性,保证这些规则不会给资源缺乏的小型公用事业和要害根底设备运营商,带来额定风险或不切实际的希望。

  政府有必要在辨认和铲除网络进犯者的方针与对公司监管之间获得平衡,而这些公司将从辅导和资金中获益。此外,还有必要了解OT缝隙办理的现实状况,以及在高可用性环境中为工业设备打补丁,或更新数十年未衔接到互联网或更新的老设备所面临的应战。

  这是要害根底设备内的动态防护者有必要面临的问题,以保证在没有当即修补选项的状况下,或在供给完好的软件或固件更新之前,可以为需求缓解办法的防护者供给缓解办法。

  以下事情和趋势或许在必定程度上协助刻画了2021年上半年的ICS风险和缝隙格式。

  美国东海岸最大的汽油、柴油和天然气分销商Colonial Pipeline遭到勒索软件进犯,影响了石油和天然气运送。5月7日的停产对该职业造成了马到成功的影响,由于东海岸大约45%的燃料由殖民地供给。停电导致汽油和家庭取暖油价格上涨,许多加油站燃料耗尽。这是殖民地公司57年历史上的第一次封闭。殖民地于5月13日康复运营。

  据称,俄罗斯网络犯罪集团DarkSide对此次进犯担任,该集团出售勒索软件即服务(RaaS)。DarkSide盗取灵敏数据并勒索受害者,并要挟称,假如赎金要求得不到满意,就会发布这些数据。依据之前的报导,DarkSide好像只寻觅有才能付出高额赎金的受害者,他们宣称不针对医疗安排、教育安排或政府安排。Colonial为此付出了440万美元的比特币赎金,但其间230万美元被美国政府追回,但据报导,进犯产生后不久,DarkSide就抛弃了运营。

  2月5日,佛罗里达州奥尔兹马尔的一个水处理设备遭到突击。Oldsmar设备内的操作员检测到来自工厂外的两次侵略,第2次侵略触及一名长途进犯者,该进犯者经过TeamViewer桌面同享软件衔接,TeamViewer桌面同享软件是用于技能支撑的合法长途拜访解决方案。

  长途进犯者将住宅和商业饮用水中的氢氧化钠含量,从百万分之100改动为百万分之1100。氢氧化钠(又叫碱液)被添加到水中以操控酸度和去除某些金属。碱液也是下水道清洁剂中的首要试剂,是一种腐蚀性物质,假如食用就会有风险。

  运营商堵截了进犯者的衔接,并在水处理体系固有安全办法的支撑下,避免污染水进入大众。

  5月30日,全球最大的肉类供货商JBS遭到勒索软件进犯,导致澳大利亚、加拿大和美国的工厂封闭。美国的工厂封闭也导致近五分之一的肉类加工才能损失。联邦查询局将这次进犯归咎于REvil,也被称为Sodinokibi。

  Revil是一个供给RAAS的黑客安排。他们以敲诈巨额赎金、针对大公司、在加密之前盗取数据进行两层勒索而出名,并将这些数据发布在一个名为Happy Blog的暗站上。

  JBS保护一个备份体系,并可以运用它康复操作以康复数据。尽管如此,该公司为挽回损失,仍是向进犯者付出了1100万美元的赎金。

在线咨询
微信咨询
联系电话
18085096239
返回顶部