伴随着很多的公司根据将其工业生产步骤联接到云计算技术来完成智能化,给网络攻击给予了大量方式,根据勒索病毒进攻来伤害工业生产经营。
依据Claroty最新发布的汇报,伴随着对于重要基础设施建设和企业的高姿态黑客攻击将电力监控系统(ICS)安全隐患提高为一个流行问题,电力监控系统的漏洞披露也大幅度提升。
该汇报包含了2021年上半年度披露的ICS和OT漏洞,不但保证了有关工业设备中存在的漏洞的数据信息,还带来了紧紧围绕他们的必需环境,以评定分别自然环境中的风险性。
一、ICS安全性研究和披露发展趋势
1. ICS漏洞披露
ICS漏洞披露已经显着加快,揭露了在经营技术性(OT)自然环境中发觉的安全性漏洞的明显水平。2021年上半年度披露了637个ICS漏洞,比2020年后半年披露的449个漏洞提升了41%。在其中81%是由受影响供应商的外界由来发觉的,包含第三方企业、单独研究工作人员、专家学者和别的研究组。除此之外,42名新研究工作人员汇报了漏洞。
- 71%的漏洞被分类为高风险或比较严重漏洞,体现了曝露的相对高度严重后果和影响特性以及对经营的不确定性风险性。
- 90%的进攻多元性较低,这代表着不用独特标准,网络攻击每一次都能够反复取得成功。
- 74%的网络攻击不用管理权限,这代表着网络攻击没经受权且不用浏览一切设定或文档;66%的网络攻击不用客户互动,例如开启电子邮箱、点击连接或配件或共享资源比较敏感的个体或财务数据。
- 61%是可远程控制运用的,这说明维护远程桌面连接、物联网技术(IoT)和工业生产IoT(IIoT)机器设备的必要性。
- 65%很有可能会造成彻底缺失易用性,进而造成資源访问被拒绝。
- 26%要不沒有能用的修补程序流程,要不仅有一部分防范措施,这显出了与IT自然环境对比,保证OT环境安全管理的核心挑戰之一。
- 在ICS-CERT报警和供应商提议中提及的最重要的改善对策,包含互联网按段(适用59%的漏洞)、安全性远程连接(53%)和勒索病毒、钓鱼攻击和垃圾短信安全防护(33%)。
Team82在2021年上半年度发觉并披露了70个漏洞,超出了Claroty在2020年披露的全部漏洞。总体来说,Team82早已披露了超出150个影响ICS机器设备和OT协议书的漏洞。
Team82的研究调研了影响该领域诸多单位的各种各样供应商和商品。因为这种主要参数,Claroty还研究第三方商品。Team82在2021年上半年度发觉的70个漏洞影响了20家自动化技术和技术性供应商。下列2个数据图表各自列举了受影响的供应商和ICS产品类型:
图1 Team 82发觉的受影响的ICS供应商
图2 Team 82发现的受影响的ICS产品类型
2. 受影响的ICS商品
每一个披露的漏洞都可以标识为固定件或手机软件漏洞。在某种情形下,一个漏洞会影响这两个领域的好几个部件。在2021年上半年度,大部分漏洞会影响手机软件部件,由于手机软件修复漏洞比固定件修复漏洞相对性非常容易,防御者有实力在其自然环境中优先选择修复漏洞。
在查验产品种类中的固定件和手机软件漏洞时,关键的是要掌握,尽管在可分成固定件或系统的部件中发觉漏洞,但必须考虑到受其影响的商品。例如,HMI上很有可能存有易受攻击的手机软件配备,或是很有可能存有联接到泵的以太网接口控制模块。下面的图表明了受这种漏洞影响的产品种类,其类型如下所示所显示:
图3 受影响商品细分化
因为23.55%的漏洞影响普渡实体模型的经营管理(第三层)等级,这就表述了为何很多漏洞影响手机软件部件。除此之外,发觉的大概30%的漏洞影响普渡实体模型的主要操纵(第一层)和监督控制(第二层)等级。自然,在影响这种等级时,网络攻击还可以抵达较低的等级并影响全过程自身,这使其变成有吸引的总体目标。
图4 电力监控系统普渡实体模型0-3层
图5 产品种类中的固定件或手机软件漏洞归类
二、评定2021年上半年度披露的全部ICS漏洞
2021年上半年度发表的全部电力监控系统漏洞的数据统计包含Team82发觉和披露的漏洞,及其别的研究工作人员、供应商和第三方在2021年上半年度公布披露的任何别的漏洞。Team82的信息内容來源包含:我国漏洞数据库查询(NVD)、ICS-CERT、CERT@VDE西门子PLC、施耐德电器和MITRE。
