【編者按】制造業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)在逐年增加,,主要表現(xiàn)為影響工業(yè)過程的破壞性網(wǎng)絡(luò)攻擊,、信息收集和過程信息竊取以及針對(duì)工業(yè)控制系統(tǒng)(ICS)的新型攻擊,。以網(wǎng)絡(luò)攻擊為驅(qū)動(dòng)的制造業(yè)生產(chǎn)過程破壞越來越普遍,。近日工業(yè)網(wǎng)絡(luò)安全公司Dragos發(fā)布了《制造業(yè)網(wǎng)絡(luò)威脅展望》,詳細(xì)梳理了造成信息收集和處理信息竊取的入侵行為,,以及針對(duì)工業(yè)控制系統(tǒng)(ICS)和工業(yè)物聯(lián)網(wǎng)(IIoT)設(shè)備的攻擊,;針對(duì)制造組織的ICS威脅最新觀察結(jié)果及詳盡的分析,并提出了實(shí)用的防御建議,。
一、主要發(fā)現(xiàn)
制造業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)正在增加,,主要原因是破壞性的網(wǎng)絡(luò)攻擊影響工業(yè)過程,,入侵導(dǎo)致信息收集和過程信息盜竊,以及針對(duì)工業(yè)控制系統(tǒng)(ICS)的新活動(dòng),。Dragos目前公開跟蹤了五個(gè)以制造業(yè)為攻擊目標(biāo)的組織:CHRYSENE,、PARISITE、MAGNALLIUM,、WASSONITE和XENOTIME,,以及各種能夠?qū)嵤┢茐牡睦账鬈浖顒?dòng)。
制造業(yè)依靠ICS來實(shí)現(xiàn)規(guī)?;?、功能化,并確保一致的質(zhì)量控制和產(chǎn)品安全,。制造行業(yè)作為國家關(guān)鍵基礎(chǔ)設(shè)施,,生產(chǎn)關(guān)鍵材料、制成品和藥品,,是事關(guān)國計(jì)民生的重要領(lǐng)域,。由于設(shè)施和操作的相互關(guān)聯(lián)性,對(duì)制造行業(yè)的攻擊可能會(huì)對(duì)整個(gè)供應(yīng)鏈產(chǎn)生連鎖反應(yīng),,而供應(yīng)鏈依賴于及時(shí)和精確的生產(chǎn)來保障產(chǎn)品,、健康和安全以及國家安全。
勒索軟件運(yùn)營商正在采用具有ICS感知的功能,,能夠停止與工業(yè)相關(guān)的過程,,并造成潛在破壞性影響。Dragos還沒有觀察到規(guī)?;驈?fù)雜程度與針對(duì)沙特阿拉伯和烏克蘭的能源運(yùn)營的破壞性惡意軟件攻擊TRISIS和CRASHOVERRIDE中使用的規(guī)?;驈?fù)雜程度相同的針對(duì)制造業(yè)運(yùn)營商的ICS特定惡意軟件,。然而,已知的和持續(xù)存在的制造業(yè)威脅可能會(huì)對(duì)運(yùn)營產(chǎn)生直接或間接的影響,。對(duì)截至2020年10月的威脅情況以及未來隨著對(duì)手及其行為的可能演變,,報(bào)告總結(jié)了以下特點(diǎn):
具有破壞工業(yè)過程能力的勒索軟件是對(duì)制造運(yùn)營的最大威脅。攻擊者越來越多地在勒索軟件中采用ICS感知機(jī)制,,這可能會(huì)中斷運(yùn)營,;
Dragos公開跟蹤了五個(gè)針對(duì)制造業(yè)的活動(dòng)組織;
制造業(yè)過程中斷對(duì)供應(yīng)鏈的影響會(huì)波及企業(yè)以及其他地方的運(yùn)營,;
知識(shí)產(chǎn)權(quán)盜竊對(duì)于制造商而言仍然是高風(fēng)險(xiǎn),;
相互連接的企業(yè)、運(yùn)營和過程控制網(wǎng)絡(luò)日益融合,,導(dǎo)致了日益嚴(yán)重的威脅,。
二、以制造業(yè)實(shí)體為攻擊目標(biāo)的組織
?。?一 ) CHRYSENE圖片
