您所在的位置: 首頁(yè) >
新聞資訊 >
技術(shù)前沿 >
OT環(huán)境勒索軟件分析與防范
2023年1月,匿名者旗下的GhostSec黑客組織聲稱對(duì)RTU(遠(yuǎn)程終端單元)進(jìn)行了“有史以來第一次”勒索軟件攻擊,RTU是一種通常部署在工業(yè)控制系統(tǒng) (ICS)環(huán)境中的小型設(shè)備,是周邊監(jiān)控和數(shù)據(jù)采集(SCADA)設(shè)備,用于測(cè)量和控制實(shí)際物理設(shè)備。從圖片中可以看出,黑客進(jìn)入了RTU設(shè)備的嵌入操作系統(tǒng)內(nèi)部,并對(duì)文件進(jìn)行了加密:
近期SynSaber公司的報(bào)告,回顧統(tǒng)計(jì)分析了CISA在2020年至2022年期間發(fā)布的ICS系統(tǒng)報(bào)告數(shù)量,工業(yè)控制系統(tǒng)(ICS)中漏洞報(bào)告數(shù)量持續(xù)增加,2021、2022年的增加數(shù)量大致相同為350份,但2022年新增的漏洞數(shù)量達(dá)到1342個(gè),2021年為1191個(gè)。
“嚴(yán)重”等級(jí)的漏洞數(shù)量增長(zhǎng)更為顯著,從2021年的186個(gè)增加到2022年的近300 個(gè)。根據(jù)CVSS評(píng)分,總共有近1,000個(gè)漏洞為“嚴(yán)重”或“高嚴(yán)重性”。報(bào)告特別指出,在過去三年中,已發(fā)布的工業(yè)控制系統(tǒng)(ICS)漏洞數(shù)量增長(zhǎng)了近70%,關(guān)鍵是其中超過21%仍未被修補(bǔ)。
0x01 勒索的潛在影響
勒索軟件是病毒的一種形式,或者更常稱為惡意軟件。從本質(zhì)上講,攻擊者會(huì)找到一種方法(網(wǎng)絡(luò)釣魚、社會(huì)工程等)首先入侵目標(biāo)網(wǎng)絡(luò)。然后,他們的“軟件”在網(wǎng)絡(luò)中運(yùn)行(遍歷網(wǎng)絡(luò)共享、本地驅(qū)動(dòng)器等),使用只有攻擊者才知道的密鑰對(duì)其發(fā)現(xiàn)的所有內(nèi)容進(jìn)行加密。如果你想解鎖你的文件,你必須付錢給壞人給你鑰匙。根據(jù)攻擊者和受害者的具體情況,獲取密鑰和解密文件的成本可能從數(shù)百美元到數(shù)千美元甚至數(shù)百萬美元不等。
勒索軟件植根于詐騙和勒索犯罪世界,從本質(zhì)上講,它也可以用來針對(duì)較大的資產(chǎn)所有者和組織,或掩蓋其他可能更不正當(dāng)?shù)幕顒?dòng)。勒索軟件對(duì)企業(yè)的攻擊,包括OT企業(yè),各類新聞早已屢見不鮮。為什么勒索軟件正在成為當(dāng)今工業(yè)組織面臨的挑戰(zhàn):
1、勒索軟件利用“可用性”風(fēng)險(xiǎn),在工業(yè)組織中利潤(rùn)豐厚。網(wǎng)絡(luò)竊取個(gè)人信息的業(yè)務(wù)曾經(jīng)相當(dāng)有利可圖,但隨著供應(yīng)的增加,這些信息的價(jià)格已大幅下降。因此,網(wǎng)絡(luò)罪犯找到了新的商業(yè)模式。它們已經(jīng)從機(jī)密性-完整性-可用性三要素中的“C”轉(zhuǎn)變?yōu)椤癆”。而工業(yè)組織需要可用性來運(yùn)作,因此付款通常是快速和大量的。
2、在大多數(shù)情況下,保險(xiǎn)支付贖金和追索費(fèi)用是的很大一部分。因此,在目前的政策下,保險(xiǎn)的存在使支付過程變得更加順利。然而,隨著保險(xiǎn)公司開始改變未來的政策,這種情況正在發(fā)生變化,正如安盛(AXA)最近宣布停止對(duì)勒索軟件支付的覆蓋。
3、通過IT系統(tǒng)攻擊可以關(guān)閉OT操作。為什么會(huì)這樣?首先,OT系統(tǒng)通常非常容易受到勒索軟件的攻擊,如果勒索軟件進(jìn)入這些系統(tǒng)的話。因此,任何事件響應(yīng)處置的第一步都是通過斷開與OT系統(tǒng)連接來阻止傳播。雖然IT系統(tǒng)的恢復(fù)成本很高,但OT系統(tǒng)的成本可能是IT系統(tǒng)的3-4倍,并且可能需要更長(zhǎng)的時(shí)間。
