2023年1月，匿名者旗下的GhostSec黑客組織聲稱對(duì)RTU(遠(yuǎn)程終端單元)進(jìn)行了“有史以來第一次”勒索軟件攻擊，RTU是一種通常部署在工業(yè)控制系統(tǒng) (ICS)環(huán)境中的小型設(shè)備，是周邊監(jiān)控和數(shù)據(jù)采集(SCADA)設(shè)備，用于測(cè)量和控制實(shí)際物理設(shè)備。從圖片中可以看出，黑客進(jìn)入了RTU設(shè)備的嵌入操作系統(tǒng)內(nèi)部，并對(duì)文件進(jìn)行了加密：

近期SynSaber公司的報(bào)告，回顧統(tǒng)計(jì)分析了CISA在2020年至2022年期間發(fā)布的ICS系統(tǒng)報(bào)告數(shù)量，工業(yè)控制系統(tǒng)(ICS)中漏洞報(bào)告數(shù)量持續(xù)增加，2021、2022年的增加數(shù)量大致相同為350份，但2022年新增的漏洞數(shù)量達(dá)到1342個(gè)，2021年為1191個(gè)。

“嚴(yán)重”等級(jí)的漏洞數(shù)量增長(zhǎng)更為顯著，從2021年的186個(gè)增加到2022年的近300 個(gè)。根據(jù)CVSS評(píng)分，總共有近1,000個(gè)漏洞為“嚴(yán)重”或“高嚴(yán)重性”。報(bào)告特別指出，在過去三年中，已發(fā)布的工業(yè)控制系統(tǒng)(ICS)漏洞數(shù)量增長(zhǎng)了近70%，關(guān)鍵是其中超過21%仍未被修補(bǔ)。

0x01 勒索的潛在影響

勒索軟件是病毒的一種形式，或者更常稱為惡意軟件。從本質(zhì)上講，攻擊者會(huì)找到一種方法(網(wǎng)絡(luò)釣魚、社會(huì)工程等)首先入侵目標(biāo)網(wǎng)絡(luò)。然后，他們的“軟件”在網(wǎng)絡(luò)中運(yùn)行(遍歷網(wǎng)絡(luò)共享、本地驅(qū)動(dòng)器等)，使用只有攻擊者才知道的密鑰對(duì)其發(fā)現(xiàn)的所有內(nèi)容進(jìn)行加密。如果你想解鎖你的文件，你必須付錢給壞人給你鑰匙。根據(jù)攻擊者和受害者的具體情況，獲取密鑰和解密文件的成本可能從數(shù)百美元到數(shù)千美元甚至數(shù)百萬美元不等。

勒索軟件植根于詐騙和勒索犯罪世界，從本質(zhì)上講，它也可以用來針對(duì)較大的資產(chǎn)所有者和組織，或掩蓋其他可能更不正當(dāng)?shù)幕顒?dòng)。勒索軟件對(duì)企業(yè)的攻擊，包括OT企業(yè)，各類新聞早已屢見不鮮。為什么勒索軟件正在成為當(dāng)今工業(yè)組織面臨的挑戰(zhàn)：

1、勒索軟件利用“可用性”風(fēng)險(xiǎn)，在工業(yè)組織中利潤(rùn)豐厚。網(wǎng)絡(luò)竊取個(gè)人信息的業(yè)務(wù)曾經(jīng)相當(dāng)有利可圖，但隨著供應(yīng)的增加，這些信息的價(jià)格已大幅下降。因此，網(wǎng)絡(luò)罪犯找到了新的商業(yè)模式。它們已經(jīng)從機(jī)密性-完整性-可用性三要素中的“C”轉(zhuǎn)變?yōu)椤癆”。而工業(yè)組織需要可用性來運(yùn)作，因此付款通常是快速和大量的。

2、在大多數(shù)情況下，保險(xiǎn)支付贖金和追索費(fèi)用是的很大一部分。因此，在目前的政策下，保險(xiǎn)的存在使支付過程變得更加順利。然而，隨著保險(xiǎn)公司開始改變未來的政策，這種情況正在發(fā)生變化，正如安盛(AXA)最近宣布停止對(duì)勒索軟件支付的覆蓋。

3、通過IT系統(tǒng)攻擊可以關(guān)閉OT操作。為什么會(huì)這樣?首先，OT系統(tǒng)通常非常容易受到勒索軟件的攻擊，如果勒索軟件進(jìn)入這些系統(tǒng)的話。因此，任何事件響應(yīng)處置的第一步都是通過斷開與OT系統(tǒng)連接來阻止傳播。雖然IT系統(tǒng)的恢復(fù)成本很高，但OT系統(tǒng)的成本可能是IT系統(tǒng)的3-4倍，并且可能需要更長(zhǎng)的時(shí)間。