CHRYSENE的攻擊目標(biāo)為制造業(yè),、石化、石油和天然氣以及發(fā)電行業(yè),。攻擊目標(biāo)已超出該組織最初對(duì)波斯灣地區(qū)的關(guān)注,,而且該組織在多個(gè)地區(qū)仍然保持活躍。
相關(guān)組織:APT 34,、GREENBUG,、OilRig
( 二 ) MAGNALLIUM圖片
Magnalium至少從2013年就開始攻擊能源,、航空航天等行業(yè),。盡管Magnalium沒有專門針對(duì)制造業(yè),但化學(xué)制造過程屬于該組織的攻擊目標(biāo)范疇,。該活動(dòng)組織最初的攻擊目標(biāo)是設(shè)在沙特阿拉伯的公司,,但后來將目標(biāo)擴(kuò)大到包括歐洲和北美的實(shí)體,包括美國電力公司,。MAGNALLIUM缺乏專門針對(duì)ICS開展攻擊的實(shí)力,,但該組織仍專注于最初的IT入侵。
相關(guān)組織:PARISITE,、APT 33,、Elfin
( 三 ) PARISITE圖片
Parisite自2017年開始運(yùn)營,,面向制造業(yè),、電力公用事業(yè)、航空航天,、石油和天然氣行業(yè)以及政府和非政府組織,,攻擊北美,、歐洲和中東等地區(qū)目標(biāo)。
相關(guān)組織:MAGNALLIUM, Fox Kitten, Pioneer Kitten
?。?四 ) WASSONITE圖片
WASSONITE的攻擊目標(biāo)是印度(以及可能的韓國和日本)的制造業(yè),、發(fā)電、核能和研究機(jī)構(gòu),。該組織的運(yùn)營依賴于DTrack惡意軟件,、憑據(jù)捕獲工具,利用系統(tǒng)工具進(jìn)行橫向移動(dòng),。WASSONITE至少從2018年開始運(yùn)營,。
相關(guān)組織:Lazarus Group,COVELLITE
?。?五 ) XENOTIME圖片
XENOTIME對(duì)多家ICS供應(yīng)商和制造商造成了威脅,,構(gòu)成了潛在的供應(yīng)鏈威脅。XENOTIME以TRISIS攻擊而聞名,,該攻擊導(dǎo)致2017年8月在沙特阿拉伯的一家石油和天然氣設(shè)施遭到破壞,。2018年,XENOTIME的業(yè)務(wù)范圍擴(kuò)大到北美和亞太地區(qū)的電力公司,,歐洲、美國,、澳大利亞和中東的石油和天然氣公司,。攻擊目標(biāo)還包括控制系統(tǒng)設(shè)備,超越了2017年事件所針對(duì)的Triconex控制器,。
相關(guān)組織:Temp.Veles
三,、工業(yè)控制系統(tǒng)(ICS)惡意軟件
目前,有兩個(gè)攻擊組織XENOTIME和ELECTRUM被證明有能力利用專門針對(duì)ICS進(jìn)程的惡意軟件(TRISIS和CRASHOVERRIDE),,并破壞ICS進(jìn)程,。盡管Dragos尚未觀察到有惡意軟件家族會(huì)擾亂制造運(yùn)營,但這些攻擊者可能會(huì)在開發(fā)此類惡意軟件的過程中將目標(biāo)鎖定在制造公司,,即使它們不是最終目標(biāo),。
例如,2016年惡意軟件CRASHOVERRIDE在烏克蘭的一個(gè)輸變電站中專門針對(duì)西門子SIPROTEC保護(hù)繼電器和ABB設(shè)備進(jìn)行破壞,。Dragos觀察到,,一些大型制造公司可能會(huì)在現(xiàn)場(chǎng)有自己的電力運(yùn)營部門,其中包含相同的設(shè)備,。從理論上講,,如果使用相同的設(shè)備,攻擊者可以將制造業(yè)作為針對(duì)關(guān)鍵基礎(chǔ)設(shè)施(如電力公司)的破壞性攻擊的“試驗(yàn)場(chǎng)”,。Dragos估計(jì),,由于總體上較復(fù)雜的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施和較少的政府監(jiān)督,,制造業(yè)可能成為攻擊者更具吸引力的目標(biāo)。
