随着越来越多的企业通过将其工业流程连接到云来实现现代化,攻击者获得了更多通过勒索软件攻击危害工业运营的途径。根据Claroty的一份新报告,随着对关键基础设施和工业企业的高调网络攻击将工业控制系统(ICS)安全问题提升为主流问题,ICS漏洞披露也急剧增加。该报告涵盖了上半年披露的ICS和OT漏洞,不仅提供了工业设备漏洞普遍性的数据,还提供了围绕它们评估各自环境风险的必要背景。1.ICS安全研究和披露趋势1.ICS漏洞披露ICS漏洞披露正在显着加速,揭示了在操作技术(OT)环境中发现的安全漏洞的严重性。2021年上半年披露了637个ICS漏洞,比2020年下半年披露的449个漏洞增加了41%。其中81%是由受影响供应商的外部资源发现的,包括第三方公司、独立研究人员、学者和其他研究团体。此外,42名新研究人员报告了漏洞。71%的漏洞被归类为高严重性或严重性,反映了暴露的严重性和影响性质及其对运营的潜在风险。90%的攻击都是低复杂度的,这意味着不需要特殊条件,攻击者每次都可以重复成功。74%的攻击者不需要权限,这意味着攻击者未经授权,不需要访问任何设置或文件;66%的攻击者不需要用户交互,例如打开电子邮件、单击链接或附件,或者共享敏感的个人或财务信息。61%可远程利用,表明保护远程连接的物联网(IoT)和工业物联网(IIoT)设备的重要性。65%会导致完全丧失可用性,从而导致资源访问被拒绝。26%的人要么没有可用的修复,要么只进行了部分补救,这突显了与IT环境相比,保护OT环境的主要挑战之一。ICS-CERT警报和供应商建议中提到的最重要的缓解措施包括网络分段(针对59%的漏洞)、安全远程访问(53%)以及勒索软件、网络钓鱼和垃圾邮件防护(33%)。Team82在2021年上半年发现并披露了70个漏洞,超过了Claroty在2020年披露的所有漏洞。Team82总共披露了超过150个影响ICS设备和OT协议的漏洞。Team82的研究调查了影响行业众多领域的各种供应商和产品。由于这些参数,Claroty还研究了第三方产品。Team82在2021年上半年发现的70个漏洞影响了20家自动化和技术供应商。以下两张图表分别列出了受影响的供应商和ICS产品类型:图1Team82发现的受影响ICS供应商图2Team82发现的受影响ICS产品类型2.受影响的ICS产品每个披露的漏洞都可以标记为固件或软件漏洞。在某些情况下,单个漏洞会影响两个区域的多个组件。2021年上半年,大多数漏洞都会影响软件组件,鉴于软件比固件更容易修补,防御者有能力在其环境中优先修补。在检查整个产品系列的固件和软件漏洞时,重要的是要了解,虽然在可归类为固件或软件的组件中发现漏洞,但需要考虑受影响的产品。例如,HMI上可能存在易受攻击的软件配置,或者可能存在连接到泵的以太网模块。下图显示了受这些漏洞影响的产品系列,它们的类别如下:图3受影响的产品细分由于23.55%的漏洞影响了Purdue模型的运营管理(第3层)级别,这解释了为什么许多漏洞影响软件组件。此外,大约30%的已发现漏洞影响了Purdue模型的基本控制(第1层)和监督控制(第2层)层。当然,在影响这些层时,攻击者还可以到达较低层并影响进程本身,使其成为一个有吸引力的目标。图4:工业控制系统Purdue模型的第0-3层图5:产品线中固件或软件漏洞的分类II。2021年上半年披露的所有ICS漏洞评估2021年上半年发布的所有工控系统漏洞统计包括Team82发现和披露的漏洞,以及其他研究人员、厂商和第三方公开披露的所有其他漏洞2021年上半年。Team82的信息来源包括:国家漏洞数据库(NVD)、ICS-CERT、CERT@VDESiemens、SchneiderElectric和MITRE。2021年上半年共公布ICS漏洞637个,影响76家ICS厂商。