在2021年上半年度,公布了637个ICS漏洞,影响了76个ICS供应商。
图6 2021年上半年度发觉的ICS漏洞总数及影响生产商总数
2021年上半年度,80.85%的漏洞是由受影响供应商之外的由来发觉的,外界由来包含很多研究组织,包含第三方企业、单独研究工作人员和专家等。
图7 漏洞研究由来
下面的图剖析了以第三方企业为代表的外界由来披露的漏洞总数,在2021年上半年度发觉了341个漏洞(占53.87%)。这种公布的漏洞中,有很多是由网络信息安全企业的研究工作人员发觉的,这说明,在IT安全性研究的与此同时,关键也迁移到了电力监控系统。必须强调的是,一些披露是好几个研究工作组间的协作,或是不一样的研究工作人员各自发觉和披露了同样的漏洞,在2021年上半年度有139个漏洞。
图8 按研究机构归类的漏洞发觉由来
2021年上半年度披露的637个ICS漏洞影响了76家供应商的商品,受影响的供应商总数比2020年后半年有所增加(59家),该数据信息2020年上半年度为53家。
西门子PLC是汇报漏洞较多的供应商,一共有146个漏洞,在其中很多漏洞是西门子PLCCERT精英团队开展的内部结构研究披露的,次之是施耐德电器、罗克韦尔自动化技术、WAGO和研华科技。
关键的是要认知到,遭受很多公布漏洞的影响并不一定代表着供应商的安全性不给力或研究能力有限。一个分派了很多資源来检测其商品安全系数的供应商,很可能比一个忽视了在同样水平上查验其商品的供应商发觉越来越多的漏洞。每一个供应商的文件目录和安裝基本也常常会影响其商品所披露的漏洞的总数。
图9 受漏洞影响的前五家供应商
在2021年上半年度,其商品未遭受2020年披露的ICS漏洞影响的20家供应商受到了2021年上半年度披露的最少一个ICS漏洞的影响。
这种供应商中有六家专业医疗技术,三家专门从事自动化技术,俩家专业加工制造业。影响这种新受影响的供应商(20个供应商中的16个)的漏洞是由此前披露漏洞的研究工作人员发觉的。
图10 受漏洞影响的供应商
三、ICS漏洞产生的侵害和风险性
尽管汇报中的很多数据让人惊叹不已,让人印象深刻,但的确表明了一种不断发展趋势:披露的漏洞总数及修复或减轻的漏洞不断呈上涨发展趋势。这一提高身后有很多要素,最先是很多的研究工作人员正找寻ICS商品和OT协议书中的漏洞。
除此之外,在IT下集成化了OT管理或将云引进OT的机构不但提升了业务流程高效率和逻辑思维能力,并且仍在扩张了危害攻击面,并将本不准备联接的机器设备曝露在移动互联网中。
最重要的是,深层次研究了补丁包和别的防范措施,包含供应商给予的改善对策。手机软件漏洞的修复速率比固定件漏洞高得多。在ICS和OT安全圈中,因为修复漏洞和设备升级必须关机時间,这在很多方面是没法进行的。因而,针对使用人来说,减轻对策具备积极意义。根据考量经销商和领域CERT最强烈推荐的改善对策,发觉网络按段和安全性远程连接毫无疑问是2021年上半年度最首要的改善对策。
伴随着磁密式OT网络变成以往,网络按段在减轻对策中占有了突显影响力。虚似系统分区(专为工程项目或别的朝向步骤的作用量身订做的相应于地域的对策)等技术性也将变为必不可少的减轻方式。
此外,安全性远程连接是仅次按段的主要减轻流程。适度的密钥管理和权利管理方法针对阻拦下一个Oldsmar种类的事件有相当长的路要走,更主要的是,避免以盈利为向导的参加者根据IT和OT网络横着挪动,盗取数据信息,并释放出来勒索软件等恶意程序。
对于固定件修补的非常少。几乎62%的固定件系统漏洞沒有获得恢复或提议开展一部分修补,而这其中大部分系统漏洞全是构建在普渡实体模型第一层的设备中。
四、后半年非常值得留意的发展趋势
后半年会出现三个至关重要的发展趋势:OT云转移、对于重要基础设施和OT的勒索软件攻击,及其将要颁布的英国网络法律。
1. OT云转移
促进公司将云引进工业生产步骤的趋势是毫无疑问的。当企业逐渐从云计算技术管理方法OT和IT时,这类结合将提供很多相同的风险性。
