威脅參與者如何進入 OT 系統
過去,網路攻擊者在很大程度上忽略了操作技術(OT)系統,例如工業控制系統和 SCADA 系統,因為很難獲得專有資訊,或者 OT 系統未連線到外部網路且資料不易滲透。
但現在已經不是這樣了。今天,許多工業系統都連線到公司網路,可以訪問網際網路,並使用從連線的感測器和大資料分析的一切來改進運營。OT 和 IT 的這種融合和整合導致了越來越多的網路風險,包括跨 IT 和 OT 的有效和有影響的網路事件。
OT 世界中的網路安全威脅與 IT 不同,因為其影響不僅僅是資料丟失、聲譽受損或客戶信任度下降。OT 網路安全事件可能導致生產損失、裝置損壞和環境洩漏。保護 OT 免受網路攻擊需要一套不同於保護 IT 的工具和策略。讓我們看看網路安全威脅通常如何進入 OT 的受保護環境。
進入 OT 的 主要媒介
惡意軟體可以通過兩種主要媒介進入 OT 環境中的安全生產設施:通過網路或通過可移動媒體和裝置。
攻擊者可以通過跨可路由網路的防火牆利用網路資產進入 OT 系統。適當的 OT 網路最佳實踐,如網路分段、強身份驗證和多個防火牆區域,可以大大有助於防止網路事件。
BlackEnergy 惡意軟體在首次記錄的針對電網的有針對性的網路攻擊中使用,它通過向網路 IT 端使用者傳送魚叉式網路釣魚電子郵件危害了一家電力公司。從那裡,威脅行為者能夠轉向關鍵的 OT 網路,並使用 SCADA 系統開啟變電站中的斷路器。據報導,這次襲擊導致超過 200,000 人在冬季 斷電六個小時 。
雖然“sneakernet”這個詞可能是新的或聽起來很尷尬,但它指的是這樣一個事實,即 USB 儲存裝置和軟盤等裝置可用於將資訊和威脅上傳到關鍵的 OT 網路和氣隙系統中,只需網路攻擊者親自攜帶它們進入設施並將它們連線到適用的系統。
USB 裝置繼續帶來挑戰,尤其是當組織越來越依賴這些行動式儲存裝置來傳輸補丁、收集日誌等時。USB 通常是鍵盤和滑鼠支援的唯一介面,因此無法禁用它,從而啟用備用 USB 埠。因此,存在在我們試圖保護的機器上插入外來裝置的風險。眾所周知,黑客會在他們所針對的設施內和周圍植入受感染的 USB 驅動器。員工有時會發現這些受損的驅動器並將它們插入系統,因為這是確定其中一個驅動器上的內容的唯一方法——即使沒有任何標籤,如“財務業績”或“員工人數變化”。
Stuxnet 可能是最臭名昭著的惡意軟體被 USB 帶入隔離設施的例子。這種極其專業和複雜的計算機蠕蟲被上傳到一個氣隙核設施中,以改變可程式設計邏輯控制器 (PLC) 的程式設計。最終結果是離心機旋轉太快太久,最終導致裝置物理損壞。
現在,生產環境比以往任何時候都面臨來自惡意 USB 裝置的網路安全威脅,這些裝置能夠繞過氣隙和其他保護措施從內部中斷操作。《 2021 年霍尼韋爾工業網路安全 USB 威脅報告 》發現,從 USB 裝置檢測到的威脅中有 79% 有可能導致 OT 中斷,包括失去視野和失去控制。
同一份報告發現 USB 的使用增加了 30%,而其中許多 USB 威脅 (51%) 試圖遠端訪問受保護的氣密設施。霍尼韋爾審查了 2020 年來自其全球分析研究與防禦 (GARD) 引擎的匿名資料,該引擎分析基於檔案的內容,驗證每個檔案,並檢測通過 USB 傳入或傳出實際 OT 系統的惡意軟體威脅。
TRITON 是第一個被記錄使用的惡意軟體,旨在攻擊生產設施中的安全系統。安全儀表系統 (SIS) 是工業設施自動化安全防禦的最後一道防線,旨在防止裝置故障和爆炸或火災等災難性事故。攻擊者首先滲透到 IT 網路,然後再通過兩種環境均可訪問的系統轉移到 OT 網路。一旦進入 OT 網路,黑客就會使用 TRITON 惡意軟體感染 SIS 的工程工作站。TRITON 的最終結果是 SIS 可能會被關閉,並使生產設施內的人員處於危險之中。
