過去，網(wǎng)絡(luò)攻擊者在很大程度上忽略了操作技術(shù)(OT)系統(tǒng)，例如工業(yè)控制系統(tǒng)和 SCADA 系統(tǒng)，因?yàn)楹茈y獲得專有信息，或者 OT 系統(tǒng)未連接到外部網(wǎng)絡(luò)且數(shù)據(jù)不易滲透。

[[437701]]

但現(xiàn)在已經(jīng)不是這樣了。今天，許多工業(yè)系統(tǒng)都連接到公司網(wǎng)絡(luò)，可以訪問互聯(lián)網(wǎng)，并使用從連接的傳感器和大數(shù)據(jù)分析的一切來改進(jìn)運(yùn)營。OT 和 IT 的這種融合和集成導(dǎo)致了越來越多的網(wǎng)絡(luò)風(fēng)險(xiǎn)，包括跨 IT 和 OT 的有效和有影響的網(wǎng)絡(luò)事件。

OT 世界中的網(wǎng)絡(luò)安全威脅與 IT 不同，因?yàn)槠溆绊懖粌H僅是數(shù)據(jù)丟失、聲譽(yù)受損或客戶信任度下降。OT 網(wǎng)絡(luò)安全事件可能導(dǎo)致生產(chǎn)損失、設(shè)備損壞和環(huán)境泄漏。保護(hù) OT 免受網(wǎng)絡(luò)攻擊需要一套不同于保護(hù) IT 的工具和策略。讓我們看看網(wǎng)絡(luò)安全威脅通常如何進(jìn)入 OT 的受保護(hù)環(huán)境。

進(jìn)入 OT 的主要媒介

惡意軟件可以通過兩種主要媒介進(jìn)入 OT 環(huán)境中的安全生產(chǎn)設(shè)施：通過網(wǎng)絡(luò)或通過可移動(dòng)媒體和設(shè)備。

攻擊者可以通過跨可路由網(wǎng)絡(luò)的防火墻利用網(wǎng)絡(luò)資產(chǎn)進(jìn)入 OT 系統(tǒng)。適當(dāng)?shù)?OT 網(wǎng)絡(luò)最佳實(shí)踐，如網(wǎng)絡(luò)分段、強(qiáng)身份驗(yàn)證和多個(gè)防火墻區(qū)域，可以大大有助于防止網(wǎng)絡(luò)事件。

BlackEnergy 惡意軟件在首次記錄的針對(duì)電網(wǎng)的有針對(duì)性的網(wǎng)絡(luò)攻擊中使用，它通過向網(wǎng)絡(luò) IT 端用戶發(fā)送魚叉式網(wǎng)絡(luò)釣魚電子郵件危害了一家電力公司。從那里，威脅行為者能夠轉(zhuǎn)向關(guān)鍵的 OT 網(wǎng)絡(luò)，并使用 SCADA 系統(tǒng)打開變電站中的斷路器。據(jù)報(bào)道，這次襲擊導(dǎo)致超過 200,000 人在冬季斷電六個(gè)小時(shí)。

雖然“sneakernet”這個(gè)詞可能是新的或聽起來很尷尬，但它指的是這樣一個(gè)事實(shí)，即 USB 存儲(chǔ)設(shè)備和軟盤等設(shè)備可用于將信息和威脅上傳到關(guān)鍵的 OT 網(wǎng)絡(luò)和氣隙系統(tǒng)中，只需網(wǎng)絡(luò)攻擊者親自攜帶它們進(jìn)入設(shè)施并將它們連接到適用的系統(tǒng)。

USB 設(shè)備繼續(xù)帶來挑戰(zhàn)，尤其是當(dāng)組織越來越依賴這些便攜式存儲(chǔ)設(shè)備來傳輸補(bǔ)丁、收集日志等時(shí)。USB 通常是鍵盤和鼠標(biāo)支持的唯一接口，因此無法禁用它，從而啟用備用 USB 端口。因此，存在在我們?cè)噲D保護(hù)的機(jī)器上插入外來設(shè)備的風(fēng)險(xiǎn)。眾所周知，黑客會(huì)在他們所針對(duì)的設(shè)施內(nèi)和周圍植入受感染的 USB 驅(qū)動(dòng)器。員工有時(shí)會(huì)發(fā)現(xiàn)這些受損的驅(qū)動(dòng)器并將它們插入系統(tǒng)，因?yàn)檫@是確定其中一個(gè)驅(qū)動(dòng)器上的內(nèi)容的唯一方法——即使沒有任何標(biāo)簽，如“財(cái)務(wù)業(yè)績”或“員工人數(shù)變化”。