4、勒索軟件通常利用基于網(wǎng)絡(luò)的不安全性來獲取訪問權(quán)限(例如，通過RDP)，但會(huì)從一個(gè)端點(diǎn)傳播到另一個(gè)端點(diǎn)。補(bǔ)償控制、系統(tǒng)加固、漏洞管理和其他技術(shù)(如網(wǎng)絡(luò)隔離)都在減少病毒攻擊的影響和傳播方面發(fā)揮著關(guān)鍵作用。

下圖顯示了勒索軟件攻擊設(shè)施的典型路徑和殺傷鏈(Kill Chain)：

2021年底和2022年初的預(yù)測(cè)都認(rèn)為，發(fā)達(dá)經(jīng)濟(jì)體的重大勒索軟件攻擊將持續(xù)爆發(fā)。然而，實(shí)際情況是，預(yù)測(cè)的爆炸從未發(fā)生。根據(jù)來源，圍繞2022年期間勒索軟件是略有增加還是實(shí)際減少存在一些爭(zhēng)議。但無論從哪個(gè)數(shù)據(jù)集來看，人們擔(dān)心的勒索軟件大流行從未發(fā)生。使用與去年相同的數(shù)據(jù)源， 2022年第三季度的事故略有減少(約10%)。在此之前，第二季度略有增長(zhǎng)，第一季度基本持平。全年來看基本輕微增加和減少，而不是另一個(gè)巨大的峰值。

2022年沒有快速增長(zhǎng)并不意味著勒索軟件仍然不是工業(yè)環(huán)境的最大威脅。同樣，根據(jù)分析師的不同，勒索軟件在2022年至少同比持平——與歷史數(shù)據(jù)相比，持平在一個(gè)非常高的水平。

攻擊格局在2022年確實(shí)發(fā)生了重大變化。到目前為止，LockBit2.0仍然是“市場(chǎng)份額”領(lǐng)先集團(tuán)，并在年中關(guān)閉了最臭名昭著的集團(tuán)之一Conti–意味著LockBit的份額日益集中,以及眾多新的競(jìng)爭(zhēng)團(tuán)體的崛起——Basta、Hive和其他幾個(gè)團(tuán)體。有一些人認(rèn)為，這些不同的團(tuán)體中有許多是Conti的重組團(tuán)體。一個(gè)基本的勒索軟件市場(chǎng)占比如下圖所示：

Dragos的報(bào)告總結(jié)了2022年全年的工業(yè)控制系統(tǒng)勒索事件

0x02 減少與防范OT環(huán)境中的勒索

考慮到當(dāng)前ICS系統(tǒng)攻擊事件和漏洞呈上升趨勢(shì)，因此ICS系統(tǒng)風(fēng)險(xiǎn)狀態(tài)以及工業(yè)環(huán)境中勒索軟件事件存在再次加速的可能性，OT企業(yè)應(yīng)如何組織響應(yīng)呢?

了解勒索軟件攻擊給您帶來的實(shí)際操作和安全風(fēng)險(xiǎn)

要了解這一情況，組織需要掌握三條關(guān)鍵信息：

1、理解不同資產(chǎn)在運(yùn)營(yíng)環(huán)境中的關(guān)鍵程度。例如，你可能有某些工廠、制造、設(shè)施等，這對(duì)企業(yè)的財(cái)務(wù)業(yè)績(jī)至關(guān)重要。其他人可能在財(cái)務(wù)上不那么重要，但他們是這些關(guān)鍵站點(diǎn)的關(guān)鍵供應(yīng)商。因此，對(duì)站點(diǎn)/設(shè)施重要性的業(yè)務(wù)理解是基礎(chǔ)。

2、全面了解這些設(shè)施中的資產(chǎn)面臨的勒索軟件風(fēng)險(xiǎn)。通常通過“技術(shù)驅(qū)動(dòng)漏洞評(píng)估”來實(shí)現(xiàn)這一點(diǎn)。在OT環(huán)境中，對(duì)軟件和硬件漏洞、網(wǎng)絡(luò)保護(hù)和資產(chǎn)的保護(hù)、補(bǔ)丁程序狀態(tài)等的詳細(xì)把握。這種360度的風(fēng)險(xiǎn)視圖提供了對(duì)現(xiàn)場(chǎng)/設(shè)施/工廠等的潛在威脅的可視化。

3、恢復(fù)和響應(yīng)能力的現(xiàn)狀。準(zhǔn)備充分的組織可以減少任何勒索軟件事件的范圍。強(qiáng)大且更新的備份、快速事件響應(yīng)計(jì)劃、Canary文件警報(bào)(Canary共享文件類型為檢測(cè)勒索軟件感染的誘餌，但其數(shù)據(jù)對(duì)企業(yè)并無價(jià)值。該共享文件類型僅用于快速的感染檢測(cè))以在早期階段捕獲勒索軟件等。所有這些都可以提供限制因素。通過評(píng)估這些響應(yīng)和恢復(fù)能力，組織可以確定攻擊的潛在影響范圍。