网络信息安全以前是工业生产步骤的一个风险性较低的自变量,但如今也将被提高为优先选择事宜,城市广场管控严苛的领域,机构不但务必评定危害,还务必评定风险性。
例如,数据加密很有可能会使一些专用工具没法得到对网络财产的彻底由此可见性。在磁密自然环境中,这可以被觉得是可接纳的风险性,但一旦财产曝露在网络上,状况就不一样了。最好是的行为是在传递流程中对数据资料开展数据加密,并在数据信息静止不动时开展数据加密,以保证 在出现意外时可以充足数据恢复。伴随着企业逐渐将业务和运用放进云空间,从第一层机器设备如PLC获取数据,这一点将非常显著。
身份认证和真实身份管理方法也一定要是安排的云OT深层防御力方案的一部分。2019年新冠新冠疫情大流行加快了远程工作,2022年2月的Oldsmar事件早已说明了系统对浏览和权利监督控制不到位所提供的风险性。
转移到根据云的基础设施通常代表着机构基础设施(IT或OT)的一部分代管在第三方云服务提供商(如Google、Amazon和Microsoft)的虚拟服务器上。基础设施包含一个根据云的管理系统,以适用机构服务项目的不一样客户,例如管理人员或技术工程师。根据客户和人物的战略务必界定客户可以实行什么作用,及其依据它们的人物有着什么权利。
云计算技术有三种种类:公共性云计算技术、私有云存储测算和云计算平台测算。
2. 勒索软件和敲诈勒索攻击
尽管现在尚未见到勒索软件专业危害第一层机器设备,但攻击者早已顺利地危害了工业生产经营。最广为人知的事例是对于Colonial Pipeline的攻击,在IT系统被勒索软件感柒后,该企业十分慎重地关上了美国西海岸左右的然料运输。
攻击者在应用勒索软件时越来越更为慎重,她们会寻找她们觉得最有可能付款巨额保释金的受害人。尽管市人民政府、保健医疗和教育局一度被觉得是勒索软件攻击的总体目标,但大中型制造企业和重要基础设施如今变成过街老鼠。
另一种在以赚钱为目地的攻击团队中盛行的对策是高級侵入,即盗取比较敏感的业务流程或客户资料,及其公布泄漏那些消息的危害,与此同时很有可能会使重要系统软件遭受勒索软件的感柒。再度,攻击者把总体目标指向了很有可能达到她们需要的高使用价值机构。据悉,Colonial Pipeline和JBS Foods都向危害参加者付款了数百万美元数字货币,以修复加密系统。
伴随着很多的企业将ICS设备连接到互联网技术并结合OT和IT,对网络财产的由此可见性尤为重要,有关很有可能被攻击者运用的手机软件和固定件系统漏洞的消息也是如此。例如,运作在根据Windows的设备上的工程项目工作平台的缺点,很有可能会让攻击者毁坏IT和OT网络中间的这种交接点,并改动步骤,或是推广勒索软件,阻拦很有可能危害信息安全或国防安全的重要服务项目的给予。
除开散播垂钓攻击的根据电子邮箱的危害外,防御者还要关心可靠的远程连接,及其在虚似专用型网络和别的根据网络的攻击媒介中发觉的系统漏洞结合。Team82数据信息中高于60%的缺陷可以根据网络攻击媒介开展远程控制攻击。这注重了维护远程连接联接和朝向互联网技术的ICS机器设备的必要性,并在攻击者可以在网络和域中间横着挪动以盗取数据信息和丢掉勒索软件等恶意程序以前将其断开。
3. 难以解决的英国网络法律
在2021年上半年度,对Oldsmar、Colonial Pipeline和JBS Foods的攻击说明,重要基础设施和加工制造业曝露于移动互联网的易损性。这种攻击说明,攻击者可以寻找缺点,更改公共性生活用水中的化合物成分,或是应用大宗商品现货勒索软件关掉然料和食品类运输设备。
这种故意攻击主题活动也引发了联邦政府的关心。很多政府部门大力支持的网络有关主题活动尤其强调,工业生产网络安全性针对国防安全和美国的经济尤为重要。
特朗普总统潘基文在7月签定了一份重要基础设施国防安全记事本,该备忘录创建了电力监控系统网络安全性提倡,这也是一项对于利益相关者使用者和通信运营商的自行行为,致力于使其系统软件与现阶段危害保持一致。美政府将在9月前制订特性总体目标,这种自行方案将必然地变成强制对策,以布署可以给予OT网络识别性和危害检验的技术性。
