從2021年重大網路安全事件中吸取三個OT安全教訓

輸油管道、水處理廠和鐵路系統有什麼共同點?它們都依賴於操作技術(OT)環境，它們都是網路攻擊的受害者，這些網路攻擊事件成了全球頭條新聞。

Colonial管道、Oldsmar水處理廠和伊朗鐵路事件都因其對現實生活產生嚴重影響使人感到震驚。但新聞只告訴了我們事件，多數企業沒有注意到的是， OT、IOT、AIOT中的應用軟體，大多數基於開源框架，開源框架的原始碼、疊加的自研原始碼。都需要進行安全漏洞測試。

在每個事件中，都有關鍵的OT安全教訓需要學習，以便其他機構可以避免重蹈覆轍。

Colonial Pipeline：網路分割的一課

Colonial Pipeline 勒索軟體攻擊是2021年最重大的攻擊之一，因為它引發了汽油短缺危機。當Colonial Pipeline 執行長約瑟夫·布朗特 (Joseph Blount)在美國國會作證時，人們發現這次襲擊是完全可以避免的。Blount承認，Darkside 勒索軟體組織是透過不需要多因素身份驗證的VPN獲得訪問許可權。

儘管Darkside控制了Colonial Pipeline的IT系統，但網路分割限制了此次攻擊對Colonial Pipeline運營的影響。一旦Colonial Pipeline知道其IT業務受到影響，它選擇主動將OT系統離線，以防止攻擊蔓延。

隨著IT和OT網路不斷融合，企業需要了解這些網路是如何連線的，並採取適當的步驟來保護高風險資產。例如，現場裝置沒有理由與IP安全攝像機進行通訊。

透過更好地瞭解IT和OT網路如何連線和通訊，安全團隊可以更快地響應威脅。

這種方法需要網路監控和執行工具來識別當前的網路通訊，檢測威脅和違反，並執行分割規則。檢測到的威脅可以轉發到SIEM/SOAR系統進行調查或觸發自動響應操作。

佛羅里達州奧爾茲馬的水處理廠：可見度的教訓

今年2月，水處理廠員工注意到他們電腦螢幕上的氫氧化鈉含量迅速上升。有人遠端訪問了系統，但員工阻止駭客橫向進入其他IT基礎設施。據報導，這次事件中使用的攻擊載體是一個名為TeamViewer的遠端連線工具。

隨著開始居家辦公，遠端訪問的使用有所增加，因此企業需要確保只允許經批准的遠端訪問連線，並持續監控VNC、SSH、RDP等通訊。

Oldsmar水處理廠由於其員工的警覺而能夠防止攻擊造成更多損害，但類似處理廠中的許多其他OT系統可能缺乏安全團隊識別這些攻擊所需的可見性。

隨著OT環境進行數字化轉型，必須保持對這些聯網裝置的可見性。可見性解決方案可以幫助企業識別他們的資產、它們在網路上的部署位置、它們是否連線到Internet 以及如何控制它們。可見性解決方案甚至可以幫助識別漏洞，以及惡意行為者如何利用這些漏洞破壞系統運營。

伊朗鐵路：供應鏈漏洞管理的一課

今年7月，由於一個名為Indra的駭客組織滲透到IT系統並傳播名為MeteorExpress的惡意軟體，伊朗鐵路公司不得不關閉其鐵路系統。伊朗一直沒有透露這次襲擊的細節，導致安全研究人員形成了他們自己的假設。

培訓系統依賴於與IT系統整合的各種關鍵OT系統。這包括從訊號解決方案到感測器和制動單元裝置的所有內容。所有這些都連線到網路，其中許多還包括軟體，使這些系統和裝置能夠收集資料，並將資料發回操作中心。為了實現這種通訊，連線的裝置依賴於一種叫做TCP/IP堆疊的軟體。

Forescout的研究顯示，在超過12個TCP/IP協議棧實現中存在近100個漏洞。這些漏洞如果被利用，將允許駭客使系統和裝置離線，包括火車監控系統中的一個特定漏洞。這一切都表明，伊朗鐵路事故同樣有可能發生世界各地。

當談到保護第三方軟體的共同責任時，企業應該更加積極地對軟體供應商進行評估。理想情況下，行業應該鼓勵具有安全軟體設計生命週期和漏洞利用緩解的供應商，在開發期間透過 靜態程式碼檢測可以幫助開發人員減少30%-70%的安全漏洞，在上線前提高軟體安全性，築牢網路安全基礎。

在被迫做出反應之前先積極主動

在IT/OT融合、網路系統透明度和第三方供應商安全評估方面，關鍵基礎設施的運營商需要更加積極主動。隨著對關鍵基礎設施的攻擊增加，當前政府機構的審查和監管也隨之增加。

在網路安全防禦上，現在採取行動的企業將不必或更少擔心因觸犯法規而受到懲罰。透過對網路進行分段、提高企業網路系統的視覺化程度和提高對第三方軟體安全風險評估，可以更好地做好準備，以最大限度地減少未來發生類似事件的可能性降低網路安全事件影響。

參讀連結：

https://www.helpnetsecurity.com/2021/10/29/ot-security-lessons/