最臭名昭著的ICS惡意軟件Stuxnet也針對(duì)制造業(yè),。2010年首次發(fā)現(xiàn)該蠕蟲病毒的攻擊目標(biāo)是伊朗擁有的負(fù)責(zé)控制鈾濃縮離心機(jī)的可編程邏輯控制器(PLC),。這種網(wǎng)絡(luò)攻擊在當(dāng)時(shí)是史無前例的,它是第一次對(duì)計(jì)算機(jī)系統(tǒng)造成物理破壞的攻擊,。
四,、針對(duì)制造業(yè)的威脅
( 一 ) 勒索軟件
制造業(yè)最常見的威脅是勒索軟件,。Dragos觀察到,,在過去兩年中,影響ICS環(huán)境和操作的非公開和公共勒索軟件事件數(shù)量顯著增加,。今年,,Dragos確定了采用ICS感知功能的多種勒索軟件,包括能夠在環(huán)境中停止工業(yè)過程的能力,,其活動(dòng)可以追溯到2019年,。EKANS、Megacortex和Clop只是包含這類代碼的少數(shù)勒索病毒軟件,。EKANS和其他關(guān)注ICS的勒索軟件對(duì)工業(yè)操作構(gòu)成了一種獨(dú)特的,、特定的風(fēng)險(xiǎn),此前在勒索軟件操作中沒有觀察到這種風(fēng)險(xiǎn),。
?。?二 ) 暴露于互聯(lián)網(wǎng)上的資產(chǎn)
暴露于互聯(lián)網(wǎng)上的工業(yè)和網(wǎng)絡(luò)資產(chǎn)對(duì)制造業(yè)來說是高風(fēng)險(xiǎn),因?yàn)檫@些資產(chǎn)有助于攻擊者進(jìn)入受害環(huán)境,。針對(duì)ICS的威脅組織,,包括PARISITE、MAGNALLIUM,、ALLANITE和XENOTIME,,以前或目前都試圖利用遠(yuǎn)程訪問技術(shù)或登錄基礎(chǔ)設(shè)施。
根據(jù)《2019年Dragos年度回顧報(bào)告》,,66%的事件響應(yīng)案例涉及對(duì)手直接從互聯(lián)網(wǎng)訪問ICS網(wǎng)絡(luò),,100%的組織都有可路由的網(wǎng)絡(luò)連接到其操作環(huán)境中。最近以色列針對(duì)水基礎(chǔ)設(shè)施的網(wǎng)絡(luò)入侵是可編程邏輯控制器(PLC)暴露在開放互聯(lián)網(wǎng)上的結(jié)果,。Dragos還響應(yīng)了工業(yè)實(shí)體的勒索軟件事件,,這些企業(yè)利用互聯(lián)網(wǎng)連接的遠(yuǎn)程訪問門戶滲透到運(yùn)營網(wǎng)絡(luò)并部署勒索軟件。
2020年7月,,美國國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)和國家安全局(NSA)發(fā)布了一份警告,,鼓勵(lì)資產(chǎn)所有者和運(yùn)營商立即采取行動(dòng),限制OT資產(chǎn)接入互聯(lián)網(wǎng)。根據(jù)該警報(bào),,最近在發(fā)布前觀察到的行為包括:在轉(zhuǎn)向操作技術(shù)(OT)之前,,通過魚叉釣魚獲得對(duì)信息技術(shù)(IT)的初始訪問,部署商用勒索軟件來影響IT和OT環(huán)境,,連接到不需要驗(yàn)證的可訪問互聯(lián)網(wǎng)的可編程邏輯控制器(PLC),,使用常用端口和標(biāo)準(zhǔn)應(yīng)用層協(xié)議與控制器通信并下載修改后的控制邏輯,使用供應(yīng)商工程軟件和程序下載,、修改可編程邏輯控制器上的控制邏輯和參數(shù),。