4、勒索軟件通常利用基于網(wǎng)絡(luò)的不安全性來獲取訪問權(quán)限(例如,通過RDP),但會(huì)從一個(gè)端點(diǎn)傳播到另一個(gè)端點(diǎn)。補(bǔ)償控制、系統(tǒng)加固、漏洞管理和其他技術(shù)(如網(wǎng)絡(luò)隔離)都在減少病毒攻擊的影響和傳播方面發(fā)揮著關(guān)鍵作用。
下圖顯示了勒索軟件攻擊設(shè)施的典型路徑和殺傷鏈(Kill Chain):
2021年底和2022年初的預(yù)測(cè)都認(rèn)為,發(fā)達(dá)經(jīng)濟(jì)體的重大勒索軟件攻擊將持續(xù)爆發(fā)。然而,實(shí)際情況是,預(yù)測(cè)的爆炸從未發(fā)生。根據(jù)來源,圍繞2022年期間勒索軟件是略有增加還是實(shí)際減少存在一些爭(zhēng)議。但無論從哪個(gè)數(shù)據(jù)集來看,人們擔(dān)心的勒索軟件大流行從未發(fā)生。使用與去年相同的數(shù)據(jù)源, 2022年第三季度的事故略有減少(約10%)。在此之前,第二季度略有增長(zhǎng),第一季度基本持平。全年來看基本輕微增加和減少,而不是另一個(gè)巨大的峰值。
2022年沒有快速增長(zhǎng)并不意味著勒索軟件仍然不是工業(yè)環(huán)境的最大威脅。同樣,根據(jù)分析師的不同,勒索軟件在2022年至少同比持平——與歷史數(shù)據(jù)相比,持平在一個(gè)非常高的水平。
攻擊格局在2022年確實(shí)發(fā)生了重大變化。到目前為止,LockBit2.0仍然是“市場(chǎng)份額”領(lǐng)先集團(tuán),并在年中關(guān)閉了最臭名昭著的集團(tuán)之一Conti–意味著LockBit的份額日益集中,以及眾多新的競(jìng)爭(zhēng)團(tuán)體的崛起——Basta、Hive和其他幾個(gè)團(tuán)體。有一些人認(rèn)為,這些不同的團(tuán)體中有許多是Conti的重組團(tuán)體。一個(gè)基本的勒索軟件市場(chǎng)占比如下圖所示:
Dragos的報(bào)告總結(jié)了2022年全年的工業(yè)控制系統(tǒng)勒索事件
0x02 減少與防范OT環(huán)境中的勒索
考慮到當(dāng)前ICS系統(tǒng)攻擊事件和漏洞呈上升趨勢(shì),因此ICS系統(tǒng)風(fēng)險(xiǎn)狀態(tài)以及工業(yè)環(huán)境中勒索軟件事件存在再次加速的可能性,OT企業(yè)應(yīng)如何組織響應(yīng)呢?
了解勒索軟件攻擊給您帶來的實(shí)際操作和安全風(fēng)險(xiǎn)
要了解這一情況,組織需要掌握三條關(guān)鍵信息:
1、理解不同資產(chǎn)在運(yùn)營(yíng)環(huán)境中的關(guān)鍵程度。例如,你可能有某些工廠、制造、設(shè)施等,這對(duì)企業(yè)的財(cái)務(wù)業(yè)績(jī)至關(guān)重要。其他人可能在財(cái)務(wù)上不那么重要,但他們是這些關(guān)鍵站點(diǎn)的關(guān)鍵供應(yīng)商。因此,對(duì)站點(diǎn)/設(shè)施重要性的業(yè)務(wù)理解是基礎(chǔ)。
2、全面了解這些設(shè)施中的資產(chǎn)面臨的勒索軟件風(fēng)險(xiǎn)。通常通過“技術(shù)驅(qū)動(dòng)漏洞評(píng)估”來實(shí)現(xiàn)這一點(diǎn)。在OT環(huán)境中,對(duì)軟件和硬件漏洞、網(wǎng)絡(luò)保護(hù)和資產(chǎn)的保護(hù)、補(bǔ)丁程序狀態(tài)等的詳細(xì)把握。這種360度的風(fēng)險(xiǎn)視圖提供了對(duì)現(xiàn)場(chǎng)/設(shè)施/工廠等的潛在威脅的可視化。
3、恢復(fù)和響應(yīng)能力的現(xiàn)狀。準(zhǔn)備充分的組織可以減少任何勒索軟件事件的范圍。強(qiáng)大且更新的備份、快速事件響應(yīng)計(jì)劃、Canary文件警報(bào)(Canary共享文件類型為檢測(cè)勒索軟件感染的誘餌,但其數(shù)據(jù)對(duì)企業(yè)并無價(jià)值。該共享文件類型僅用于快速的感染檢測(cè))以在早期階段捕獲勒索軟件等。所有這些都可以提供限制因素。通過評(píng)估這些響應(yīng)和恢復(fù)能力,組織可以確定攻擊的潛在影響范圍。
