信息來(lái)源：安全內(nèi)參

勒索軟件攻擊仍然是關(guān)鍵基礎(chǔ)設(shè)施部門和運(yùn)營(yíng)技術(shù) (OT) 環(huán)境的噩夢(mèng)。近日，一種稱為物聯(lián)網(wǎng)勒索軟件或R4IoT方法的新攻擊浮出水面。概念驗(yàn)證(PoC)揭示了網(wǎng)絡(luò)犯罪分子日益復(fù)雜的行為，因?yàn)樗麄儗?IT、物聯(lián)網(wǎng)和OT環(huán)境串聯(lián)在一起，形成了一個(gè)巨大的攻擊視圖。在數(shù)字化轉(zhuǎn)型競(jìng)爭(zhēng)優(yōu)勢(shì)的推動(dòng)下，越來(lái)越多的工業(yè)企業(yè)正在將以前孤立的運(yùn)營(yíng)技術(shù) (OT) 連接到企業(yè)IT網(wǎng)絡(luò)，同時(shí)還將新的物聯(lián)網(wǎng)和工業(yè)物聯(lián)網(wǎng)資產(chǎn)引入這些融合的OT/IT環(huán)境。這導(dǎo)致工業(yè)系統(tǒng)越來(lái)越容易受到新型網(wǎng)絡(luò)威脅的影響，對(duì)物理安全和環(huán)境產(chǎn)生嚴(yán)重影響。這些威脅的性質(zhì)和規(guī)模意味著工業(yè)系統(tǒng)運(yùn)營(yíng)者無(wú)法獨(dú)立應(yīng)對(duì)，對(duì)抗類似R4IoT方法的攻擊必須成為工業(yè)過(guò)程各個(gè)方面的優(yōu)先事項(xiàng)。

Forescout Technologies的Vedere Labs展示了下一代勒索軟件如何利用物聯(lián)網(wǎng)設(shè)備進(jìn)行初始訪問(wèn)，利用部署加密礦工和數(shù)據(jù)泄露來(lái)攻擊IT設(shè)備，并利用不良的OT安全實(shí)踐對(duì)業(yè)務(wù)運(yùn)營(yíng)造成物理中斷（例如破壞PLC）。通過(guò)破壞IoT、IT和OT 資產(chǎn)，R4IoT方法超越了通常的加密和數(shù)據(jù)泄露，從而導(dǎo)致業(yè)務(wù)運(yùn)營(yíng)的物理中斷。

一旦域控制器處于黑客的控制之下，他們將能夠?qū)⑵湮淦骰赃M(jìn)行大規(guī)模的惡意軟件部署并建立他們的命令和控制（C＆C）通道?；旧希谶@個(gè)階段，組織資產(chǎn)、流程和網(wǎng)絡(luò)的布局就像一張自助餐桌，用于贖金或破壞。鑒于此類威脅可能造成的嚴(yán)重的破壞程度，R4IoT方法被描述為下一代勒索軟件。

此類威脅在OT環(huán)境中被進(jìn)一步放大，由于OT中運(yùn)行傳統(tǒng)設(shè)備，這些設(shè)備通?？赡芤呀?jīng)過(guò)時(shí)、停止系統(tǒng)更新服務(wù)、報(bào)廢和/或沒(méi)有足夠的安全補(bǔ)丁。此外，黑客可以利用運(yùn)營(yíng)設(shè)施內(nèi)向數(shù)字化轉(zhuǎn)型的轉(zhuǎn)變，從而使工業(yè)控制系統(tǒng) (ICS) 環(huán)境極易受到網(wǎng)絡(luò)威脅。

今年早些時(shí)候，工業(yè)網(wǎng)絡(luò)安全公司Dragos報(bào)告稱，隨著ICS/OT 系統(tǒng)的數(shù)字化轉(zhuǎn)型，漏洞和勒索軟件有所增加。此外，它分析2021年對(duì)于勒索軟件團(tuán)伙及其附屬機(jī)構(gòu)來(lái)說(shuō)是關(guān)鍵的一年，勒索軟件成為工業(yè)領(lǐng)域入侵的頭號(hào)原因。

