威脅參與者如何進(jìn)入OT系統(tǒng)

余梁

過(guò)去，網(wǎng)絡(luò)攻擊者在很大程度上忽略了操作技術(shù)（OT）系統(tǒng)，例如工業(yè)控制系統(tǒng)和SCADA系統(tǒng)，因?yàn)楹茈y獲得專有信息，或者OT系統(tǒng)未連接到外部網(wǎng)絡(luò)且數(shù)據(jù)不易滲透。

今天，許多工業(yè)系統(tǒng)都連接到公司網(wǎng)絡(luò)，可以訪問互聯(lián)網(wǎng)，并使用從傳感器獲得的數(shù)據(jù)和大數(shù)據(jù)分析來(lái)改進(jìn)運(yùn)營(yíng)。但是，OT和IT的這種融合和集成導(dǎo)致了越來(lái)越多的網(wǎng)絡(luò)風(fēng)險(xiǎn)。

OT世界中的網(wǎng)絡(luò)安全威脅與IT不同，因?yàn)槠溆绊懖粌H僅是數(shù)據(jù)丟失、聲譽(yù)受損或客戶信任度下降，OT網(wǎng)絡(luò)安全事件可能導(dǎo)致生產(chǎn)損失、設(shè)備損壞和環(huán)境污染。保護(hù)OT免受網(wǎng)絡(luò)攻擊需要一套不同于保護(hù)IT的工具和策略，讓我們看看網(wǎng)絡(luò)安全威脅通常是如何進(jìn)入OT的。

進(jìn)入OT的主要媒介

惡意軟件可以通過(guò)網(wǎng)絡(luò)或可移動(dòng)的媒體和設(shè)備這2種主要媒介進(jìn)入OT環(huán)境中。

攻擊者可以通過(guò)路由跨過(guò)網(wǎng)絡(luò)的防火墻進(jìn)入OT系統(tǒng)。適當(dāng)?shù)腛T網(wǎng)絡(luò)最佳實(shí)踐，如網(wǎng)絡(luò)分段、強(qiáng)身份驗(yàn)證和多個(gè)防火墻區(qū)域，可以大大防止網(wǎng)絡(luò)事件。

BlackEnergy惡意軟件首次在有針對(duì)性的網(wǎng)絡(luò)攻擊中使用，通過(guò)向網(wǎng)絡(luò)IT端用戶發(fā)送魚叉式網(wǎng)絡(luò)釣魚電子郵件危害了一家電力公司。從那里，威脅行為者能夠轉(zhuǎn)向關(guān)鍵的OT網(wǎng)絡(luò)，并使用SCADA系統(tǒng)打開變電站中的斷路器。據(jù)報(bào)道，這次襲擊導(dǎo)致超過(guò)200 000人在冬季斷電6小時(shí)。

雖然“sneakernet”可能是新的或聽起來(lái)很尷尬，但它是指USB存儲(chǔ)設(shè)備和軟盤等設(shè)備可用于將信息和威脅上傳到關(guān)鍵的OT網(wǎng)絡(luò)和系統(tǒng)中，只需網(wǎng)絡(luò)攻擊者帶它們進(jìn)入設(shè)施，并將它們連接到適用的系統(tǒng)。

USB設(shè)備繼續(xù)帶來(lái)挑戰(zhàn)，尤其是當(dāng)組織越來(lái)越依賴這些便攜式存儲(chǔ)設(shè)備來(lái)傳輸補(bǔ)丁、收集日志時(shí)。USB通常是鍵盤和鼠標(biāo)支持的唯一接口，因此無(wú)法禁用。黑客會(huì)在他們所針對(duì)的設(shè)施內(nèi)和周圍植入受感染的USB驅(qū)動(dòng)器，員工有時(shí)會(huì)發(fā)現(xiàn)這些受驅(qū)動(dòng)器并將它們插入系統(tǒng)，因?yàn)檫@是確定驅(qū)動(dòng)器上的內(nèi)容的唯一方法，即使沒有任何標(biāo)簽（如：財(cái)務(wù)業(yè)績(jī)或員工人數(shù)變化）。