創(chuàng)建站點(diǎn)級(jí)別的補(bǔ)救和保護(hù)路線圖
我們經(jīng)??吹浇M織采取某種措施來降低勒索軟件(和其他潛在的OT攻擊)的風(fēng)險(xiǎn)。例如,一個(gè)常見的做法是全面的網(wǎng)絡(luò)劃分,以減少連通性IT和OT之間以及OT環(huán)境內(nèi)的隔離,這當(dāng)然是穩(wěn)健做法的一部分。然而,這可能不是整個(gè)計(jì)劃中最有影響力的第一步。了解風(fēng)險(xiǎn)和一系列舉措是取得快速但可持續(xù)進(jìn)展的關(guān)鍵。如果不清楚網(wǎng)絡(luò)上的資產(chǎn)以及它們?nèi)绾蜗嗷ネㄐ?,通常很難進(jìn)行適當(dāng)?shù)木W(wǎng)絡(luò)分段。因此,全面的環(huán)境清單加快了最終的細(xì)分工作。類似地,一些計(jì)劃可能會(huì)迅速產(chǎn)生影響,例如,利用可能已經(jīng)到位的備份工具,但要確保它們得到使用和更新。站點(diǎn)和企業(yè)級(jí)別的這一系列計(jì)劃提供了一個(gè)路線圖,可在構(gòu)建保護(hù)和檢測(cè)的長(zhǎng)期基礎(chǔ)的同時(shí)實(shí)現(xiàn)近期保護(hù)和恢復(fù)功能。
基于第一點(diǎn)中的站點(diǎn)和資產(chǎn)優(yōu)先級(jí)加快OT安全建設(shè)
接著是補(bǔ)救的時(shí)候了,“技術(shù)驅(qū)動(dòng)評(píng)估”的優(yōu)勢(shì)之一是上面提到的技術(shù)已經(jīng)準(zhǔn)備到位,能夠立即修復(fù)已識(shí)別的風(fēng)險(xiǎn)。從修補(bǔ)到配置強(qiáng)化,再到管理有風(fēng)險(xiǎn)的軟件、用戶和帳戶等。
除了加速這些終端的檢測(cè)之外,還需要一系列額外的保護(hù)和響應(yīng)能力。最大的挑戰(zhàn)之一是確定適當(dāng)?shù)膱?zhí)行計(jì)劃來保護(hù)最核心的站點(diǎn)和資產(chǎn),同時(shí)不會(huì)在這些大型/復(fù)雜的站點(diǎn)上陷入困境,并且永遠(yuǎn)不會(huì)對(duì)評(píng)級(jí)為“中等”關(guān)鍵程度資產(chǎn)進(jìn)行過度保護(hù)。
一種稱之為“雙焦點(diǎn)”的執(zhí)行方法:一方面,我們肯定會(huì)在最關(guān)鍵的站點(diǎn)上進(jìn)行穩(wěn)健的計(jì)劃部署。然而,與此同時(shí),我們將鼓勵(lì)一種廣泛而淺顯的方法,在企業(yè)級(jí)別對(duì)所有站點(diǎn)應(yīng)用有限的保護(hù),同時(shí)在關(guān)鍵站點(diǎn)上進(jìn)行更深入的工作。
0x03 OT安全計(jì)劃中的關(guān)鍵要素
資產(chǎn)盤點(diǎn)
有效的終端管理始于穩(wěn)健的資產(chǎn)庫(kù)存。正如一句諺語(yǔ)所說:如果你不知道你擁有什么,你就無法管理風(fēng)險(xiǎn)。每個(gè)終端資產(chǎn)360度資產(chǎn)畫像將為合理的端點(diǎn)管理提供支撐。OT挑戰(zhàn):整合自動(dòng)化資產(chǎn)清單,其中包括從基于操作系統(tǒng)到網(wǎng)絡(luò)的所有資產(chǎn)類型,還嵌入了深入的資產(chǎn)配置文件,包括設(shè)置關(guān)鍵程度、用戶和帳戶、補(bǔ)償控制的存在等。
補(bǔ)丁管理
大多數(shù)威脅都是通過商用系統(tǒng)(如Windows計(jì)算機(jī))進(jìn)入的。您無法在OT中修補(bǔ)所有內(nèi)容,但由于多個(gè)環(huán)境因素,端到端修補(bǔ)程序管理計(jì)劃(即修補(bǔ)程序的自動(dòng)化和智能應(yīng)用)非常重要例如合規(guī)性、法規(guī)和風(fēng)險(xiǎn)管理(例如,具有連接到互聯(lián)網(wǎng)的RDP或防火墻的主機(jī)上的補(bǔ)丁應(yīng)優(yōu)先于由多個(gè)層保護(hù)的PLC)。當(dāng)今勒索軟件的實(shí)際情況是,它主要針對(duì)基于操作系統(tǒng)的設(shè)備(服務(wù)器、工作站、HMI)。在管理補(bǔ)丁程序以解決勒索軟件時(shí),這些是主要的關(guān)注點(diǎn)。在不可行的情況下,應(yīng)用程序白名單和策略強(qiáng)制執(zhí)行會(huì)增加攻擊的成本和難度,以提高您防御或拒絕對(duì)您的OT組織進(jìn)行勒索軟件攻擊的機(jī)會(huì)。OT挑戰(zhàn):需要有一個(gè)排定了優(yōu)先級(jí)的修補(bǔ)流程并轉(zhuǎn)移到補(bǔ)償控制必要的時(shí)候/地方。
