您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
工業(yè)控制系統(tǒng)攻擊比勒索病毒更加可怕!
前言
遭受網(wǎng)絡(luò)攻擊的制造型企業(yè)往往涉及巨額贖金,以及隨之而來的產(chǎn)線停產(chǎn)和監(jiān)管審查,以下是近幾年發(fā)生的制造業(yè)網(wǎng)絡(luò)攻擊事件,每家企業(yè)都被勒索上百萬美元:
● 2020年,Campari Group,被要求支付1500萬美元贖金
● 2021年,JBS食品公司,被要求支付1100萬美元贖金
● 2020年,Harvest Food Distributors,被要求支付750萬美元贖金
● 2021年,NEW Cooperative 公司,被要求支付590萬美元贖金
● 2021年,Schreiber Foods,被要求支付250萬美元贖金
而上述的例子僅僅是公開披露的冰山一角,根據(jù)第三方統(tǒng)計數(shù)據(jù),從2018年到2023年的5年時間內(nèi),僅食品/飲料行業(yè)一共有157家公司遭受勒索軟件攻擊,造成了13.6億美元的經(jīng)濟損失。
另一個更為嚴重的問題是:勒索軟件雖臭名昭著,但它只影響安裝Windows/Linux系統(tǒng)的IT類主機,且防范方法日漸成熟。而針對產(chǎn)線工業(yè)控制系統(tǒng)的攻擊與勒索軟件相比,不僅少為人知,且其危害性有過之而無不及。
此外,從IT系統(tǒng)發(fā)起的勒索軟件攻擊會打開訪問工業(yè)控制設(shè)備的大門,更槽糕的是,老舊的、未受保護的PLC、SCADA和工業(yè)PC很容易成為攻擊目標,導致產(chǎn)線設(shè)備完全癱瘓,進而影響企業(yè)效益。
工業(yè)控制系統(tǒng)是最佳的攻擊目標
CISA(美國信息安全和基礎(chǔ)設(shè)施安全局)在近期檢測到伊朗針對美國供水和污水處理設(shè)施的攻擊,主要目標為Unitronics PLC,就此問題,2023年11月28日CISA發(fā)布了一系列加固指南,其中包括:
● 更改Unitronics PLC的默認密碼(默認是1111)
● 在遠程訪問產(chǎn)線網(wǎng)絡(luò)時使用多因素驗證技術(shù)
● 斷開PLC和互聯(lián)網(wǎng)的直接或間接連接
Tenable負責OT安全的首席技術(shù)顧問Marty Edwards說:“攻擊PLC和類似的工控系統(tǒng)的事件會越來越常見,其危害性將遠大于勒索病毒”。以水處理設(shè)施為例,可編程邏輯控制器(PLC)是執(zhí)行所有任務(wù)的大腦,黑客如果獲得了PLC的控制權(quán)限,他們就可以打開或關(guān)閉電機和水泵,操縱化學品的投放,寫入軟件程序邏輯炸彈,從而造成供水中斷。
PLC或其他工控系統(tǒng)面臨的問題
德國著名工業(yè)控制系統(tǒng)廠商Festo的信息安全專家Thomas Ruschival指出了PLC的幾項安全隱患:
● PLC在部署時僅考慮了物理安全(鎖在電柜內(nèi)),但從未考慮網(wǎng)絡(luò)層面的安全
● 很多PLC都有默認密碼,而車間工程師通常共享一個用戶賬戶(admin賬戶)
● 在PLC較長的壽命中,固件更新往往不做更新,暴露很多安全漏洞
● 缺少對PLC邏輯控制代碼變更的審核
這些安全隱患的存在是因為PLC在設(shè)計之初從未將信息安全作為考慮的范圍,具備PLC編程知識和程序軟件的任何人都可以對其執(zhí)行程序的上傳、下載、刪除、修改等操作。雖然產(chǎn)線網(wǎng)絡(luò)環(huán)境通常采取物理隔離網(wǎng)絡(luò),但隨著工業(yè)4.0時代的到來,工業(yè)設(shè)備的互聯(lián)互通越來越多,幾乎沒有一個網(wǎng)絡(luò)是真正的物理隔離了,PLC更是無法獨善其身,它的各種信息安全問題也被逐漸暴露出來。
修復關(guān)鍵的產(chǎn)線信息安全問題
對于如何解決PLC的一系列安全問題,IEC 62443也許可以作為不錯的參考,該標準為工控產(chǎn)品制造商、設(shè)計人員和最終用戶提供了明確的信息安全指導和標準實踐,用戶應(yīng)該購買經(jīng)過IEC 62443認證的工控產(chǎn)品,也可以對當前的生產(chǎn)設(shè)施進行認證。
什么是IEC 62443?