记事本是在5月份签定的一项行政规章以后签定的,该指令致力于改进私营企业和公共行政中间的危害资源共享、完成联邦政府网络检测标准的智能化,加强供应链管理安全性、创建网络安全性核查联合会,制订解决网络事件的规范指南,改善联邦政府网络上的事件检验,及其更快的调研和弥补工作能力。
先前,为改进电力网网络安全性做好了历时100天的最后的冲刺,这也加强了公用事业利益相关者使用者和政府部门中间能够更好地共享资源数据的主题风格。潘基文政府部门还根据TSA对殖民管路事件作出了强烈反应,并公布了一项安全性命令,规定提升管路网络的恢复力,包含在检验后12个小时内强制性汇报事件、按时开展易损性评定,及其避免勒索软件攻击。
展望未来,美国华盛顿的法令议案包含在事件产生后严苛的汇报规定。务必维持慎重和细心,保证这种要求不容易给系统资源不足的中小型公共事业和重要基础设施营运商,产生附加风险性或脱离实际的期待。
政府部门需要在鉴别和消除网络攻击者的总体目标与对企业管控中间获得均衡,而这种企业将从具体指导和资产中获益。除此之外,还需要掌握OT漏洞管理的现实状况,及其在可扩展性自然环境中为工业设备修复漏洞,或升级数十年未联接到互联网技术或升级的老机器设备所面临的挑战。
这也是重要基础设施内的动态性防御者务必面临的问题,以保证 在沒有马上修复选择项的情形下,或在保证详细的电脑软件或固定件升级以前,可以为必须减轻对策的防御者给予减轻对策。
五、上半年度重要事件
下列事件和发展趋势很有可能在一定水平上协助造就了2021年上半年度的ICS风险性和系统漏洞布局。
1. COLONIAL PIPELINE攻击事件
美国西海岸较大的车用汽油、柴油机和天燃气代销商Colonial Pipeline遭受勒索软件攻击,危害了原油和天燃气运送。5月7日的停工对该领域引起了立即见效的危害,由于西海岸大概45%的然料由殖民供货。断电造成车用汽油与家庭取暖油涨价,很多加气站然料耗光。这也是殖民企业57年在历史上的第一次关掉。殖民于5月13日修复经营。
据悉,俄国网络犯罪团伙DarkSide对本次攻击承担,该集团公司市场销售勒索软件即服务项目(RaaS)。DarkSide盗取隐秘数据并敲诈勒索受害人,并要挟称,假如保释金规定无法得到达到,便会发布这种数据信息。依据以前的报导,DarkSide好像只找寻有实力付款巨额保释金的受害人,她们宣称不对于定点医疗机构、教育培训机构或政府部门。Colonial因此支出了440万的BTC保释金,但在其中230万美金被美政府讨回,但据报道,攻击产生后没多久,DarkSide就放弃了经营。
2. Oldsmar水利工程攻击事件
2月5日,加利福尼亚州诺斯兹马尔的一个污水处理设备遭受围攻。Oldsmar设备内的操作工检验到来源于加工厂外的2次侵入,第二次入侵涉及到一名远程控制攻击者,该攻击者根据TeamViewer桌面共享手机软件联接,TeamViewer桌面共享手机软件是用以服务支持的合理合法远程连接解决方法。
远程控制攻击者将住房和商业服务生活用水中的氢氧化钠溶液成分,从百百分之零点100更改为百百分之零点1100。氢氧化钠溶液(别名烧碱溶液)被加入到水里以操纵酸值和除去一些金属材料。烧碱溶液也是下水管道清洁液中的关键实验试剂,是一种腐蚀化学物质,假如服用便会有风险。
营运商断开了攻击者的联接,并在水净化系统原有安全防范措施的大力支持下,避免环境污染水进到群众。
3. JBS FOODS攻击事件
5月30日,世界最大的肉类食品经销商JBS遭受勒索软件攻击,造成澳洲、澳大利亚和国外的加工厂关掉。英国的加工厂关掉也造成近五分之一的肉类食品生产能力缺失。中情局将此次攻击归因于REvil,也被称作Sodinokibi。
Revil是一个给予RAAS的黑客联盟。她们以勒索高额保释金、对于大企业、在数据加密以前盗取数据信息开展双向敲诈勒索而出名,并将这种数据信息公布在一个名叫Happy Blog的暗站在。
JBS维护保养一个系统备份,并可以运用它修复实际操作以数据恢复。即便如此,该公司为追回亏损,或是向攻击者付款了1100万美金的保释金。