【編者按】2020年12月曝光的SolarWinds供應(yīng)鏈攻擊事件成了網(wǎng)絡(luò)安全行業(yè)的頭號(hào)新聞,，這一事件某種程度上將改變IT,、OT和ICS網(wǎng)絡(luò)安全團(tuán)隊(duì)的認(rèn)知和實(shí)踐。新冠疫情全球流行及原油市場(chǎng)崩潰在2020年造成了相當(dāng)大的干擾,，并改變了IT和網(wǎng)絡(luò)安全團(tuán)隊(duì)的短期工作重點(diǎn)。但是,，在進(jìn)入新年之際，網(wǎng)絡(luò)安全團(tuán)隊(duì)的關(guān)注重點(diǎn)將重新回到基礎(chǔ)的網(wǎng)絡(luò)安全問題上，并且自2021年開始將關(guān)注針對(duì)OT/ICS的網(wǎng)絡(luò)攻擊防御,。

　　一、SolarWinds供應(yīng)鏈攻擊事件回顧

　　FireEye于2020年12月初公開披露了一個(gè)大型,、復(fù)雜的網(wǎng)絡(luò)供應(yīng)鏈攻擊,，SolarWinds產(chǎn)品于2020年3月左右被攻擊者植入后門，受到了嚴(yán)重的供應(yīng)鏈攻擊,。

　　據(jù)官方報(bào)告描述,，SolarWinds軟件在2020年3-6月期間發(fā)布的版本均受到供應(yīng)鏈攻擊的影響，攻擊者在這段期間發(fā)布的2019.4-2020.2.1版本中植入了惡意的后門應(yīng)用程序,。這些程序利用SolarWinds的數(shù)字證書繞過驗(yàn)證,，并在休眠2周左右后會(huì)和第三方進(jìn)行通信，并且根據(jù)返回的指令執(zhí)行操作,，包括傳輸文件,、執(zhí)行文件、重啟系統(tǒng)等,。這些通信會(huì)偽裝成Orion Improvement Program（OIP）協(xié)議并將結(jié)果隱藏在眾多合法的插件配置文件中,，從而達(dá)成隱藏自身的目的。

　　官方證實(shí),，大約有18,000個(gè)用戶已經(jīng)安裝了SolarWinds的后門版本,。這次攻擊的范圍不僅限于政府和網(wǎng)絡(luò)公司，還包括財(cái)富500強(qiáng)企業(yè),、重要的國(guó)家安全和重要的基礎(chǔ)設(shè)施提供商等,。

　　研究人員發(fā)現(xiàn)，在SolarWinds供應(yīng)鏈攻擊中使用的惡意軟件有四款,，分別為Sunspot,、Sunburst和Teardrop和Raindrop。攻擊者首先部署了Sunspot惡意軟件,，專門在SolarWinds公司的網(wǎng)絡(luò)中使用了該惡意軟件,。攻擊者使用該惡意軟件修改了SolarWinds Orion應(yīng)用程序的構(gòu)建過程，并將Sunburst（Solorigate）惡意軟件插入了新版本的IT網(wǎng)絡(luò)管理系統(tǒng)Orion中,。

　　這些木馬化的Orion版本未被發(fā)現(xiàn),，并在2020年3月至2020年6月期間活躍在官方的SolarWinds更新服務(wù)器上。應(yīng)用Orion更新的公司還不經(jīng)意間在其系統(tǒng)上安裝了Sunburst惡意軟件,。但是,，Sunburst惡意軟件并不是特別復(fù)雜，除了收集有關(guān)受感染網(wǎng)絡(luò)的信息并將數(shù)據(jù)發(fā)送到遠(yuǎn)程服務(wù)器之外，并沒有做太多其他事情,。當(dāng)黑客決定“升級(jí)訪問權(quán)限”時(shí),，他們使用Sunburst下載并安裝了Teardrop惡意軟件，但是在某些情況下黑客會(huì)選擇部署Raindrop惡意軟件,。

　　遭受SolarWinds黑客入侵的安全公司至少有四家,，分別為Microsoft、FireEye和CrowdStrike和Malwarebytes,。美國(guó)多政府機(jī)構(gòu)聯(lián)合聲稱,，該供應(yīng)鏈攻擊事件可能由與俄羅斯政府有關(guān)的APT組織發(fā)起。