在ICS和OT網(wǎng)絡(luò)安全方面，構(gòu)建安全的設(shè)計(jì)以彌補(bǔ)因在這些運(yùn)營(yíng)環(huán)境中添加工業(yè)物聯(lián)網(wǎng)設(shè)備而增加的網(wǎng)絡(luò)攻擊面是非常重要的。必須立即在整個(gè)組織中采用諸如零信任和嚴(yán)格采用對(duì)員工、供應(yīng)商、運(yùn)營(yíng)商、集成商和各種第三方的特權(quán)遠(yuǎn)程訪問(wèn)等技術(shù)。

分析人士評(píng)估，雖然大多數(shù)行業(yè)的組織已經(jīng)關(guān)注網(wǎng)絡(luò)安全一段時(shí)間，但其方法的成熟度并高。2021年，麥肯錫估計(jì)了多個(gè)行業(yè)領(lǐng)域100多家公司和機(jī)構(gòu)的網(wǎng)絡(luò)安全成熟度水平，并了解到，雖然銀行和醫(yī)療保健領(lǐng)域的一些公司和機(jī)構(gòu)取得了相當(dāng)大的進(jìn)步，但所有行業(yè)的大多數(shù)組織在保護(hù)他們的信息資產(chǎn)免受威脅和攻擊方面，仍然面臨較大的困難。

Industrial Cyber聯(lián)系了專家，討論了關(guān)鍵基礎(chǔ)設(shè)施部門必須采取的應(yīng)對(duì)措施，以保護(hù)其業(yè)務(wù)環(huán)境并加強(qiáng)其網(wǎng)絡(luò)安全立場(chǎng)，以應(yīng)對(duì)傳統(tǒng)勒索軟件的復(fù)雜性和范圍不可避免地增加，正如R4IoT方法所證明的那樣。

Xage Security聯(lián)合創(chuàng)始人兼產(chǎn)品副總裁Roman Arutyunov

Roman Arutyunov表示：“隨著勒索軟件即服務(wù)(RaaS)的興起，勒索軟件攻擊者變得越來(lái)越復(fù)雜，攻擊本身對(duì)運(yùn)營(yíng)和平民的破壞性也越來(lái)越大”?！坝捎赗4IoT方法會(huì)危害IoT、IT和OT 資產(chǎn)，因此這些攻擊會(huì)導(dǎo)致業(yè)務(wù)運(yùn)營(yíng)的物理中斷——例如 Colonial Pipeline和JBS等備受矚目的案例?！?

然而，Arutyunov表示，關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域仍有希望，而希望在于零信任安全戰(zhàn)略?！斑@種主動(dòng)的、基于身份的安全架構(gòu)——與傳統(tǒng)的基于邊界的檢測(cè)和響應(yīng)模型（勒索軟件可以輕松突破）相比——確保任何初始攻擊向量通過(guò)非托管憑證和暴露的不安全協(xié)議對(duì) IT 或物聯(lián)網(wǎng)資產(chǎn)進(jìn)行攻擊受到限制和孤立，無(wú)法滲入運(yùn)營(yíng)并造成破壞，”他補(bǔ)充說(shuō)。

Arutyunov說(shuō)，換句話說(shuō)，在零信任的情況下，惡意軟件無(wú)法從IT/IoT傳播到 OT，從而確保沒(méi)有攻擊者可以在訪問(wèn)網(wǎng)絡(luò)的某個(gè)部分時(shí)利用任何網(wǎng)絡(luò)弱點(diǎn)。他補(bǔ)充說(shuō)：“對(duì)于石油和天然氣、公用事業(yè)和能源等現(xiàn)代化速度較慢的行業(yè)的公司來(lái)說(shuō)，零信任尤其重要?！?

TXOne Networks首席執(zhí)行官Terence Liu

Terence Liu告訴Industrial Cyber ：“很難否認(rèn)整個(gè)威脅領(lǐng)域正在迅速發(fā)展?！?“在工作場(chǎng)所環(huán)境中采用新技術(shù)和設(shè)備只是經(jīng)常引入更多攻擊面的一個(gè)因素——我們認(rèn)為，在當(dāng)前網(wǎng)絡(luò)威脅時(shí)代的關(guān)鍵問(wèn)題是，使用最新的物聯(lián)網(wǎng)資產(chǎn)保護(hù)補(bǔ)丁在 OT環(huán)境中具有挑戰(zhàn)性?！?

