过去,网络攻击者在很大程度上忽略了操作技术(OT)系统,例如工业控制系统和 SCADA 系统,因为很难获得专有信息,或者 OT 系统未连接到外部网络且数据不易渗透。
但现在已经不是这样了。今天,许多工业系统都连接到公司网络,可以访问互联网,并使用从连接的传感器和大数据分析的一切来改进运营。OT 和 IT 的这种融合和集成导致了越来越多的网络风险,包括跨 IT 和 OT 的有效和有影响的网络事件。
OT 世界中的网络安全威胁与 IT 不同,因为其影响不仅仅是数据丢失、声誉受损或客户信任度下降。OT 网络安全事件可能导致生产损失、设备损坏和环境泄漏。保护 OT 免受网络攻击需要一套不同于保护 IT 的工具和策略。让我们看看网络安全威胁通常如何进入 OT 的受保护环境。
进入 OT 的主要媒介
恶意软件可以通过两种主要媒介进入 OT 环境中的安全生产设施:通过网络或通过可移动媒体和设备。
攻击者可以通过跨可路由网络的防火墙利用网络资产进入 OT 系统。适当的 OT 网络最佳实践,如网络分段、强身份验证和多个防火墙区域,可以大大有助于防止网络事件。
BlackEnergy 恶意软件在首次记录的针对电网的有针对性的网络攻击中使用,它通过向网络 IT 端用户发送鱼叉式网络钓鱼电子邮件危害了一家电力公司。从那里,威胁行为者能够转向关键的 OT 网络,并使用 SCADA 系统打开变电站中的断路器。据报道,这次袭击导致超过 200,000 人在冬季断电六个小时。
虽然“sneakernet”这个词可能是新的或听起来很尴尬,但它指的是这样一个事实,即 USB 存储设备和软盘等设备可用于将信息和威胁上传到关键的 OT 网络和气隙系统中,只需网络攻击者亲自携带它们进入设施并将它们连接到适用的系统。
USB 设备继续带来挑战,尤其是当组织越来越依赖这些便携式存储设备来传输补丁、收集日志等时。USB 通常是键盘和鼠标支持的唯一接口,因此无法禁用它,从而启用备用 USB 端口。因此,存在在我们试图保护的机器上插入外来设备的风险。众所周知,黑客会在他们所针对的设施内和周围植入受感染的 USB 驱动器。员工有时会发现这些受损的驱动器并将它们插入系统,因为这是确定其中一个驱动器上的内容的唯一方法——即使没有任何标签,如“财务业绩”或“员工人数变化”。
Stuxnet 可能是最臭名昭著的恶意软件被 USB 带入隔离设施的例子。这种极其专业和复杂的计算机蠕虫被上传到一个气隙核设施中,以改变可编程逻辑控制器 (PLC) 的编程。最终结果是离心机旋转太快太久,最终导致设备物理损坏。
现在,生产环境比以往任何时候都面临来自恶意 USB 设备的网络安全威胁,这些设备能够绕过气隙和其他保护措施从内部中断操作。《2021 年霍尼韦尔工业网络安全 USB 威胁报告》发现,从 USB 设备检测到的威胁中有 79% 有可能导致 OT 中断,包括失去视野和失去控制。
同一份报告发现 USB 的使用增加了 30%,而其中许多 USB 威胁 (51%) 试图远程访问受保护的气密设施。霍尼韦尔审查了 2020 年来自其全球分析研究与防御 (GARD) 引擎的匿名数据,该引擎分析基于文件的内容,验证每个文件,并检测通过 USB 传入或传出实际 OT 系统的恶意软件威胁。
TRITON 是第一个被记录使用的恶意软件,旨在攻击生产设施中的安全系统。安全仪表系统 (SIS) 是工业设施自动化安全防御的最后一道防线,旨在防止设备故障和爆炸或火灾等灾难性事故。攻击者首先渗透到 IT 网络,然后再通过两种环境均可访问的系统转移到 OT 网络。一旦进入 OT 网络,黑客就会使用 TRITON 恶意软件感染 SIS 的工程工作站。TRITON 的最终结果是 SIS 可能会被关闭,并使生产设施内的人员处于危险之中。
物理设备也可能导致网络事件
我们需要注意的不仅仅是基于内容的威胁。鼠标、电缆或其他设备也可以成为对抗 OT 的武器。
2019 年,恶意行为者将目标锁定在有权访问控制网络的受信任人。该授权用户在不知不觉中将真正的鼠标换成了武器化鼠标。一旦连接到关键网络,其他人就会从远程位置控制计算机并启动勒索软件。
发电厂支付了赎金;然而,他们没有取回他们的文件,不得不重建,影响了三个月的设施。在使用设备之前,您必须了解设备的来源。
抵御网络威胁的三个步骤
网络威胁不断演变。首先,定期检查您的网络安全策略、政策和工具,以掌握这些威胁。其次,USB 使用威胁正在上升,因此评估您的 OT 操作风险以及您当前对 USB 设备、端口及其控制的保护措施的有效性非常重要。
最后但并非最不重要的一点是,强烈建议采用纵深防御策略。该策略应分层 OT 网络安全工具和策略,为您的组织提供最佳机会,使其免受不断变化的网络威胁的侵害。