　　OT網(wǎng)絡(luò)安全團(tuán)隊(duì)必須有所準(zhǔn)備,，對(duì)工業(yè)控制系統(tǒng)的復(fù)雜攻擊將成為新常態(tài),。對(duì)于許多OT/ICS公司而言，更令人擔(dān)憂的是,，SolarWinds供應(yīng)鏈攻擊也集中于中小型企業(yè),。這些攻擊在數(shù)字和物理領(lǐng)域都敲響了警鐘。當(dāng)前,，網(wǎng)絡(luò)安全負(fù)責(zé)人必須立即采取行動(dòng),，并在OT/ICS環(huán)境中實(shí)施網(wǎng)絡(luò)攻擊預(yù)防。

　　二,、工業(yè)領(lǐng)域的SolarWinds受害者

　　Microsoft,、FireEye、CrowdStrike等多家組織已對(duì)這一重大事件進(jìn)行了跟蹤分析,，深入的調(diào)查研究仍在進(jìn)行中,。嵌入SolarWinds SunBurst后門的技術(shù)細(xì)節(jié)已經(jīng)被公開報(bào)道，第二階段的工具正在被發(fā)現(xiàn),，但攻擊的規(guī)模和幕后黑手的興趣仍在調(diào)查中,。盡管如此，關(guān)于受到的組織數(shù)量以及第二階段工具可能已部署的信息仍然有限,?；趯?duì)歷史C2 DNS響應(yīng)的分析，有一些關(guān)于參與者的猜測(cè),。

　　卡巴斯基研究人員對(duì)有多少工業(yè)組織使用后門版本的SolarWinds并成為受害者特別關(guān)注,，并進(jìn)行了相關(guān)研究。

　　首先,，研究人員使用了一些公共可用列表和第三方列表來分析從SunBurst域名生成算法生成的DNS名稱獲得的所有可用的已解碼內(nèi)部域名,。可讀和可歸屬域名的最終列表由將近2000個(gè)域名組成,?？赡苁艿綋p害的工業(yè)組織經(jīng)營(yíng)的行業(yè)的信息如下圖所示，工業(yè)組織占名單上所有組織的總百分比估計(jì)為32.4%。

　　研究人員還分析了安裝了后門版本的SolarWinds應(yīng)用程序的遙測(cè)系統(tǒng)的用戶信息,，并區(qū)分了工業(yè)領(lǐng)域20多個(gè)組織：

　　工業(yè)組織的地理分布廣泛,，包括貝寧、加拿大,、智利、吉布提,、印度尼西亞,、伊朗、馬來西亞,、墨西哥,、荷蘭、菲律賓,、葡萄牙,、俄羅斯、沙特阿拉伯,、臺(tái)灣,、烏干達(dá)，和美國(guó)等國(guó)家和地區(qū),。從北美到亞太地區(qū),，所有受害者的地理位置幾乎覆蓋了整個(gè)世界。

　　SolarWinds軟件已高度集成到全球不同行業(yè)的許多系統(tǒng)中,。研究人員目前尚無證據(jù)表明遙測(cè)中的任何工業(yè)組織都遭到了攻擊者的升級(jí),。

　　Truesec根據(jù)從威脅行為者使用的服務(wù)器收到的響應(yīng)，提供了一份可能的第二階段受害者名單,，其中包括總部位于不同國(guó)家的幾個(gè)工業(yè)組織,。因此，如果符合參與者的利益,，不應(yīng)該排除在某些工業(yè)網(wǎng)絡(luò)中開展更廣泛活動(dòng)的可能性,。

　　三、常見的OT/ICS網(wǎng)絡(luò)安全謬論

　　備受矚目的SolarWinds供應(yīng)鏈攻擊事件以及隨之而來的在2021年實(shí)施OT網(wǎng)絡(luò)攻擊預(yù)防措施的緊迫感,，足以澄清之前關(guān)于OT/ICS網(wǎng)絡(luò)安全的謬論,。

　　我們沒有受到攻擊，因此網(wǎng)絡(luò)安全并不是我們的迫切需求,。該供應(yīng)鏈攻擊事件表明,，攻擊者在破壞關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)、隱藏其偵察工作以及長(zhǎng)時(shí)間隱藏網(wǎng)絡(luò)訪問方面的復(fù)雜程度,。網(wǎng)絡(luò)入侵或破壞并不總是會(huì)導(dǎo)致立即可見的網(wǎng)絡(luò)攻擊,。