ISA/IEC 62443系列 標準規(guī)定了實施和維護工業(yè)自動化和控制系統(tǒng)信息安全的要求和流程。為工業(yè)信息安全設(shè)定了最佳實踐,并提供了評估安全性能水平的方法,它是應(yīng)對工業(yè)網(wǎng)絡(luò)安全挑戰(zhàn)的整體方法,彌合了OT和IT之間信息安全建設(shè)的差距。同時,它為所有行業(yè)都設(shè)定了安全基線,包括智能樓宇、發(fā)電行業(yè)、醫(yī)療設(shè)備、運輸、石油化工等。
參考IEC 62443,用戶在選擇PLC廠商時,可以從以下幾個方面考量產(chǎn)品的安全性:
● 是否將安全性作為PLC的標準設(shè)計,例如安全啟動程序、加密、網(wǎng)絡(luò)訪問規(guī)則
● 是否提供官方安全公告和漏洞補丁,是否提供定期的補丁更新
● 是否采用先進的身份驗證方式(如多因子驗證和RBAC)
● 是否有網(wǎng)絡(luò)通訊安全措施
是否提供PLC安全操作的教育和培訓除此之外,對于已經(jīng)部署的PLC設(shè)備,用戶可以選擇安全可視化監(jiān)控和審計方案對PLC進行持續(xù)的風險感知。
信息安全不是一蹴而就的工作,需要實施必要的解決方案并配合最佳的安全實踐,正如Tenable負責OT安全的首席技術(shù)顧問Marty Edwards所說:“關(guān)鍵基礎(chǔ)設(shè)施和制造業(yè)必須建立分層防御,遵循基本的安全實踐,比如資產(chǎn)清單、漏洞評估,定期更改OT/IoT設(shè)備上的默認密碼,還需要關(guān)注暴露在互聯(lián)網(wǎng)的工業(yè)控制系統(tǒng),因為人們?yōu)榱吮阌谶h程操作或遠程維護,會無意將設(shè)備暴露到了互聯(lián)網(wǎng),但往往沒有充分評估這種行為的風險,企業(yè)應(yīng)該采用外部攻擊面管理(EASM)工具來識別此類資產(chǎn)。”
IDC制造業(yè)市場調(diào)研報告
全球知名市場調(diào)研公司IDC聯(lián)合tenable中國團隊近期發(fā)布了有關(guān)OT安全的Snapshot,詳細闡述了"如何應(yīng)對制造業(yè) OT 安全風險,構(gòu)筑可視化 IT/OT 融合安全環(huán)境"。
隨著數(shù)字技術(shù)的發(fā)展,運營技術(shù)(OT)與信息技術(shù)(IT)加速融合,制造企業(yè)邁向工業(yè)互聯(lián)化。在此大勢下,工業(yè)控制技術(shù)發(fā)展進入“強化發(fā)展期”,工業(yè)互聯(lián)網(wǎng)觸點逐步下沉,助力企業(yè)全面互聯(lián)提速。
“工業(yè)互聯(lián)網(wǎng)”已逐步成為汽車制造、制藥、電力、醫(yī)藥及食品、石油化工等重制造行業(yè)的生產(chǎn)運營中樞。平臺與諸多工業(yè)控制設(shè)備相連接,導致企業(yè)安全的邊界也隨之擴大。脆弱的工業(yè)控制安全環(huán)境成為制約企業(yè)整體安全的最大挑戰(zhàn),“使企業(yè)在安全可視的環(huán)境下生產(chǎn)”已成為企業(yè)的數(shù)字化要務(wù)。
IDC 預(yù)測,到 2026 年,全球工業(yè)安全市場規(guī)模將達到 67.6 億美元,五年復合增長率高達 28.4%。
IDC 認為,當前影響制造企業(yè)OT 安全的三大挑戰(zhàn)分別是:
● 外部攻擊:外部攻擊的持續(xù)發(fā)生對企業(yè)機密數(shù)據(jù)保護構(gòu)成挑戰(zhàn)制造企業(yè)的生產(chǎn)與辦公網(wǎng)絡(luò)往往是分離的,然而生產(chǎn)卻難逃影響;甚至多數(shù)企業(yè)反映,優(yōu)先受到攻擊的是OT 端,而非 IT 端;隨著攻擊手段的增強,網(wǎng)絡(luò)威脅態(tài)勢不容樂觀,面對勒索軟件攻擊,企業(yè)迫切需要加強網(wǎng)絡(luò)與 OT 安全舉措。
● 內(nèi)部病毒:內(nèi)部病毒的橫向傳播和維護的缺乏對工業(yè)控制系統(tǒng)構(gòu)成挑戰(zhàn)企業(yè)的舊系統(tǒng)更易受到“已知 - 未知”漏洞影響;弱密碼與訪問控制不足將加大未授權(quán)訪問對關(guān)鍵 OT 系統(tǒng)的影響;日志記錄和監(jiān)視功能不足,使得及時檢測和異常響應(yīng)變得困難;IT 和 OT 網(wǎng)絡(luò)間的安全分段不足,會增加攻擊者橫向遷移的風險;第三方供應(yīng)商系統(tǒng)不夠安全,將導致正常的商業(yè)互訪變成安全事件。
● 人為操作:在多樣化的工控環(huán)境下,人為操作風險放大 OT 安全挑戰(zhàn)心懷不滿的員工可能成為風險的主要來源,并造成有意或無意的損害;人為操作錯誤(如配置錯誤、密碼設(shè)定不當、沒有更新補丁、沒有報告高風險事件)的發(fā)生將會導致計劃外停機、系統(tǒng)中斷和其他不良后果;員工權(quán)限變化將導致未經(jīng)授權(quán)的訪問,或為惡意活動“留后門”;OT 和 IT 團隊之間的溝通不暢可能滋生誤解,進而導致安全措施難落實。
制造業(yè) OT 安全亟需解決的問題:看不見的 OT 風險許多領(lǐng)先制造企業(yè)已經(jīng)關(guān)注到 OT 安全的重要性,并采取了一定措施降低自身 OT 安全風險。但,根據(jù)IDC 一項調(diào)研結(jié)果顯示,“缺乏資產(chǎn)可視化”是頭部制造企業(yè)最擔心的 OT 安全問題。這意味著,企業(yè)的OT 安全策略仍有較大的優(yōu)化空間。
IDC有關(guān)制造業(yè)OT安全最佳實踐
IDC建議,實施 OT 安全可視化,打造涵蓋事前暴露管理、事中防御、事后響應(yīng)處理的安全閉環(huán),要形成以“主動風險管理”為核心的風險控制理念,應(yīng)在以下五個方面重點投入:
原文來源:Tenable安全