图62021年上半年发现的ICS漏洞数量及受影响的厂商人员和学者数量。图7漏洞研究来源下图分析了第三方公司主导的外部来源披露的漏洞数量。2021年上半年共发现漏洞341个(占比53.87%)。许多这些公共漏洞是由网络安全公司的研究人员发现的,这表明在进行IT安全研究的同时,重点也转移到了工业控制系统上。需要指出的是,一些披露是多个研究组之间的合作,或者不同的研究人员分别发现并披露了相同的漏洞,2021年上半年共有139个漏洞。图8漏洞发现来源研究组织637个ICS2021年上半年披露的漏洞影响了76家供应商的产品,受影响供应商数量较2020年下半年(59家)有所增加。2020年上半年为53个,西门子是报告漏洞最多的厂商,共计146个漏洞,其中不少是西门子CERT团队内部研究披露的,其次是施耐德电气、罗克韦尔自动化、万可和研华。重要的是要认识到受到大量公共漏洞的影响并不一定意味着供应商的安全状况不佳或研究能力有限。分配大量资源来测试其产品安全性的供应商可能比忽视检查其产品的供应商发现更多漏洞。每个供应商的目录和安装基础也往往会影响其产品披露的漏洞数量。图9受漏洞影响的前五名供应商在2021年上半年,20家产品未受2020年披露的ICS漏洞影响的供应商至少受到2021年上半年披露的一个ICS漏洞的影响。其中6家供应商专注于医疗技术,3家专注于自动化两个在制造业。影响这些新受影响的供应商(20家供应商中的16家)的漏洞是由先前披露漏洞的研究人员发现的。图10受漏洞影响的供应商III。ICS漏洞带来的威胁和风险虽然报告中的许多数字令人大开眼界且令人印象深刻,但它们确实说明了一个持续的趋势:披露的漏洞数量及其修补或缓解的漏洞数量继续呈上升趋势。这种增长背后有很多因素,首先是越来越多的研究人员正在寻找ICS产品和OT协议中的漏洞。此外,将OT管理集成到IT下或将云引入OT的组织不仅提高了业务效率和分析能力,而且还在扩大威胁面并将原本不打算连接的设备暴露在互联网中。最重要的是,深入研究了补丁和其他补救措施,包括供应商提供的缓解措施。软件漏洞的修补速度远高于固件漏洞。在ICS和OT安全领域,由于打补丁和产品更新而导致的停机在许多领域都是不可接受的。因此,对于用户来说,缓解措施意义重大。通过衡量供应商和行业CERT最推荐的缓解措施,发现网络分段和安全远程访问无疑是2021年上半年最主要的缓解措施。随着气隙OT网络成为历史,网络分段在缓解工作中具有突出的特点。虚拟分区(为工程或其他面向流程的功能量身定制的区域特定策略)等技术也将成为不可或缺的缓解措施。同时,安全远程访问是分段之后的首要缓解步骤。适当的访问控制和权限管理对防止下一次Oldsmar型事件大有帮助,更重要的是,防止以利润为导向的行为者通过IT和OT网络横向移动、窃取数据以及释放勒索软件和其他恶意软件。固件修复很少。几乎62%的固件漏洞未修复或建议进行部分修复,其中大部分漏洞部署在PurdueModelTier1产品中。4、下半年值得关注的趋势下半年将出现三大重要趋势:OT云迁移、针对关键基础设施和OT的勒索软件攻击、即将出台的美国网络立法。1.OT云迁移推动企业将云引入工业流程的势头是不可否认的。随着公司开始从云端管理OT和IT,这种融合会带来许多常见风险。数据安全曾经是工业流程的低风险变量,现在也将提升为优先事项,尤其是在监管严格的行业中,组织不仅必须评估威胁,还必须评估风险。例如,加密可能会阻止某些工具获得对网络资产的完全可见性。在气隙环境中,这可以被认为是可以接受的风险,但是一旦资产暴露在网上,情况就不同了。最佳做法是对传输中的数据和静态数据进行加密,以确保在发生事故时能够充分恢复。随着公司开始将服务和应用程序迁移到云端,从PLC等一级设备接收数据,这一点将尤为明显。