創(chuàng)建站點(diǎn)級(jí)別的補(bǔ)救和保護(hù)路線圖

我們經(jīng)?？吹浇M織采取某種措施來降低勒索軟件(和其他潛在的OT攻擊)的風(fēng)險(xiǎn)。例如，一個(gè)常見的做法是全面的網(wǎng)絡(luò)劃分，以減少連通性IT和OT之間以及OT環(huán)境內(nèi)的隔離，這當(dāng)然是穩(wěn)健做法的一部分。然而，這可能不是整個(gè)計(jì)劃中最有影響力的第一步。了解風(fēng)險(xiǎn)和一系列舉措是取得快速但可持續(xù)進(jìn)展的關(guān)鍵。如果不清楚網(wǎng)絡(luò)上的資產(chǎn)以及它們?nèi)绾蜗嗷ネㄐ?，通常很難進(jìn)行適當(dāng)?shù)木W(wǎng)絡(luò)分段。因此，全面的環(huán)境清單加快了最終的細(xì)分工作。類似地，一些計(jì)劃可能會(huì)迅速產(chǎn)生影響，例如，利用可能已經(jīng)到位的備份工具，但要確保它們得到使用和更新。站點(diǎn)和企業(yè)級(jí)別的這一系列計(jì)劃提供了一個(gè)路線圖，可在構(gòu)建保護(hù)和檢測(cè)的長(zhǎng)期基礎(chǔ)的同時(shí)實(shí)現(xiàn)近期保護(hù)和恢復(fù)功能。

基于第一點(diǎn)中的站點(diǎn)和資產(chǎn)優(yōu)先級(jí)加快OT安全建設(shè)

接著是補(bǔ)救的時(shí)候了，“技術(shù)驅(qū)動(dòng)評(píng)估”的優(yōu)勢(shì)之一是上面提到的技術(shù)已經(jīng)準(zhǔn)備到位，能夠立即修復(fù)已識(shí)別的風(fēng)險(xiǎn)。從修補(bǔ)到配置強(qiáng)化，再到管理有風(fēng)險(xiǎn)的軟件、用戶和帳戶等。

除了加速這些終端的檢測(cè)之外，還需要一系列額外的保護(hù)和響應(yīng)能力。最大的挑戰(zhàn)之一是確定適當(dāng)?shù)膱?zhí)行計(jì)劃來保護(hù)最核心的站點(diǎn)和資產(chǎn)，同時(shí)不會(huì)在這些大型/復(fù)雜的站點(diǎn)上陷入困境，并且永遠(yuǎn)不會(huì)對(duì)評(píng)級(jí)為“中等”關(guān)鍵程度資產(chǎn)進(jìn)行過度保護(hù)。

一種稱之為“雙焦點(diǎn)”的執(zhí)行方法：一方面，我們肯定會(huì)在最關(guān)鍵的站點(diǎn)上進(jìn)行穩(wěn)健的計(jì)劃部署。然而，與此同時(shí)，我們將鼓勵(lì)一種廣泛而淺顯的方法，在企業(yè)級(jí)別對(duì)所有站點(diǎn)應(yīng)用有限的保護(hù)，同時(shí)在關(guān)鍵站點(diǎn)上進(jìn)行更深入的工作。

0x03 OT安全計(jì)劃中的關(guān)鍵要素

資產(chǎn)盤點(diǎn)

有效的終端管理始于穩(wěn)健的資產(chǎn)庫(kù)存。正如一句諺語(yǔ)所說：如果你不知道你擁有什么，你就無法管理風(fēng)險(xiǎn)。每個(gè)終端資產(chǎn)360度資產(chǎn)畫像將為合理的端點(diǎn)管理提供支撐。OT挑戰(zhàn)：整合自動(dòng)化資產(chǎn)清單，其中包括從基于操作系統(tǒng)到網(wǎng)絡(luò)的所有資產(chǎn)類型，還嵌入了深入的資產(chǎn)配置文件，包括設(shè)置關(guān)鍵程度、用戶和帳戶、補(bǔ)償控制的存在等。

