工业4.0时代,工业环境加速数字化、智能化、网络化落地和转型,IT和OT的融合推动生产力的进步,带来巨大的发展价值。
你准备好了吗?在网络病毒蔓延和无规则攻击兴起的当下,IT和OT的融合,意味着网络攻击和入侵正由IT向OT延伸,这一“战”在所难免。
工业安全 “头号”风险——勒索攻击
近年来,勒索软件攻击高速增长,危害国家安全,影响经济稳定和公共安全。同时勒索软件的攻击行为也在悄然发生转变,对象从最初面向个人消费者的安全威胁,向具有高度针对性、定向性、团伙化的APT威胁演变。而随着IT与OT融合的推进,勒索团伙已经开始致力于针对工业领域实施攻击,入侵点正在由IT向OT和IoT延伸。
从亚信安全发布的《2022年第二季度网络安全报告》中可以看到,制造业仍然是勒索病毒攻击的主要目标,美国工业巨头 Parker Hannifin 、美国农业机械制造商 AGCO、美国出版业巨头 Macmillan 和汽车软管制造商 Nichirin 均不同程度的遭遇了勒索病毒攻击,除了加密数据外,勒索团伙还窃取了大量数据,导致某些被害者数据遭到泄露。另外,通过对二季度勒索病毒攻击行业数据分析也表明了,勒索病毒主要攻击行业为制造业,并以80%的比例高居首位。
勒索攻击为何瞄准工业领域?
当前,以制造行业为代表的工业领域正在成为勒索软件的“重灾区”。其原因有以下几点:
1 风险暴露面加大:控制系统在设计之初通常并未考虑到暴露在互联网上或与互联网存在间接连接,其安全性主要来自于物理隔离。但随着控制系统的封闭特性的逐渐打破,从而增加了攻击者的攻击面积,这也招致被勒索软件攻击的网络安全风险极速攀升。
2 漏洞多且覆盖广:在CICSVD收录的通用型漏洞中,工业主机设备和软件类、工业生产控制设备类和工业网络通信设备类产品合计占比72.8%的产品大类。PLC、组态软件、工业路由器、SCADA、工业软件合计占比83%的产品小类,漏洞基本涵盖国内外主流设备厂商。
3 系统漏洞修补困难:OT 基础设施与传统 IT 网络截然不同, 虽然已经大力推动现代化,但控制系统运行“过时的操作系统”的情况依然很常见,有些甚至已经使用了 20 年,并且由于 7*24 全天候运行的需求或更换成本过高而导致无法轻松升级,这对于许多高危漏洞而言,根本没有机会打补丁,甚至是“无补丁”可打。
图:工业环境勒索软件攻击的6个步骤
4 入侵途径多元化:工业环境勒索软件攻击可以分为“初始入侵、驻留(突破OT和IT边界)、工业服务器渗透、命令控制、信息外泄、执行勒索”6个步骤。从已经发生在OT领域的勒索事件分析,大部分爆发的位置为企业的办公系统或者生产管理系统利用设备漏洞远程入侵、身份冒用等绕过控制系统外部防火墙、通过供应链攻击,突破防线进入OT网络。
「方舟」防护全面覆盖IT和OT环境
亚信安全勒索威胁防护体系「方舟」,针对勒索威胁持续猛烈的攻势,为全行业提供了有效抑制勒索团伙APT攻击的能力。尤其对于IT+OT不断融合的工业安全环境,亚信安全「方舟」在技术上以“信桨”工业安全纵深防护方案为核心,形成了全面的工业勒索治理方案,发挥自动化设备漏洞弥补、横向零信任隔离、工业威胁溯源联动等特色,以终端、区域、边界三重防护重点对象,协助用户形成IT+OT多层次纵深防御体系,有效遏制勒索病毒入侵风险。
对于勒索软件威胁的治理,亚信安全认为,应注重弥补OT系统设计初期只注重功能安全而忽略网络安全引发的隐患,并且要IT和OT安全两手抓,建立纵深防御体系,多层次遏制勒索病毒入侵风险。同时,亚信安全还建议工业用户可参照以下工业OT系统勒索软件治理的总体思路建设防御体系:
1 通过全流量检测技术摸清家底、资产识别与风险评定
以被动、静默方式接收OT网络流量,做到资产全感知、网络流量全感知、工业威胁全覆盖、勒索威胁全探测。
