过去,网络攻击者在很大程度上忽视了操作技术(OT)系统,例如工业控制系统和 SCADA 系统很难获得专有信息或 OT 系统未连接到外部网络,数据不易渗透。
但现在已经不是这样了。如今,许多工业系统连接到公司网络,可以访问互联网,并使用从连接传感器和大数据分析的一切来改进操作。OT 和 IT 的集成和集成导致了越来越多的网络风险,包括跨 IT 和 OT 有效有影响的网络事件。
OT 世界网络安全威胁和 IT 不同,因为其影响不仅仅是数据丢失、声誉受损或客户信任度下降。OT 网络安全事件可能导致生产损失、设备损坏和环境泄漏。OT 需要一套不同于保护的网络攻击 IT 的工具和策略。让我们来看看络安全威胁通常如何进入 OT 受保护环境。
进入 OT 主要媒介
恶意软件可以通过两种主要媒介进入 OT 环境中的安全生产设施:通过网络或移动媒体和设备。
攻击者可以利用网络资产通过跨可路由网络防火墙进入 OT 系统。适当的 OT 网络最佳实践,如网络分段、强身份验证和多个防火墙区域,对防止网络事件有很大帮助。
BlackEnergy 恶意软件用于第一次记录针对电网的有针对性的网络攻击,通过向网络 IT 端用户发送鱼叉网络钓鱼电子邮件,危害电力公司。从那时起,威胁行为者可以转向关键 OT 网络,并使用 SCADA 系统在变电站打开断路器。据报道,这次袭击导致冬季停电6小时以上的 2万 人。
虽然“sneakernet”这个词可能是新的或听起来很尴尬,但它指的是 USB 存储设备和软盘可用于将信息和威胁上传到关键 OT 在网络和气隙系统中,网络攻击者只需将其带入设施并连接到适用的系统。
USB 设备继续带来挑战,特别是当组织越来越依赖这些便携式存储设备来传输补丁和收集日志时。USB 通常是键盘和鼠标支持的唯一接口,因此不能禁止使用 USB 端口。因此,有风险将外部设备插入我们试图保护的机器。众所周知,黑客会将感染 植入他们的设施和周围USB 驱动器。员工有时会找到这些损坏的驱动器并将其插入系统,因为这是确定其中一个驱动器内容的唯一方法——即使没有标签,比如“财务业绩”或“员工人数的变化”。
Stuxnet 可能是最臭名昭着的恶意软件被 USB 带入隔离设施的例子。为了改变可编程逻辑控制器 (PLC) 编程。最终结果是离心机旋转太快太长,最终导致设备物理损坏。
如今,生产环境比以往任何时候都面临恶意 USB 设备的网络安全威胁,这些设备可以绕过保护措施从内部中断。2021年,霍尼韦尔工业网络安全 USB 威胁报告发现,从 USB 在设备检测到的威胁中, 79% 可能导致 OT 中断,包括失去视野和控制。
发现 在同一份报告中USB 的使用增加了 30%,其中许多 USB 威胁 (51%) 试图远程访问受保护的气密设施。霍尼韦尔审查了 2020年的全球分析研究和防御 (GARD) 发动机匿名数据,发动机分析基于文件的内容,验证每个文件,并通过 测试USB 传输或传输实际 OT 恶意软件威胁系统。
TRITON 是第一个在生产设施中攻击安全系统的恶意软件。安全仪表系统 (SIS) 是工业设施自动化安全防御的最后一道防线,旨在防止设备故障、爆炸或火灾等灾难性事故。攻击者首先渗透到 IT 网络,然后通过两个环境可访问的系统转移到 OT 网络。一旦进入 OT黑客会使用 网络TRITON 恶意软件感染 SIS 工程工作站。TRITON 的最终结果是 SIS 可能会被关闭,使生产设施中的人员处于危险之中。
物理设备也可能导致网络事件
我们不仅要注意基于内容的威胁。鼠标、电缆或其他设备也可以对抗 OT 的武器。
2019 年,恶意行为者将目标锁定在有权访问控制网络的受信任人身上。授权用户在不知不觉中用武器鼠标取代真正的鼠标。一旦连接到关键网络,其他人将从远程位置控制计算机并启动勒索软件。
发电厂支付赎金;然而,他们不得不重建他们的文件,这影响了三个月的设施。在使用设备之前,您必须了解设备的来源。
抵御网络威胁的三个步骤
网络威胁不断演变。为了掌握这些威胁,定期检查您的网络安全策略、政策和工具。USB 使用威胁正在上升,所以评估你的 OT 操作风险,你目前对 USB 设备、端口及其控制的保护措施的有效性非常重要。
最后但不重要的是,强烈建议采用深度防御策略。该策略应分层 OT 网络安全工具和策略,为您的组织提供最佳机会,避免不断变化的网络威胁。