攻擊者很快就可以將面向互聯(lián)網(wǎng)的服務(wù)(包括遠(yuǎn)程桌面協(xié)議(RDP)和VPN服務(wù))中的漏洞進(jìn)行武器化和利用。2020年夏季發(fā)現(xiàn)的新漏洞會(huì)影響關(guān)鍵網(wǎng)絡(luò)基礎(chǔ)設(shè)施服務(wù),,包括F5,、Palo Alto Networks、Citrix和Juniper網(wǎng)絡(luò)設(shè)備,,可能會(huì)被針對(duì)ICS的攻擊者利用,,這些漏洞可使對(duì)手獲得對(duì)企業(yè)運(yùn)營的初始訪問權(quán),之后可能轉(zhuǎn)向工業(yè)運(yùn)營,。
?。?三 ) ICS漏洞
ICS專用設(shè)備和服務(wù)中的漏洞可能給制造環(huán)境帶來風(fēng)險(xiǎn)。截至2020年10月,,Dragos的研究人員評(píng)估并驗(yàn)證了108個(gè)安全建議,,其中包含262個(gè)漏洞,這些漏洞會(huì)影響制造環(huán)境中的工業(yè)設(shè)備,。Dragos發(fā)現(xiàn),,幾乎有一半的通報(bào)都描述了一個(gè)漏洞,該漏洞可能導(dǎo)致受到破壞的環(huán)境中可視性丟失和/或失去控制,。
在Dragos評(píng)估的影響制造業(yè)工業(yè)設(shè)備的漏洞中,,70%需要訪問受害者網(wǎng)絡(luò)才能利用,,26%要求攻擊者能夠訪問易受攻擊的設(shè)備本身,,8%的要求攻擊者在局域網(wǎng)上以便于攻擊。鼓勵(lì)資產(chǎn)所有者和運(yùn)營商注意這些漏洞對(duì)制造操作的威脅,。例如,,可視化或控制裝置丟失會(huì)引起安全隱患,并可能使工人的生命或環(huán)境面臨風(fēng)險(xiǎn),。
?。?四 ) 知識(shí)產(chǎn)權(quán)盜竊
Dragos高度自信地認(rèn)為,知識(shí)產(chǎn)權(quán)盜竊和工業(yè)間諜活動(dòng)是制造實(shí)體的主要威脅,,尤其是來自國家支持的攻擊者和惡意內(nèi)部人士的威脅,。與過程和自動(dòng)化功能相關(guān)的知識(shí)產(chǎn)權(quán)和商業(yè)秘密的竊取,可使工業(yè)組織以及感興趣的政府快速發(fā)展關(guān)鍵基礎(chǔ)設(shè)施,,包括制造業(yè),。它還可以支持國家資助的間諜活動(dòng),,以進(jìn)行政治或國家安全工作。獲得產(chǎn)品的材料規(guī)格可能不足以復(fù)制它們,,企業(yè)依賴工程和工業(yè)設(shè)計(jì)原理圖以及基因自動(dòng)化測(cè)序詳細(xì)信息,。根據(jù)Dragos研究人員稱,攻擊者可能會(huì)竊取算法,、工程設(shè)計(jì)和編程規(guī)范,,以復(fù)制整個(gè)生產(chǎn)過程,而不僅僅是物質(zhì)產(chǎn)品和服務(wù)的輸出,。
?。?五 ) 第三方/供應(yīng)鏈
自2017年以來,作為威脅受害者的第一步,,多種威脅已轉(zhuǎn)移到危害供應(yīng)商,、托管服務(wù)提供商(MSP)和外部網(wǎng)絡(luò)服務(wù)。攻擊者可以濫用現(xiàn)有的信任關(guān)系和互聯(lián)性,,以獲得對(duì)敏感資源的訪問權(quán),,在某些情況下還包括ICS系統(tǒng),幾乎都不可能被發(fā)現(xiàn),。
此類活動(dòng)的最新案例包括:DYMALLOY和ALLANITE組織針對(duì)幾個(gè)原始設(shè)備制造商和供應(yīng)商進(jìn)行了攻擊,,針對(duì)電力部門實(shí)施了后續(xù)網(wǎng)絡(luò)釣魚攻擊;針對(duì)幾家原始設(shè)備制造商和供應(yīng)商的XENOTIME,;APT10進(jìn)行了一場(chǎng)廣泛的黑客攻擊,,劫持了MSP及其客戶之間的連接,其中包括制造企業(yè),。