應(yīng)用程序白名單
這始于可能嘗試在HMI、工作站等上運(yùn)行的新軟件的應(yīng)用程序控制。在IT中,考慮到所需的新應(yīng)用程序的廣度,維護(hù)此解決方案相當(dāng)具有挑戰(zhàn)性。然而,在OT中,大多數(shù)系統(tǒng)應(yīng)該被“鎖定”,新的應(yīng)用程序是不必要的。因此,國(guó)土安全部強(qiáng)烈建議將白名單作為2-3項(xiàng)首要舉措之一。白名單還可以擴(kuò)展到USB、可移動(dòng)介質(zhì)和臨時(shí)設(shè)備,尤其是在您的網(wǎng)絡(luò)存在“物理隔離”或受到嚴(yán)格控制的情況下。用戶將通過可移動(dòng)介質(zhì)繞過您的控制。作為最佳實(shí)踐,系統(tǒng)策略易于部署,使用白名單軟件,注冊(cè)安全驅(qū)動(dòng)器和其他技術(shù)(如802.X)可確保網(wǎng)段上允許授權(quán)系統(tǒng)。OT挑戰(zhàn):列舉、應(yīng)用、監(jiān)控和執(zhí)行可移動(dòng)介質(zhì)策略以及擴(kuò)展到臨時(shí)網(wǎng)絡(luò)資產(chǎn)。
強(qiáng)大且更新的備份
任何安全計(jì)劃都不足以阻止每一次攻擊。因此,全面的備份程序?qū)τ诖_??焖倩謴?fù)至關(guān)重要。這包括確定要備份的系統(tǒng)的優(yōu)先級(jí),確保及時(shí)備份,監(jiān)控失敗的備份(在許多OT環(huán)境中似乎經(jīng)常發(fā)生),以及確保在離線存儲(chǔ)庫(kù)中進(jìn)行復(fù)制,以便惡意軟件不會(huì)限制其有效性。OT挑戰(zhàn):創(chuàng)建與供應(yīng)商無關(guān)的備份解決方案,因?yàn)樵S多OEM都有首選的備份解決方案。成功的關(guān)鍵是創(chuàng)建單一的備份平臺(tái),以便能夠提高效率,同時(shí)確??绺鞣N站點(diǎn)的法規(guī)遵從性。
實(shí)施網(wǎng)絡(luò)分離或分段
減緩勒索軟件傳播的一個(gè)關(guān)鍵方法是在IT和OT網(wǎng)絡(luò)之間(甚至在IT和/或OT的網(wǎng)段內(nèi))設(shè)置網(wǎng)絡(luò)屏障。這種方法是一個(gè)基本要素,但由于其技術(shù)挑戰(zhàn),往往沒有得到充分利用。OT挑戰(zhàn):對(duì)IT或OT進(jìn)行分段并不容易,但在OT中,由于傳統(tǒng)設(shè)備、物理布線需求、將系統(tǒng)移至新防火墻所需的停機(jī)時(shí)間等原因,出現(xiàn)了特殊的挑戰(zhàn)。OT細(xì)分需要一個(gè)對(duì)網(wǎng)絡(luò)和OT系統(tǒng)有深入了解的團(tuán)隊(duì)。
參考資料:
https://industrialcyber.co/industrial-cyber-attacks/hacker-group-discloses-ability-to-encrypt-an-rtu-device-using-ransomware-industry-reacts/https://synsaber.com/resources/industrial-cve-retrospective-2020-2021-2022
https://verveindustrial.com/resources/blog/how-to-prevent-ransomware-in-2023/
https://hub.dragos.com/ics-cybersecurity-year-in-review-2022
原文來源:博智非攻研究院