劉還表示，有一件事是肯定的——黑客當(dāng)前使用的戰(zhàn)術(shù)、技術(shù)和程序 (TTP) 組合使得網(wǎng)絡(luò)安全成為任何資產(chǎn)所有者都難以維護(hù)的標(biāo)準(zhǔn)。

“現(xiàn)代化網(wǎng)絡(luò)攻擊的發(fā)展受兩個(gè)主要因素的推動(dòng)——比特幣的普及，以及勒索軟件即服務(wù) (RaaS)的擴(kuò)散，”劉說(shuō)?！坝捎谶@兩個(gè)觸發(fā)點(diǎn)，基于暗網(wǎng)RaaS行業(yè)的有組織犯罪現(xiàn)在推動(dòng)了針對(duì)組織的網(wǎng)絡(luò)攻擊數(shù)量的快速發(fā)展。大額贖金支付是更復(fù)雜攻擊的驅(qū)動(dòng)力，例如利用零日漏洞或協(xié)議和法規(guī)的垂直特定知識(shí)的攻擊。我們發(fā)現(xiàn)勒索軟件攻擊的范圍在穩(wěn)步增加，不幸的是，這并沒(méi)有放緩的跡象，”他補(bǔ)充說(shuō)。

鑒于關(guān)鍵基礎(chǔ)設(shè)施部門中存在遺留資產(chǎn)，通常在沒(méi)有適當(dāng)保護(hù)的情況下運(yùn)行，無(wú)論是在端點(diǎn)（檢查和鎖定）還是網(wǎng)絡(luò)（分段和虛擬補(bǔ)?。┘?jí)別，遺留資產(chǎn)就像瑞士奶酪——充滿明顯的漏洞，或者“已知漏洞”，攻擊者可以輕松查看和利用這些漏洞。

“應(yīng)對(duì)這些復(fù)雜的攻擊需要多層保護(hù)，包括檢測(cè)和響應(yīng)策略，以在不影響生產(chǎn)力的情況下降低風(fēng)險(xiǎn)并防止網(wǎng)絡(luò)事件，”劉補(bǔ)充道。

在確定適當(dāng)?shù)木W(wǎng)絡(luò)分段和NIST網(wǎng)絡(luò)安全框架和零信任架構(gòu)的利用是否可以防止關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域內(nèi)的網(wǎng)絡(luò)安全事件（例如R4IoT方法）時(shí)，Arutyunov同意零信任架構(gòu)和適當(dāng)?shù)木W(wǎng)絡(luò)分段在以下方面非常有效防止勒索軟件攻擊。

“由于零信任將每臺(tái)機(jī)器、應(yīng)用程序、用戶、數(shù)據(jù)流和其他資產(chǎn)的身份視為其自己的獨(dú)立‘邊界’，因此運(yùn)營(yíng)商可以訪問(wèn)高度精細(xì)的訪問(wèn)策略執(zhí)行，即使黑客受到攻擊，也能確保繼續(xù)執(zhí)行嚴(yán)格的安全驗(yàn)證。最初成功地進(jìn)入了 IT 資產(chǎn)，”Arutyunov說(shuō)道?！癗IST和美國(guó)聯(lián)邦政府（即拜登政府的2021年行政命令）已經(jīng)證明了它的功效，”他補(bǔ)充說(shuō)。

Arutyunov表示，與普遍看法相反，零信任可以快速、經(jīng)濟(jì)高效且易于實(shí)施。他補(bǔ)充說(shuō)：“關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)實(shí)施的大部分延遲不是由于技術(shù)本身的細(xì)節(jié)，而是基于錯(cuò)誤信息的對(duì)采用新方法的懷疑?！?