Stuxnet 可能是最臭名昭著的惡意軟件被 USB 帶入隔離設(shè)施的例子。這種極其專業(yè)和復(fù)雜的計(jì)算機(jī)蠕蟲被上傳到一個(gè)氣隙核設(shè)施中，以改變可編程邏輯控制器 (PLC) 的編程。最終結(jié)果是離心機(jī)旋轉(zhuǎn)太快太久，最終導(dǎo)致設(shè)備物理損壞。

現(xiàn)在，生產(chǎn)環(huán)境比以往任何時(shí)候都面臨來自惡意 USB 設(shè)備的網(wǎng)絡(luò)安全威脅，這些設(shè)備能夠繞過氣隙和其他保護(hù)措施從內(nèi)部中斷操作?！?021 年霍尼韋爾工業(yè)網(wǎng)絡(luò)安全 USB 威脅報(bào)告》發(fā)現(xiàn)，從 USB 設(shè)備檢測到的威脅中有 79% 有可能導(dǎo)致 OT 中斷，包括失去視野和失去控制。

同一份報(bào)告發(fā)現(xiàn) USB 的使用增加了 30%，而其中許多 USB 威脅 (51%) 試圖遠(yuǎn)程訪問受保護(hù)的氣密設(shè)施?；裟犴f爾審查了 2020 年來自其全球分析研究與防御 (GARD) 引擎的匿名數(shù)據(jù)，該引擎分析基于文件的內(nèi)容，驗(yàn)證每個(gè)文件，并檢測通過 USB 傳入或傳出實(shí)際 OT 系統(tǒng)的惡意軟件威脅。

TRITON 是第一個(gè)被記錄使用的惡意軟件，旨在攻擊生產(chǎn)設(shè)施中的安全系統(tǒng)。安全儀表系統(tǒng) (SIS) 是工業(yè)設(shè)施自動(dòng)化安全防御的最后一道防線，旨在防止設(shè)備故障和爆炸或火災(zāi)等災(zāi)難性事故。攻擊者首先滲透到 IT 網(wǎng)絡(luò)，然后再通過兩種環(huán)境均可訪問的系統(tǒng)轉(zhuǎn)移到 OT 網(wǎng)絡(luò)。一旦進(jìn)入 OT 網(wǎng)絡(luò)，黑客就會(huì)使用 TRITON 惡意軟件感染 SIS 的工程工作站。TRITON 的最終結(jié)果是 SIS 可能會(huì)被關(guān)閉，并使生產(chǎn)設(shè)施內(nèi)的人員處于危險(xiǎn)之中。

物理設(shè)備也可能導(dǎo)致網(wǎng)絡(luò)事件

我們需要注意的不僅僅是基于內(nèi)容的威脅。鼠標(biāo)、電纜或其他設(shè)備也可以成為對(duì)抗 OT 的武器。

2019 年，惡意行為者將目標(biāo)鎖定在有權(quán)訪問控制網(wǎng)絡(luò)的受信任人。該授權(quán)用戶在不知不覺中將真正的鼠標(biāo)換成了武器化鼠標(biāo)。一旦連接到關(guān)鍵網(wǎng)絡(luò)，其他人就會(huì)從遠(yuǎn)程位置控制計(jì)算機(jī)并啟動(dòng)勒索軟件。

發(fā)電廠支付了贖金;然而，他們沒有取回他們的文件，不得不重建，影響了三個(gè)月的設(shè)施。在使用設(shè)備之前，您必須了解設(shè)備的來源。

抵御網(wǎng)絡(luò)威脅的三個(gè)步驟

網(wǎng)絡(luò)威脅不斷演變。首先，定期檢查您的網(wǎng)絡(luò)安全策略、政策和工具，以掌握這些威脅。其次，USB 使用威脅正在上升，因此評(píng)估您的 OT 操作風(fēng)險(xiǎn)以及您當(dāng)前對(duì) USB 設(shè)備、端口及其控制的保護(hù)措施的有效性非常重要。

最后但并非最不重要的一點(diǎn)是，強(qiáng)烈建議采用縱深防御策略。該策略應(yīng)分層 OT 網(wǎng)絡(luò)安全工具和策略，為您的組織提供最佳機(jī)會(huì)，使其免受不斷變化的網(wǎng)絡(luò)威脅的侵害。