Stuxnet可能是最臭名昭著的惡意軟件被USB帶入隔離設(shè)施的例子。這種極其專業(yè)和復(fù)雜的計(jì)算機(jī)蠕蟲被上傳到一個(gè)設(shè)施中，以改變可編程邏輯控制器（PLC）的編程。最終結(jié)果是離心機(jī)旋轉(zhuǎn)太快太久，最終導(dǎo)致設(shè)備物理?yè)p壞。

現(xiàn)在，生產(chǎn)環(huán)境比以往任何時(shí)候都容易面臨來(lái)自惡意USB設(shè)備的網(wǎng)絡(luò)安全威脅，這些設(shè)備能夠繞過(guò)保護(hù)措施從內(nèi)部中斷操作?！?021年霍尼韋爾工業(yè)網(wǎng)絡(luò)安全USB威脅報(bào)告》發(fā)現(xiàn)，從USB設(shè)備檢測(cè)到的威脅中有79 %有可能導(dǎo)致OT中斷，包括失去監(jiān)視和控制。

同一份報(bào)告發(fā)現(xiàn)USB的使用增加了30 %，而其中51 %的USB威脅試圖遠(yuǎn)程訪問受保護(hù)的設(shè)施?；裟犴f爾審查了2020年來(lái)自其全球分析研究與防御（GARD）引擎的匿名數(shù)據(jù)，該引擎分析基于文件的內(nèi)容，驗(yàn)證每個(gè)文件，并檢測(cè)通過(guò)USB傳入或傳出實(shí)際OT系統(tǒng)的惡意軟件威脅。

TRITON是第一個(gè)被記錄的惡意軟件，旨在攻擊生產(chǎn)設(shè)施中的安全系統(tǒng)。安全儀表系統(tǒng)（SIS）是工業(yè)設(shè)施自動(dòng)化安全防御的最后一道防線，旨在防止設(shè)備故障、爆炸或火災(zāi)等災(zāi)難性事故。攻擊者首先滲透到IT網(wǎng)絡(luò)，再通過(guò)2種環(huán)境均可訪問的系統(tǒng)轉(zhuǎn)移到OT網(wǎng)絡(luò)。一旦進(jìn)入OT網(wǎng)絡(luò)，黑客就會(huì)使用TRITON惡意軟件感染SIS的工程工作站。最終結(jié)果是SIS可能會(huì)被關(guān)閉，并使生產(chǎn)設(shè)施內(nèi)的人員處于危險(xiǎn)之中。

物理設(shè)備也可能導(dǎo)致網(wǎng)絡(luò)事件

我們需要注意的不僅僅是基于內(nèi)容的威脅，鼠標(biāo)、電纜或其他設(shè)備也可以成為對(duì)抗OT的武器。

2019年，惡意行為者將目標(biāo)鎖定在有權(quán)訪問控制網(wǎng)絡(luò)的受信任人，該授權(quán)用戶在不知不覺中將真正的鼠標(biāo)換成了武器化鼠標(biāo)，一旦連接到關(guān)鍵網(wǎng)絡(luò)，其他人就會(huì)從遠(yuǎn)程位置控制計(jì)算機(jī)并啟動(dòng)勒索軟件。

發(fā)電廠支付了贖金，然而，他們沒有取回他們的文件，不得不重建，影響了3個(gè)月的運(yùn)行。在使用設(shè)備之前，必須了解設(shè)備的來(lái)源。

抵御網(wǎng)絡(luò)威脅的步驟

首先，定期檢查網(wǎng)絡(luò)安全策略、政策和工具，以掌握這些威脅；其次，USB的使用威脅正在上升，因此評(píng)估您的OT操作風(fēng)險(xiǎn)以及當(dāng)前USB設(shè)備、端口及其控制保護(hù)措施的有效性非常重要。

最后一點(diǎn)是，強(qiáng)烈建議采用縱深防御策略。該策略應(yīng)分為OT網(wǎng)絡(luò)安全工具和策略，為組織提供最佳機(jī)會(huì)，使其免受到不斷變化的網(wǎng)絡(luò)威脅的侵害。