　　我們太小了，沒人愿意攻擊我們。在當(dāng)前幾乎無限制的網(wǎng)絡(luò)戰(zhàn)環(huán)境中,，每個(gè)組織都在遭受攻擊,，無論他們是否愿意承認(rèn)。在SolarWinds Orion黑客攻擊中,，該公司已通知33,000位客戶,，多達(dá)18,000位用戶下載了包含后門的軟件更新，從而使攻擊者可以訪問網(wǎng)絡(luò),，顯然,，其中包括大型、中型和小型企業(yè)組織,。

　　網(wǎng)絡(luò)攻擊的目標(biāo)是每個(gè)組織,。各種規(guī)模的組織，尤其是關(guān)鍵基礎(chǔ)設(shè)施和流程行業(yè)的組織,，都必須避免成為這些攻擊者的攻擊目標(biāo),。

　　我們有氣隙隔離，因此網(wǎng)絡(luò)安全對(duì)我們來說并不擔(dān)心,。在與OT和ICS運(yùn)營(yíng)人員的對(duì)話中,，氣隙隔離仍然被頻繁的提出。SolarWinds黑客事件導(dǎo)致政府,、國(guó)防,、企業(yè)和關(guān)鍵基礎(chǔ)設(shè)施組織遭受后門惡意軟件的攻擊。事實(shí)證明,，如今幾乎沒有組織存在真正的氣隙隔離,。此外，Mission Secure多年來為世界各地運(yùn)營(yíng)關(guān)鍵資產(chǎn)（如無人機(jī),、油輪,、海上平臺(tái)、煉油廠,、發(fā)電廠,、水處理設(shè)施、交通管理系統(tǒng)等）的客戶進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估的多年經(jīng)驗(yàn)表明,，沒有一個(gè)真正的氣隙隔離,。

　　四、緩解建議

　　2021年開始是時(shí)候關(guān)注OT/ICS環(huán)境中的網(wǎng)絡(luò)攻擊預(yù)防了,。一旦進(jìn)入缺乏細(xì)粒度或零信任訪問控制和微隔離的網(wǎng)絡(luò)的外圍防火墻,，單點(diǎn)安全解決方案就不足以保護(hù)組織最重要的資產(chǎn)免受當(dāng)今的網(wǎng)絡(luò)對(duì)手和威脅的侵害。

　　網(wǎng)絡(luò)安全公司Palo Alto Networks首席執(zhí)行官稱,，每個(gè)企業(yè)和聯(lián)邦機(jī)構(gòu)都需要評(píng)估其網(wǎng)絡(luò)安全,。以下是針對(duì)SolarWinds可能受害者的建議：

　　1,、檢查是否安裝了有后門的SolarWinds版本

　　對(duì)于所有SolarWinds客戶，美國(guó)國(guó)土安全部建議其管轄范圍內(nèi)的所有組織和機(jī)構(gòu)“立即從其網(wǎng)絡(luò)中斷開或關(guān)閉2019.4至2020.2.1 HF1版本的SolarWinds Orion產(chǎn)品”,。在CISA指示受影響的實(shí)體重建Windows操作系統(tǒng)并重新安裝SolarWinds軟件包之前,，禁止代理商將Windows主機(jī)操作系統(tǒng)（重新）加入企業(yè)域。

　　此外,，由于黑客可能會(huì)針對(duì)類似SolarWinds的OT環(huán)境中收集設(shè)備清單的其他工具,，因此建議OT網(wǎng)絡(luò)安全組織與其供應(yīng)商聯(lián)系，要求提供文件,，證明這些清單跟蹤機(jī)制已針對(duì)網(wǎng)絡(luò)和暴力攻擊進(jìn)行加固,。

　　2、實(shí)施基于網(wǎng)絡(luò)的零信任,、微隔離

　　幾乎所有針對(duì)OT/ICS環(huán)境的重大網(wǎng)絡(luò)攻擊都在整個(gè)攻擊鏈中包含了一定程度的外部指揮控制（C2）和偵察或數(shù)據(jù)收集。為了最大限度地減少和/或完全防止這些攻擊技術(shù),，安全人員建議實(shí)施基于網(wǎng)絡(luò)的零信任,、微隔離。

