2020年,一個名為耶路撒冷電子軍(Jerusalem Electronic Army)的黑客組織在社交媒體上發布了幾條帖子,聲稱已經破壞了屬于以色列公共供水基礎設施的控制系統。以色列國家網絡局(INCD)發出安全警報,要求能源和供水部門立即更改所有聯網連接控制系統的密碼,減少聯網連接,并確保安裝最新版本的控制器。
后續的媒體報道披露了該次安全攻擊事件的一些細節,值得關注的是黑客將SCADA(數據采集與監控)系統作為攻擊目標——工業從業者都知道,數據采集和監測控制是工業過程中極為重要的環節,它能幫助管理者實時發現生產問題并調整生產計劃。可以說,作為工業控制系統重要組成部分的SCADA的安全至關重要,一旦遭遇黑客攻擊,輕則某個工業領域受到重創,重則整個國家關鍵基礎設施癱瘓。
好消息是,該組織最終沒有擾亂或破壞以色列的供水,而是在展示自己的能力,試圖發表政治或文化聲明。不過,類似的事件已經在全球范圍為工業運營的網絡安全敲響了警鐘。
上個月,羅克韋爾自動化(Rockwell Automation)發布了名為《工業運營中100多起網絡安全事件解剖》的調研報告,該份報告分析了122起網絡安全事件,其中包括對OT/ICS(工業控制系統)的直接威脅,每起安全事件都收集和審查了近100個數據點。
根據對這些安全事件的分析,關鍵發現如下:
在過去短短幾年的時間內, OT/ICS 安全事件已超過 1991 年至 2000 年期間報告的總數。
能源行業受到的安全攻擊最為集中(39%),受到攻擊的頻率是排行第二垂直行業的三倍多。
網絡釣魚仍然是最為流行的攻擊技術 (34%),這突顯了安全策略(例如氣隙、網絡分段、隔離、零信任和安全意識培訓)對于降低風險的重要性。
在超過一半的 OT/ICS 安全事件中,SCADA系統都被作為攻擊目標 (53%),PLC則是第二常見的攻擊目標 (22%)。
超過 80% 的威脅者來自外部組織,但在大約三分之一的安全事件中,內部人員無意中為威脅者打開了大門。
在報告調研的 OT/ICS 安全事件中,60% 導致運營中斷,40% 導致未經授權的訪問或數據泄露。然而,安全攻擊的損害超出了受影響的企業范圍,因為更廣泛的供應鏈在 65% 的情況下也會受到影響。
研究表明,在大多數OT事件中,攻擊者首先進入IT網絡。所以加強 IT 系統的安全對于打擊關鍵基礎設施和制造設施的網絡攻擊至關重要。
本文將對報告的精華內容進行編譯:
關鍵發現(1)
在最近短短幾年的時間里,OT/ICS 安全事件已超過 1991 年至 2000 年期間報告的總數。
在2022年,報告顯示,針對Modbus/TCP端口502(一種常用的工業協議)的對抗性偵察增加了2000%,這可能允許黑客控制物理設備并破壞OT操作。
安全攻擊事件的數據和頻率增加,不僅是因為確實有更多目標遭受其害,還因為有更好的檢測工具和能力來幫助識別安全攻擊事件。
下圖具體顯示了該份報告分析的122起網絡安全事件的調查結果。
羅克韋爾自動化發現:
美國和整個歐洲對OT網絡安全的監管正越來越強,尤其是對涉及關鍵基礎設施領域的行業。更強的監管意味著工業組織應該評估他們目前的網絡安全保護措施是否存在潛在漏洞,增加更多的主動安全措施以更好地保護他們的工業運營。
關鍵發現(2)
在本報告分析的所有安全事件中,60%的OT/ICS事故會導致運營中斷。