“老實(shí)說(shuō)，目前擺在桌面上的任何解決方案或方法都不能保證100%防止網(wǎng)絡(luò)攻擊，”TXOne的Liu說(shuō)。“相反，組織必須專注于降低風(fēng)險(xiǎn)并提高使用現(xiàn)實(shí)世界實(shí)踐的潛在攻擊者的難度級(jí)別。這也是為什么提供從端點(diǎn)到網(wǎng)絡(luò)的多層保護(hù)的產(chǎn)品都遵循零信任架構(gòu)和NIST網(wǎng)絡(luò)安全框架的原因，無(wú)論它們是用于IT還是OT用例，”他補(bǔ)充道。

不僅如此，劉說(shuō)，NIST網(wǎng)絡(luò)安全框架解決了一個(gè)組織可以在多長(zhǎng)時(shí)間內(nèi)檢測(cè)到違規(guī)或事件，以及如何減少影響、如何恢復(fù)以及對(duì)網(wǎng)絡(luò)安全事件的彈性的定義。

Liu指出，在OT環(huán)境中成功的網(wǎng)絡(luò)安全部署通常由三個(gè)要求定義——部署后不會(huì)影響運(yùn)營(yíng)，不會(huì)顯著增加管理網(wǎng)絡(luò)安全的人員數(shù)量，以及當(dāng)攻擊者來(lái)襲時(shí)，部署將減少對(duì)業(yè)務(wù)的影響.。“因此，通常在不同的OT環(huán)境中，我們建議我們的客戶從小規(guī)模部署開始，以確保前兩個(gè)元素在大規(guī)模部署之前發(fā)揮作用，”他補(bǔ)充道。

Arutyunov定義了關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)所有者和運(yùn)營(yíng)商能夠在多大程度上抵御日益復(fù)雜的對(duì)抗性攻擊和技術(shù)，例如 R4IoT方法，Arutyunov表示，通過(guò)主動(dòng)、零信任的方法，關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商可以充分防御自己抵御新的勒索軟件威脅，例如R4IoT。

“真正的零信任架構(gòu)允許運(yùn)營(yíng)商從源頭上完全阻止黑客或隔離他們以防止他們破壞運(yùn)營(yíng)，”Arutyunov說(shuō)?！凹词购诳偷牟呗匝杆侔l(fā)展，基于身份的零信任方法也將適應(yīng)新環(huán)境，同時(shí)考慮位置、重復(fù)訪問(wèn)失敗和漏洞級(jí)別等參數(shù)以防止攻擊，”他補(bǔ)充說(shuō)。

劉說(shuō)，通過(guò)準(zhǔn)備，關(guān)鍵基礎(chǔ)設(shè)施資產(chǎn)所有者和運(yùn)營(yíng)商可以抵御日益復(fù)雜的對(duì)抗性攻擊和技術(shù)?！靶枨蠛筒樵兺ǔＳ擅襟w中的重大事件推動(dòng)——加強(qiáng)網(wǎng)絡(luò)防御和安全的時(shí)機(jī)沒(méi)有錯(cuò)，但當(dāng)事件發(fā)生時(shí)，要想在業(yè)務(wù)影響上占上風(fēng)可能為時(shí)已晚，”他加了。

劉說(shuō)， “我們認(rèn)為防止災(zāi)難性網(wǎng)絡(luò)事件向前邁出一大步的趨勢(shì)是，許多組織最近致力于大力推動(dòng)更好的監(jiān)管，尤其是在去年5月的殖民管道攻擊之后。” “我們還看到，對(duì)OT網(wǎng)絡(luò)安全的認(rèn)識(shí)和需求正在增加，而且更多的預(yù)算實(shí)際上是由決策者或高層管理人員贊助的，他們已經(jīng)明白網(wǎng)絡(luò)安全是任何組織的基礎(chǔ)風(fēng)險(xiǎn)控制。”

“從我們的角度來(lái)看，大多數(shù)資產(chǎn)所有者和運(yùn)營(yíng)商現(xiàn)在都在尋找可以在其垂直領(lǐng)域參考和采用的最佳實(shí)踐和成功案例，”劉說(shuō)?！拔覀冞€與全球系統(tǒng)集成商 (GSI) 密切合作，貢獻(xiàn)知識(shí)以降低資產(chǎn)所有者的進(jìn)入門檻，”劉總結(jié)道。