承包商,、供應(yīng)商和其他第三方人員通常可以直接訪問操作環(huán)境進(jìn)行更新,、檢查或新設(shè)備安裝等活動(dòng),。攻擊者有可能將這些個(gè)人使用的設(shè)備作為進(jìn)入其最終目標(biāo)的接入點(diǎn)。企業(yè)資源規(guī)劃(ERP)供應(yīng)商還提供了潛在的感染媒介,,如果沒有適當(dāng)?shù)母綦x和安全控制,,這些媒介可以彌合IT和OT之間的鴻溝。ERP服務(wù)需要訪問操作資產(chǎn)以監(jiān)視和存儲(chǔ)與生產(chǎn),、供應(yīng)鏈,、庫存和安全相關(guān)的信息。它們應(yīng)該集成到企業(yè)功能中,,如合規(guī)或財(cái)務(wù),。最近的漏洞暴露突出了這些系統(tǒng)的威脅和潛在的利用。2020年7月,主要的ERP供應(yīng)商SAP發(fā)布了影響SAP NetWeaver Application Server(AS)Java組件的嚴(yán)重漏洞的詳細(xì)信息和修補(bǔ)程序,,該漏洞影響了眾多SAP業(yè)務(wù)解決方案,,包括ERP。攻擊者可以利用該漏洞控制受信任的SAP連接,。
制造業(yè)實(shí)體是全球供應(yīng)鏈的一部分,,支持多個(gè)其他行業(yè),這使得它們成為對(duì)手攻擊電力公用事業(yè)或制藥等行業(yè)的跳板,。一些制造業(yè)公司的活動(dòng)延伸到多個(gè)垂直行業(yè),。汽車制造商大眾汽車于2019年成為可再生能源供應(yīng)商,旨在與能源公司在電池儲(chǔ)能和管理方面展開競(jìng)爭(zhēng),。
利用第三方連接可使攻擊者進(jìn)行間諜活動(dòng),、偵察和數(shù)據(jù)竊取操作,以預(yù)先做好準(zhǔn)備以展開破壞性O(shè)T攻擊,。由于制造業(yè)公司在各個(gè)行業(yè)垂直領(lǐng)域的相互關(guān)聯(lián)關(guān)系,,資產(chǎn)所有者和運(yùn)營商應(yīng)意識(shí)到所有ICS實(shí)體面臨的威脅,并將ICS特定威脅情報(bào)納入安全運(yùn)營和風(fēng)險(xiǎn)管理,。
五,、IT/OT融合
( 一 ) 網(wǎng)絡(luò)隔離
制造商的網(wǎng)絡(luò)安全成熟度取決于行業(yè),、監(jiān)管要求,、地理位置和各種其他因素。然而,,在制造環(huán)境中存在“扁平網(wǎng)絡(luò)”并不罕見,。這是因?yàn)槠髽I(yè)和運(yùn)營部門之間共享網(wǎng)絡(luò)連接。這使得攻擊者更容易跨越IT和OT邊界,,并從IT接入點(diǎn)進(jìn)入后攻擊制造業(yè)務(wù),。
如果企業(yè)和運(yùn)營部門之間確實(shí)存在隔離,利用跳轉(zhuǎn)主機(jī)和訪問限制,,那么制造工廠通常利用所有制造工廠的相同廣域網(wǎng)(WAN)連接,。如果攻擊者能夠進(jìn)入一個(gè)設(shè)施的運(yùn)營,則可能會(huì)危及整個(gè)公司的運(yùn)營,。
扁平網(wǎng)絡(luò)結(jié)構(gòu)的危險(xiǎn)在2017年得到了廣泛證明,。那一年,,WannaCry和NotPetya蠕蟲勒索軟件和惡意軟件攻擊全球,,破壞了眾多制造商的運(yùn)營。這些蠕蟲利用舊版本的Microsoft服務(wù)器消息塊(SMB)協(xié)議中的漏洞和連續(xù)的憑據(jù)竊取和重用進(jìn)行傳播,。由于IT和OT之間存在較弱的隔離,、環(huán)境之間的維護(hù)互連以及缺乏訪問限制進(jìn)行互連,惡意軟件在工業(yè)運(yùn)營中緩慢蔓延,造成了數(shù)十億美元的損失,。盡管WannaCry和NotPetya事件給全球制造商敲響了警鐘,,但三年后,不當(dāng)?shù)木W(wǎng)絡(luò)隔離仍然是一個(gè)問題,。
?。?二 ) Wi-Fi連接