40%的OT/ICS事故會導致未經授權的訪問或數據暴露。
在超過一半的OT/ICS安全事件中,SCADA系統都是攻擊目標,其次的目標是PLC。中鋼協和美國國家安全局在一份OT網絡安全咨詢報告中對PLC的攻擊提出了警告。
更廣泛的供應鏈在大約65%的時間內也會受到影響。一家日本汽車制造商暫停了14家工廠的28條生產線的運營,至少持續了一天。此前,該公司的一個關鍵供應鏈合作伙伴——一家塑料零部件和電子元件制造商——疑似遭到了網絡攻擊。
關鍵發現(3)
如下圖所示的數據,能源行業受到的安全攻擊最為集中(39%),受到攻擊的頻率是排行第二垂直行業的三倍多。正如所報道的那樣,基礎設施受到攻擊后可能造成的巨大影響也為勒索軟件和敵對勢力創造了更大的機會。然而,發電廠、變電站和相關基礎設施也在逐步老化,其中許多甚至是在50年前建成的,舊的基礎設施顯然在安全控制方面有所不足。
美國政府已經認識到越來越多針對供水和廢水處理部門的安全事件,并在相關部門和其他關鍵基礎設施部門實施了應急法規。
監管機構加強報告要求是全球趨勢。政府正在強迫公共和私營實體披露安全攻擊事件、數據被盜和贖金支付情況。歐盟的一項此類法規是《安全網絡和信息系統指令》。
關鍵發現(4)
超過80%的安全事件都始于IT系統的威脅。這可以歸因于不斷增加的互聯性;大多數OT網絡通過IT網絡與外界通信。此外,攻擊者越來越多地利用面向互聯網的系統,如人機界面(HMIs)和工程工作站應用程序,這些都是主要的攻擊目標。
這強調了在工業互聯不斷增加的時代,建立正確的網絡架構以支持企業安全的重要性。如果不正確地設置網絡、將OT網絡分隔并進行氣隙隔離,以及采用其他最佳實踐,如不斷進行員工安全意識培訓,告知他們攻擊的潛在風險會增加。
羅克韋爾自動化建議:
隨著安全意識的進一步進化,對更強大的OT安全保護的需求也在增加。僅僅在IT和OT環境之間設置防火墻不再足以有效地分隔IT和OT網絡以防止攻擊。遠程訪問也是如此,攻擊者經常能夠輕易地規避標準做法,比如密碼。如果沒有更強大的保護措施,終端設備將有可能被滲透。必須考慮額外的對策,包括一個明確定義的事件響應計劃,可以幫助您的組織迅速應對和從網絡安全事件中恢復元氣。
關鍵發現(5)
超過80%的攻擊者來自組織外部。
內部人員在超過三分之一的安全事件中扮演了一個“間接”的角色。內部人員的“間接”角色主要是成為釣魚攻擊的受害者。
在Cyentia的研究中,將近60%的攻擊者來自與國家相關的團體。許多攻擊者的身份和地理位置都被隱藏起來。威脅行為者付出了巨大的努力來掩蓋這些信息。
報告顯示,發起安全攻擊最常見的動機是政治或經濟驅動。
關鍵發現(6)
在本報告選取的樣本中,歸因于國家相關團體的攻擊比其他研究更高,幾乎占所有攻擊的60%。在其他研究中——比如Cyentia研究院發現,只有略超過1%的網絡攻擊事件可以歸因于國家行為。
然而,令人驚訝的是,考慮到國家相關團體通常想要影響關鍵基礎設施、供應鏈、從關鍵系統中竊取數據,或者只是讓OT系統脫機,上述結論并非不合邏輯。
在2020年一次臭名昭著的攻擊中,俄羅斯政府支持的黑客利用系統漏洞入侵了200多個系統。攻擊者使用來自至少三個組織的憑證來執行攻擊,影響了多個美國政府系統、北約、英國和歐盟系統。結果,美國對俄羅斯實施了制裁。而滲透和泄露國際政府數據的影響需要數年時間才能完全消解。
關鍵發現(7)