2 通过单向隔离、逻辑隔离、零信任、OT全流量审计构建安全网络
构建符合ISA/IEC 62443与等保2.0基准的工业实时数据传输链路的安全防护机制,禁用通常被勒索软件用于其传播的服务;对破坏SCADA系统配置行为定位告警、控制行为深度审计。
3 通过自动化虚拟补丁技术,零信任技术,构建安全生产环境
根据实际用户需求,通过零信任、虚拟补丁、专家确认等手段相结合,多维度防御勒索病毒蔓延。
4 全面加强安全管理建设
企业通过定期安全检查(如:工控检查工具箱)、备份策略、风险评估以及日常安全管理等工作,完善企业内部网络安全制度,建立健全应急响应预案。
亚信安全「方舟」工业勒索治理
针对工业安全领域的“顽疾痛点”,亚信安全方舟提供了以“信桨”工业安全纵深防护方案为核心的工业勒索治理方案,为用户提供了覆盖全流量威胁检测、工业网络零信任防御、工业虚拟化补丁、工业等保合规性检查的“实践能力”,并通过完备的响应机制和预案,提供了“事前风险排查->事中应急响应->事后扫除威胁”的全流程服务,协助用户建立勒索应急响应机制和应对预案。
在事前风险排查方面,亚信安全方舟勒索体检中心提供了针对工业企业相关OT场景和需求的定制化专项体检服务。
在事中应急处置方面,亚信安全方舟工业勒索治理覆盖了勒索病毒攻击治理响应的全流程,能在不影响生产运行的前提下及时封堵。
在事后扫除威胁方面,亚信安全方舟工业勒索治理提供了全链路智能行为与内容变化追踪,对实时数据窃取及SCADA系统异常访问等恶意行为进行智能安全分析,高效识别各类已知与未知的攻击,同时利用“信桨”工业安全纵深防护解决方案强大的威胁检测与联动能力,定期、主动对自动化系统上潜藏的威胁进行隔离,扫清影响关键设备的“雷点”。
方舟工业勒索治理通过五大步骤帮助用户构建纵深防御体系:
第1步——风险安全评估
对工业企业控制系统进行白盒或灰盒渗透测试,以明确当前安全状况以及对勒索软件威胁做出响应的能力,同时可在亚信安全工控等保检查工具箱的协助下,通过资产探测、漏洞扫描、流量检查、无线Wi-Fi检查、恶意代码检查、基线核查等功能为企业输出更为明确的勒索软件威胁治理措施报告。
第2步——自动化资产威胁检测与漏洞防御
通过工业全流量系统的无扰资产测绘方式,对主流自动化厂家OT设备流量,以及IT领域(包括5G)的流量检测进行检测,为进一步审计告警,提供溯源原始流量追踪。而后根据资产梳理结果,对SCADA系统中工业主机采取系统加固,在核心控制单元、PLC或者上位机前部署自动化设备虚拟补丁修复漏洞,实时检测工业网络威胁向量与威胁源。
第3步——零信任机制加持
通过自动化设备零信任微隔离网关,结合业务隐身、最小化授权SCADA系统应用、持续动态安全评估等技术,对发现的风险及时隔离,防止区域内东西向勒索病毒的攻击。
第4步——工业威胁监测与防护处置联动
全面感知网络威胁,对可能被利用的漏洞及时封堵,经过事前打虚拟补丁;事中通过工业全流量旁路阻断能力及时切断威胁流量;事后自动化设备零信任隔离结合工业全流量研判结果,及时隔离已感染设备。
第5步——建立完善的安全管理制度
根据用户自动化系统特点应对关键生产数据、研发数据等各类关键数据做好分类、备份与还原工作,加强恢复的资产和整个组织的基础结构,以防止重复的勒索病毒感染和传播。
访问“勒索体检中心” 工业安全诊断无忧
亚信安全 “方舟”工业勒索治理方案有别于市面上由工业协议深度解析、控制行为审计、终端白名单构成缓解措施的惯有模式,建立了以工业自动化系统漏洞弥补、工业流量零信任防御、工业全流量威胁检测与审计溯源的一体化平台,进而形成覆盖“事前、事中、事后”联动防御机制的全链条综合治理体系。
更多详情请访问“勒索体检中心”!您将通过高效的网络安全健康检查,快速评估出风险点,找出隐藏威胁,为现代勒索治理能力进阶做好准备!