物理裝置也可能導致網路事件
我們需要注意的不僅僅是基於內容的威脅。滑鼠、電纜或其他裝置也可以成為對抗 OT 的武器。
2019 年,惡意行為者將目標鎖定在有權訪問控制網路的受信任人。該授權使用者在不知不覺中將真正的滑鼠換成了武器化滑鼠。一旦連線到關鍵網路,其他人就會從遠端位置控制計算機並啟動勒索軟體。
發電廠支付了贖金;然而,他們沒有取回他們的檔案,不得不重建,影響了三個月的設施。在使用裝置之前,您必須瞭解裝置的來源。
抵禦網路威脅的 3 個步驟
網路威脅不斷演變。首先,定期檢查您的網路安全策略、政策和工具,以掌握這些威脅。其次,USB 使用威脅正在上升,因此評估您的 OT 操作風險以及您當前對 USB 裝置、埠及其控制的保護措施的有效性非常重要。
最後但並非最不重要的一點是,強烈建議採用縱深防禦策略。該策略應分層 OT 網路安全工具和策略,為您的組織提供最佳機會,使其免受不斷變化的網路威脅的侵害。
來自 “ https://www.darkreading.com/edge-articles/how-thre ”,原文連結:http://blog.itpub.net/31545812/viewspace-2845008/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 內網威脅感知與攻擊溯源系統內網
- 新基建下的威脅狩獵|看綠盟綜合威脅分析系統
- 雲原生網站威脅掃描系統網站
- 企業如何打造“秒級響應”的威脅情報系統?
- 智慧營銷系統威脅到實體商家
- Win10病毒和威脅防護如何關閉_win10系統關閉病毒和威脅防護的方法Win10
- 安全要素與 STRIDE 威脅IDE
- ClickHouse與威脅日誌分析
- 博弈論之:威脅與承諾
- 益普索:2023年國際事務中的威脅和參與調查
- 企業上雲安全實踐——公有云業務系統安全威脅與防護
- 升訊威線上客服系統:客戶收到攻擊威脅勒索,我是如何保障客戶安全的
- win10系統如何檢視windows defender掃描的威脅歷史記錄Win10Windows
- Win10系統如何進入bios Win10系統進入bios的方法Win10iOS
- 2019年網路安全威脅統計
- 教你如何避免威脅建模7大“坑”
- 如何有效區分網路安全威脅?
- 在Linux中,如何使用Suricata進行實時網路威脅檢測?Linux
- 網路安全需求分析,傳統威脅有增無減新型威脅層出不窮
- win10不進入系統安全模式怎麼進 win10不進系統進安全模式如何進入Win10模式
- IJCAI 2020 | 港科大、微眾銀行:推薦系統中的隱私威脅與對策AI
- 如何進行系統分析與設計
- 什麼是網路安全威脅?常見威脅有哪些?
- 綠盟威脅情報專欄|6月威脅熱點
- 綠盟威脅情報專欄|7月威脅熱點
- Win10系統windows Defender開啟失敗提示“病毒和威脅防護”如何解決Win10Windows
- 江民病毒威脅預警系統護航外交部網路安全
- 威脅建模基礎
- 郵件安全威脅
- 勒索軟體猖狂?看零信任如何化解威脅
- 管控內部威脅,資料如何安全使用?
- win10 1903系統如何進入安全模式Win10模式
- Websense網際網路威脅報告:Web威脅更具混合性Web
- AI的存在不是威脅真正的威脅是沒有正確使用AIAI
- 微軟蘋果Linux等作業系統遭受嚴重安全漏洞威脅微軟蘋果Linux作業系統
- 國利網安:2022工業控制系統安全威脅白皮書(附下載)
- 如何進入Android系統的Bootloader和Recovery環境Androidboot
- Win10系統如何進入設定功能頁Win10