補(bǔ)丁管理

大多數(shù)威脅都是通過商用系統(tǒng)(如Windows計(jì)算機(jī))進(jìn)入的。您無法在OT中修補(bǔ)所有內(nèi)容，但由于多個(gè)環(huán)境因素，端到端修補(bǔ)程序管理計(jì)劃(即修補(bǔ)程序的自動(dòng)化和智能應(yīng)用)非常重要例如合規(guī)性、法規(guī)和風(fēng)險(xiǎn)管理(例如，具有連接到互聯(lián)網(wǎng)的RDP或防火墻的主機(jī)上的補(bǔ)丁應(yīng)優(yōu)先于由多個(gè)層保護(hù)的PLC)。當(dāng)今勒索軟件的實(shí)際情況是，它主要針對(duì)基于操作系統(tǒng)的設(shè)備(服務(wù)器、工作站、HMI)。在管理補(bǔ)丁程序以解決勒索軟件時(shí)，這些是主要的關(guān)注點(diǎn)。在不可行的情況下，應(yīng)用程序白名單和策略強(qiáng)制執(zhí)行會(huì)增加攻擊的成本和難度，以提高您防御或拒絕對(duì)您的OT組織進(jìn)行勒索軟件攻擊的機(jī)會(huì)。OT挑戰(zhàn)：需要有一個(gè)排定了優(yōu)先級(jí)的修補(bǔ)流程并轉(zhuǎn)移到補(bǔ)償控制必要的時(shí)候/地方。

應(yīng)用程序白名單

這始于可能嘗試在HMI、工作站等上運(yùn)行的新軟件的應(yīng)用程序控制。在IT中，考慮到所需的新應(yīng)用程序的廣度，維護(hù)此解決方案相當(dāng)具有挑戰(zhàn)性。然而，在OT中，大多數(shù)系統(tǒng)應(yīng)該被“鎖定”，新的應(yīng)用程序是不必要的。因此，國(guó)土安全部強(qiáng)烈建議將白名單作為2-3項(xiàng)首要舉措之一。白名單還可以擴(kuò)展到USB、可移動(dòng)介質(zhì)和臨時(shí)設(shè)備，尤其是在您的網(wǎng)絡(luò)存在“物理隔離”或受到嚴(yán)格控制的情況下。用戶將通過可移動(dòng)介質(zhì)繞過您的控制。作為最佳實(shí)踐，系統(tǒng)策略易于部署，使用白名單軟件，注冊(cè)安全驅(qū)動(dòng)器和其他技術(shù)(如802.X)可確保網(wǎng)段上允許授權(quán)系統(tǒng)。OT挑戰(zhàn)：列舉、應(yīng)用、監(jiān)控和執(zhí)行可移動(dòng)介質(zhì)策略以及擴(kuò)展到臨時(shí)網(wǎng)絡(luò)資產(chǎn)。

強(qiáng)大且更新的備份

任何安全計(jì)劃都不足以阻止每一次攻擊。因此，全面的備份程序?qū)τ诖_?？焖倩謴?fù)至關(guān)重要。這包括確定要備份的系統(tǒng)的優(yōu)先級(jí)，確保及時(shí)備份，監(jiān)控失敗的備份(在許多OT環(huán)境中似乎經(jīng)常發(fā)生)，以及確保在離線存儲(chǔ)庫(kù)中進(jìn)行復(fù)制，以便惡意軟件不會(huì)限制其有效性。OT挑戰(zhàn)：創(chuàng)建與供應(yīng)商無關(guān)的備份解決方案，因?yàn)樵S多OEM都有首選的備份解決方案。成功的關(guān)鍵是創(chuàng)建單一的備份平臺(tái)，以便能夠提高效率，同時(shí)確?？绺鞣N站點(diǎn)的法規(guī)遵從性。

實(shí)施網(wǎng)絡(luò)分離或分段

減緩勒索軟件傳播的一個(gè)關(guān)鍵方法是在IT和OT網(wǎng)絡(luò)之間(甚至在IT和/或OT的網(wǎng)段內(nèi))設(shè)置網(wǎng)絡(luò)屏障。這種方法是一個(gè)基本要素，但由于其技術(shù)挑戰(zhàn)，往往沒有得到充分利用。OT挑戰(zhàn)：對(duì)IT或OT進(jìn)行分段并不容易，但在OT中，由于傳統(tǒng)設(shè)備、物理布線需求、將系統(tǒng)移至新防火墻所需的停機(jī)時(shí)間等原因，出現(xiàn)了特殊的挑戰(zhàn)。OT細(xì)分需要一個(gè)對(duì)網(wǎng)絡(luò)和OT系統(tǒng)有深入了解的團(tuán)隊(duì)。

參考資料：

https://industrialcyber.co/industrial-cyber-attacks/hacker-group-discloses-ability-to-encrypt-an-rtu-device-using-ransomware-industry-reacts/https://synsaber.com/resources/industrial-cve-retrospective-2020-2021-2022

https://verveindustrial.com/resources/blog/how-to-prevent-ransomware-in-2023/

https://hub.dragos.com/ics-cybersecurity-year-in-review-2022

原文來源：博智非攻研究院