　　基于網(wǎng)絡(luò)的隔離和保護(hù),，可以識(shí)別和阻止外部C2通信以及后續(xù)的網(wǎng)絡(luò)掃描或偵察,，可以防止像SolarWinds事件中Sunburst惡意軟件那樣的感染的影響。

　　此外,，基于網(wǎng)絡(luò)的隔離和保護(hù)可以防止未經(jīng)授權(quán)的OT/ICS協(xié)議通信以及這些技術(shù)存在的大量攻擊選項(xiàng),。由于OT系統(tǒng)具有廣泛的遺留問題，專有和非標(biāo)準(zhǔn)協(xié)議和接口,，因此存在各種各樣的惡意和格式錯(cuò)誤的協(xié)議攻擊,。

　　在OT/ICS網(wǎng)絡(luò)內(nèi)部實(shí)施基于網(wǎng)絡(luò)的隔離和保護(hù)可以消除大量OT威脅，從而有助于阻止OT的網(wǎng)絡(luò)攻擊,。

　　3,、對(duì)關(guān)鍵資產(chǎn)進(jìn)行連續(xù)的信號(hào)完整性監(jiān)控，以防止物理基礎(chǔ)設(shè)施受到網(wǎng)絡(luò)攻擊

　　在OT/ICS環(huán)境中,，最具破壞性的網(wǎng)絡(luò)攻擊首先是通過引入簡(jiǎn)單的惡意軟件（例如SolarWindsSunburst惡意軟件）進(jìn)行的入侵,，但隨后被允許繼續(xù)進(jìn)行，直到實(shí)施某種破壞性物理攻擊為止,。

　　此類物理攻擊的典型示例是十年前的Stuxnet網(wǎng)絡(luò)攻擊,，該攻擊專門用于破壞目標(biāo)基礎(chǔ)結(jié)構(gòu)。達(dá)到此階段的網(wǎng)絡(luò)攻擊會(huì)嚴(yán)重威脅生命,、安全和環(huán)境,。

　　正是出于這個(gè)原因，即使面對(duì)成功的OT網(wǎng)絡(luò)入侵,，研究人員仍建議對(duì)關(guān)鍵的物理資產(chǎn)進(jìn)行連續(xù)的信號(hào)完整性監(jiān)控,，以防止這些災(zāi)難性的后果,。絕對(duì)不允許在物理基礎(chǔ)架構(gòu)上進(jìn)行網(wǎng)絡(luò)攻擊，并且持續(xù)進(jìn)行信號(hào)完整性監(jiān)控旨在防止攻擊和這些后果,。

　　4,、如果檢測(cè)到安裝了后門版本的SolarWinds或相關(guān)的IOC，啟動(dòng)安全事件調(diào)查并啟動(dòng)事件響應(yīng)程序,，同時(shí)考慮所有可能的攻擊向量：

　　● 隔離已知遭到破壞的資產(chǎn),，同時(shí)保持系統(tǒng)的可操作性；

　　● 防止刪除可能對(duì)調(diào)查有用的IOC,；

　　● 檢查所有網(wǎng)絡(luò)日志中是否有可疑的網(wǎng)絡(luò)活動(dòng),；

　　● 檢查系統(tǒng)日志、事件日志和安全日志以進(jìn)行非法的用戶賬戶身份驗(yàn)證,；

　　● 找到可疑的進(jìn)程活動(dòng),，調(diào)查內(nèi)存轉(zhuǎn)儲(chǔ)和相關(guān)文件；

　　● 檢查與可疑活動(dòng)相關(guān)的歷史命令行數(shù)據(jù),。

　　五,、結(jié)論

　　對(duì)于OT和ICS關(guān)鍵基礎(chǔ)設(shè)施和流程行業(yè)公司而言，2020年是艱難的一年,，就像對(duì)我們其他人一樣,。而SolarWinds供應(yīng)鏈攻擊事件，是小型企業(yè)和大型企業(yè)都陷入無限網(wǎng)絡(luò)戰(zhàn)爭(zhēng)環(huán)境的最新示例,。因此,，隨著進(jìn)入新的一年，實(shí)施OT/ICS網(wǎng)絡(luò)攻擊預(yù)防的緊迫感將越來越明顯,。