ColonialFuelProductsPipeline上的网络攻击说明了关键基础设施的安全风险,尤其突出了保护旧操作技术系统的挑战......ColonialPipeline,美国和东部最大的精炼产品管道的主要供应商向海岸和南部一些州输送汽油和喷气燃料。关键基础设施对现代社会和经济的运作至关重要,但这些系统往往没有得到妥善保护或无法轻松访问和利用,因此仍然是犯罪分子的主要目标。尽管人们越来越意识到运营技术(OT)网络风险的严重性,但事实是OT环境仍然脆弱。在今年的前几个月,我们看到了有关该行业多个漏洞被利用的消息,例如美国佛罗里达州的水厂漏洞,以及最近的美国最重要的燃料供应商之一的ColonialPipeline状态。勒索软件攻击事件。鉴于在工业环境中实施的系统和技术的使用寿命很长,与正常运行时间、可靠性和稳定性相比,安全历来被降为次要优先事项。根据PonemonInstitute的报告,全球56%的天然气、风能、水力和太阳能公用事业每年至少经历一次停机或运营数据丢失,这不足为奇。由于大流行,这个数字可能有所增加,因为许多组织没有为关键系统的远程管理做好准备。事实上,虽然领导者认同远程访问的重要性,但Claroty去年报告称,26%的组织为此苦苦挣扎,22%的组织没有足够安全的OT安全远程访问解决方案。随着OT环境在新的潜在中断面前不断发展,现在是领导者优先考虑安全并了解其影响的时候了,这样他们就可以采取行动保护其组织和国家的关键基础设施。了解新旧格局在过去几年中,我们看到了OT和基于IT的安全基础设施和流程之间的融合。但是,正如我们在Colonial管道攻击中看到的那样,这些集成的生态系统变得更加难以保护,从错误配置、易受攻击的硬件/软件组件和糟糕的网络安全实践到缺乏对连接资产的可见性。可见性和网络分割不佳。除了OT-IT环境的融合之外,COVID-19大流行还促使许多组织改变其网络安全流程,以适应远程工作的新需求。然而,对手很快意识到,以在家工作的员工为目标提供了进入OT网络的可行途径,并转而利用IT和OT环境交互的在家工作、未打补丁的虚拟专用网络(VPN)系统。连接并利用旧版Windows和OT系统中的漏洞。OT已迅速成为攻击性和资源充足的威胁行为者的主要目标,他们不断重新设计策略以渗透新的和增强的安全措施。事实上,2020年OT中可利用的漏洞显着增加。与2019年相比,去年ICS-CERT通知增加了32%以上,其中超过75%的通知是关于“高”或“严重”严重性漏洞的。威胁参与者还使用勒索软件活动来针对OT环境,因为他们了解这些环境的任务关键性。例如,关闭输送美国东海岸45%燃料的管道每天将使管道运营商损失数百万美元。OT基础设施技术的特定性和关键任务性质意味着大多数安全和威胁情报解决方案都缺乏对潜在漏洞的洞察力,更不用说抵御攻击的能力了。预防和降低风险那么如何增强当今OT环境的安全性呢?为了保护、预防和减轻风险,组织可以采取几个重要步骤来改善其安全状况。实施风险管理程序:OT围绕复杂系统构建,传统资产管理系统通常无法正确跟踪这些系统。设计有效的OT安全程序需要一个风险模型,该模型专门映射这些系统的功能要求,同时提供权衡的潜在现实后果的整体视图。作为该计划的一部分,使用Purdue模型的组织应确保记录级别之间的流量,尤其是当流量跨越多个Purdue级别时。制定网络事件响应计划:如果说我们应该从COVID-19大流行中学到一件事,那就是我们需要为任何事情做好准备。需要一个全面的网络事件响应计划,其中包括主动和反应措施,以帮助预防事件并更好地让组织在事件发生时做出响应。请务必打印出应对计划并随身携带。如果存储您的事件响应计划的系统被加密或由于攻击而无法使用怎么办?安全的第三方远程访问:组织通常依赖第三方供应商来补充其运营;然而,许多公司没有统一的网络安全政策和做法。许多OT站点甚至由第三方供应商通过远程访问技术定期维护,从而在运营链中造??成可利用的弱点。建立审查外部供应商安全标准并更好地控制第三方访问的供应链管理计划对于降低第三方引入的风险至关重要。增强的系统监控器:可靠的外围网络已经不够用了。保护OT系统免受现代威胁需要精心策划和实施的战略,使防御团队能够快速有效地检测、响应和响应对手。至少,企业的IT域和OT域应该在物理上和逻辑上分开,网络必须分段,网络的关键部分应该与不受信任的网络,尤其是互联网隔离。部署专门为OT环境设计的被动入侵检测系统(IDS)等监控工具也很重要。反应性系统是关键,因为主动系统可能会遇到可能导致严重系统停机的误报检测。制定明智的安全控制措施:要建立所需的控制措施,我们必须从资产清单开始。一旦确定了资产,组织就需要至少实施设备和系统供应商提供的安全功能。但是,为了解决一些严重漏洞,我们建议启用应用通用工业协议(CIP)安全控制的安全功能,这是一个相当通用的标准。许多PLC供应商还在其设备上配备了物理开关,以防止更改PLC的配置,应正确使用这些开关。我们看到许多工厂和OT站点总是将这些开关设置为“配置模式”,这允许更改PLC配置(可能由攻击者进行)。这些应该辅之以安全和强化的配置(读/写保护、内存保护等)。随着时间的推移管理控制可能会令人生畏,而且OT系统升级之间的时间间隔可能长达数年,组织需要一个有效的变更管理计划。该程序应该能够识别可用于修复无法立即修补的关键漏洞的补偿控制。这些控制可以包括主机监控系统,当对人机界面(HMI)、工程工作站或PLC进行未经授权的更改时,主机监控系统会检测并发出警报。建立审计和安全评估:最后,许多因素会影响系统整个生命周期的安全性,因此定期测试和验证系统至关重要。及时的审计和评估有助于消除攻击者可以利用的“阻力最小的路径”。