除了與互聯(lián)網(wǎng)連接的過程自動(dòng)化和其他“智能”制造過程外,運(yùn)營商還采用了支持Wi-Fi的機(jī)床和診斷設(shè)備,?;ヂ?lián)網(wǎng)連接工具連接到歷史數(shù)據(jù)庫,用于質(zhì)量保證,、監(jiān)管和物流等目的,。通常,這些工具連接到企業(yè)或運(yùn)營資源,,可以用作網(wǎng)絡(luò)接入點(diǎn),,或在旨在破壞生產(chǎn)和阻礙運(yùn)營的攻擊中成為攻擊目標(biāo)。物流應(yīng)用程序和服務(wù)使制造資產(chǎn)的移動(dòng)部件(如車輛,、司機(jī)和貨物)能夠與倉庫或人力資源等靜態(tài)資產(chǎn)進(jìn)行通信和交互,。員工和承包商使用帶有Wi-Fi連接的移動(dòng)和桌面硬件來使用應(yīng)用程序和服務(wù),并定期訪問企業(yè)網(wǎng)絡(luò),,有時(shí)還訪問運(yùn)營網(wǎng)絡(luò),。
物流技術(shù)可以確保供應(yīng)鏈的及時(shí)、精簡(jiǎn),,但對(duì)任何中斷都非常敏感,。如果物流網(wǎng)絡(luò)中的一臺(tái)設(shè)備受到威脅,則惡意軟件或?qū)κ挚赡軙?huì)散布到該設(shè)備所連接的所有網(wǎng)段,。時(shí)間敏感的小事故可能意味著制造業(yè)運(yùn)營的嚴(yán)重破壞,,并影響客戶、產(chǎn)品和服務(wù),。
?。?三 ) 缺乏可見性
隨著制造業(yè)務(wù)的聯(lián)系日益緊密,這些環(huán)境中仍然缺乏對(duì)過程,、資產(chǎn)和連接的可見性,。很難抵御運(yùn)營商看不到的威脅。
根據(jù)Dragos 2019年度回顧報(bào)告,,81%的Dragos服務(wù)團(tuán)隊(duì)合作的組織對(duì)ICS/OT網(wǎng)絡(luò)的可見性極為有限或根本沒有,。從事件響應(yīng)活動(dòng)中觀察發(fā)現(xiàn),沒有用于事件分析的安全性和過程數(shù)據(jù)聚合實(shí)例,,而需要手動(dòng)檢索日志和分布式分析,。
至關(guān)重要的是,,在未來,所有制造部門和運(yùn)營部門(包括工程,、裝配和物流)的資產(chǎn)所有者和運(yùn)營商改善網(wǎng)絡(luò)和主機(jī)可見性,,以識(shí)別和抵御日益增長(zhǎng)的威脅。
六,、防御建議
制造企業(yè)都是不同的,,并且網(wǎng)絡(luò)安全機(jī)制、網(wǎng)絡(luò)體系結(jié)構(gòu)以及它們?cè)敢饨邮艿娘L(fēng)險(xiǎn)也會(huì)因行業(yè)而異,。例如,,在食品和制藥行業(yè),已經(jīng)制定了監(jiān)管條例,,以監(jiān)測(cè)生產(chǎn)和銷售給公眾的產(chǎn)品的安全性,。但是,為了提高環(huán)境的整體安全性,,所有制造企業(yè)都應(yīng)執(zhí)行以下建議:
進(jìn)行架構(gòu)檢查,,以確定IT和OT網(wǎng)絡(luò)之間的所有資產(chǎn)、連接和通信,。確定非軍事區(qū)(DMZ)以限制飛地之間的流量,。嚴(yán)格檢查并限制公司網(wǎng)絡(luò)和ICS網(wǎng)絡(luò)之間的連接,并將其限制為僅已知的,、需要的流量,。
確保理解網(wǎng)絡(luò)的相互依賴關(guān)系,并進(jìn)行核心分析,,以識(shí)別可能破壞業(yè)務(wù)連續(xù)性的潛在弱點(diǎn),。
盡可能實(shí)施多因素身份驗(yàn)證(MFA),尤其是在外圍設(shè)備和登錄門戶,。重點(diǎn)關(guān)注與集成商,、維護(hù)人員、供應(yīng)商人員以及諸如安全設(shè)備之類連接,。如果無法在內(nèi)部設(shè)備上實(shí)現(xiàn)MFA,,請(qǐng)確保對(duì)所有憑證使用強(qiáng)且難以猜測(cè)的口令。
確保維護(hù)企業(yè)網(wǎng)絡(luò)系統(tǒng)的備份,,并在災(zāi)難恢復(fù)模擬期間測(cè)試備份,。制定ICS特定事件響應(yīng)計(jì)劃,并演練如何處理不同的事件,。