釣魚在初始訪問(攻擊)技術中一直占據著最簡單、最成功的地位。釣魚已經發展到包括電子郵件、在線、短信/文本消息和語音/電話等多個領域,使其成為網絡犯罪分子的強大武器。
外部遠程服務在IT和OT事件的初始訪問方法中排名第二。雖然其意圖是為合法用戶提供遠程訪問權限,但自2020年以來,這已成為攻擊者的入口。
智能目標:隨著攻擊者的技術水平提升,網絡上的任何“智能”設備都可能成為攻擊目標。使用實時網絡資產清單、全天候威脅檢測以及有關可移動媒體的適當策略和程序等最佳實踐,有助于防止IT攻擊轉向OT,從而有可能關閉組織的供應鏈、流程,甚至整個物理工廠。
關鍵發現(8)
根據MITRE的說法,“ATT&CK for ICS側重于那些以攻擊工業控制系統為主要目標,試圖干擾工業控制流程、破壞財產或通過攻擊工業控制系統來對人類造成臨時或永久傷害或死亡的對手。”
在IT環境中,攻擊通常從網絡發現開始,這用于幫助攻擊者了解資產的位置以及如何訪問它們。
在OT領域,攻擊者通常試圖直接影響工業流程。許多人試圖以獲取金錢為目的,比如贖金,或是追求其他涉及經濟或軍事優勢的結果。2022年,美國境內威脅行為者攻擊工業組織的數量增長了35%,導致同一時期內數據泄露事件增加了87%。
攻擊者使用橫向工具傳輸,利用遠程服務和標準應用層協議來操縱操作員的視圖,并且在許多情況下接管特定的OT進程。
關鍵發現(9)
數據泄露對企業的影響最大。
當發生破壞業務的攻擊時,影響是廣泛的。即使沒有wannacry式的事件,組織也會受到負面影響。
讓我們來看看這些ATT&CK分類的影響——首先,我們從MITRE企業框架進行比較。在“通過C2通道外傳”的攻擊中,攻擊者竊取數據,然后使用現有的命令和控制通道將數據外傳,這是此類事件影響企業運營的主要方式。
另外兩種攻擊類型,“數據加密影響”和“數據破壞技術”,是網絡攻擊影響企業的前三種方式。總的來說,下圖中顯示的前三種MITRE攻擊和攻擊技術最常與勒索軟件攻擊相關聯。
關鍵發現(10)
“操縱視圖”和“操縱控制”是影響ICS環境的前兩種主要方法。
進一步看,排名前三的ICS ATT&CK分類之一是“生產力和收入損失”。當我們將這種方法與先前提到的“操縱視圖”和“操縱控制”的攻擊類型聯系起來,可以清楚地看到在這些事件中供應鏈可能會受到影響。如果惡意用戶操縱了負責生產的OT/ICS系統的視圖和控制,他們還可能滲透并影響組織合作伙伴、供應商和客戶的整個產品供應鏈。
當我們回顧在非能源領域使用的技術時,供應鏈影響是最常見的三個結果之一。這種深遠的影響,遠遠超出了組織的邊界,因此對于各行各業的組織來說,保護自身免受網絡攻擊極其重要。
寫在最后
隨著越來越多的系統、網絡和設備連接到OT/ICS環境中,建立強大的現代OT/ICS安全計劃必須成為每個工業組織維護安全、可靠運營和持續可用性的責任的一部分。
報告的最后,羅克韋爾自動化也給出了一些加強OT安全的建議:
專注于縱深防御,包括借鑒零信任(Zero Trust)和NIST網絡安全框架等。
通過更強的密碼和多因素身份驗證來確保遠程訪問的安全性。
24/7 全天候監控威脅。
將IT和OT網絡進行分隔,充分利用防火墻配置,以防止IT攻擊滲透到OT環境中。
持續培訓內部員工,使其了解最新的網絡釣魚詐騙,并學會如何避免它們。
如需獲取報告全文,可關注公眾號【物聯網智庫】,后臺回復關鍵字“羅克韋爾自動化報告”下載~