被動(dòng)識(shí)別和監(jiān)視ICS網(wǎng)絡(luò)資產(chǎn),,以識(shí)別網(wǎng)絡(luò)中的關(guān)鍵資產(chǎn)、阻塞點(diǎn)和外部通信,。
尋找針對(duì)制造的對(duì)手所使用的威脅行為和已知的戰(zhàn)術(shù),、技術(shù)和程序(TTPs),比如那些映射到ICS的ATT&CK,。
監(jiān)控來自ICS網(wǎng)絡(luò)的出站通信,,以檢測(cè)惡意威脅行為、指標(biāo)和異常情況,。了解惡意活動(dòng)組織表現(xiàn)出的惡意行為,,對(duì)于防范至關(guān)重要。
監(jiān)測(cè)和標(biāo)記關(guān)鍵資產(chǎn),。Dragos資產(chǎn)識(shí)別允許通過檢測(cè)針對(duì)資產(chǎn)類型的惡意行為來進(jìn)行特定分析,。
利用特定于行業(yè)的威脅檢測(cè)機(jī)制來識(shí)別OT中的惡意軟件,并在網(wǎng)絡(luò)級(jí)別加強(qiáng)縱深防御策略,,從而使防御者和分析員具有更強(qiáng)大的調(diào)查能力,。
確保公司網(wǎng)絡(luò)已修補(bǔ),以防止惡意軟件感染進(jìn)入環(huán)境并防止后續(xù)傳播,。
確保關(guān)鍵的網(wǎng)絡(luò)服務(wù),,如Active Directory(AD)和托管它的服務(wù)器都受到很好的保護(hù),并盡可能最大程度地限制對(duì)托管設(shè)備的管理訪問,。
盡可能評(píng)估和限制IT和ICS網(wǎng)絡(luò)之間的共享,。在共享AD環(huán)境中為OT系統(tǒng)創(chuàng)建專用安全組,并將部署組策略對(duì)象(GPO)或其他更改的權(quán)限限制為僅對(duì)管理員,,以減少攻擊面,。
確保最大程度地將網(wǎng)絡(luò)隔離。如果無法進(jìn)行隔離,,請(qǐng)確保應(yīng)急響應(yīng)計(jì)劃有良好的文檔記錄,,以詳細(xì)說明緊急情況下,如惡意軟件感染時(shí)的隔離工作,。例如,,實(shí)施防火墻規(guī)則,將關(guān)鍵的ICS組件從網(wǎng)絡(luò)中分離出來,,這些組件可以根據(jù)環(huán)境的信息安全和功能安全以及任何潛在的惡意活動(dòng)進(jìn)行激活和停用,。
不需要進(jìn)行實(shí)時(shí)通信或直接訪問操作的服務(wù)和設(shè)備應(yīng)進(jìn)行虛擬化。這可以改進(jìn)漏洞管理,,并為相互依賴提供更好的安全性,。例如,工程工作站(EWS)和人機(jī)界面(HMI)操作可以虛擬化,。
隔離用于建筑物出入控制(BAC)和供暖,、通風(fēng)和空調(diào)(HVAC)的設(shè)備和服務(wù)。這些服務(wù)可被視為二級(jí)或支持系統(tǒng),,對(duì)維持安全,、可靠的制造運(yùn)營至關(guān)重要,,并且可以作為試圖破壞制造生產(chǎn)的對(duì)手的潛在目標(biāo)。
七,、結(jié)論
針對(duì)制造企業(yè),、導(dǎo)致運(yùn)營中斷的勒索軟件呈現(xiàn)上升趨勢(shì)?;ヂ?lián)網(wǎng)暴露的資產(chǎn),、供應(yīng)鏈和第三方危害風(fēng)險(xiǎn),以及互聯(lián)企業(yè)和運(yùn)營網(wǎng)絡(luò)的日益融合,,導(dǎo)致了威脅態(tài)勢(shì)的不斷惡化,。Dragos繼續(xù)監(jiān)測(cè)重點(diǎn)的攻擊組織和針對(duì)制造業(yè)務(wù)的威脅,包括涉及能夠破壞運(yùn)營的ICS勒索軟件,。此外,,如Dragos所述,攻擊者無需專門針對(duì)工業(yè)過程,,就可實(shí)現(xiàn)跨工廠,、車隊(duì)或自動(dòng)化過程的廣泛危害破壞??梢钥隙ǖ氖?,明年制造業(yè)面臨的威脅還將繼續(xù)增加。