身份验证和身份管理也必须是组织的云OT纵深防御计划的一部分。2019年的COVID-19大流行加速了远程工作,今年2月的Oldsmar事件表明了系统访问和权限管理控制不力带来的风险。迁移到基于云的基础设施通常意味着组织的部分基础设施(IT或OT)托管在第三方云提供商(如谷歌、亚马逊和微软)的远程服务器上。该基础设施包括一个基于云的管理平台,以支持组织服务的不同用户,例如管理员或工程师。基于用户和角色的策略必须定义用户可以执行的功能以及他们根据角色拥有的特权。云计算分为三种类型:公有云计算、私有云计算和混合云计算。2.勒索软件和勒索软件攻击虽然尚未发现勒索软件专门影响第1层设备,但攻击者已成功影响工业运营。最著名的例子是对ColonialPipeline的攻击,在其IT系统感染勒索软件后,该公司小心翼翼地关闭了美国东海岸上下的燃料输送。攻击者在使用勒索软件时变得更加谨慎,寻找他们认为最有可能支付高额赎金的受害者。虽然市政府、医疗保健和教育曾被视为勒索软件攻击的目标,但大型制造公司和关键基础设施现在已成为攻击目标。另一种在营利性攻击组织中流行的策略是高级入侵、窃取敏感业务或客户数据以及公开披露该信息的威胁,同时可能用勒索软件感染关键系统。同样,攻击者的目标是可能满足其需求的高价值组织。据称,ColonialPipeline和JBSFoods都向威胁行为者支付了数百万美元的加密货币以恢复加密系统。随着越来越多的公司将ICS设备连接到互联网并融合OT和IT,对网络资产的可见性至关重要,有关软件和固件漏洞的信息也很重要,这些漏洞可能被攻击者利用。例如,在基于Windows的机器上运行的工程工作站中的一个缺陷可能允许攻击者破坏IT和OT网络之间的这些交叉点并修改流程,或者提供勒索软件来阻止可能影响公共安全或国家安全的活动。提供关键服务。除了传播网络钓鱼攻击的基于电子邮件的威胁之外,防御者还需要关注安全的远程访问,以及在虚拟专用网络和其他基于网络的攻击媒介中发现的漏洞集合。Team82数据中超过60%的漏洞可以通过网络攻击向量进行远程利用。这凸显了保护远程访问连接和面向互联网的ICS设备的重要性,并在攻击者可以横向跨网络和域移动以窃取数据和投放勒索软件等恶意软件之前切断它们。3.待定的美国网络立法2021年上半年,对Oldsmar、ColonialPipeline和JBSFoods的攻击表明了关键基础设施和制造业对互联网的脆弱性。这些攻击表明,攻击者可以找到薄弱环节,改变公共饮用水中的化学物质含量,或使用商品勒索软件关闭燃料和食品输送系统。这些恶意攻击也引起了美国政府的重视。许多政府资助的网络相关活动特别指出,工业网络安全对国家安全和美国经济至关重要。美国总统乔拜登在7月签署了一项关键基础设施国家安全备忘录,该备忘录建立了工业控制系统网络安全倡议,这是一项自愿倡议,旨在让私营部门所有者和运营商使其系统与当前威胁保持一致。随着美国政府将在9月之前设定绩效目标,这些自愿计划将不可避免地成为部署可提供OT网络可见性和威胁检测的技术的强制性计划。该备忘录遵循5月签署的一项行政命令,旨在改善私营部门和公共部门之间的威胁信息共享,使联邦网络安全标准现代化,加强供应链安全,建立网络安全审查委员会,制定应对网络事件的标准剧本,改进事件检测在联邦网络上,以及更好的调查和补救能力。它遵循一个100天的冲刺来提高电网网络安全,这也强化了公用事业私营部门所有者和政府之间更好的信息共享的主题。拜登政府还通过TSA对Colony管道事件做出了强烈反应,并发布了一项安全指令,以提高管道网络的弹性,包括在发现后12小时内强制报告事件、定期漏洞评估和防范勒索软件攻击。展望未来,华盛顿的法案草案包括严格的事件发生后报告要求。必须保持谨慎和耐心,以确保这些法规不会给资源不足的小型公用事业公司和关键基础设施运营商带来额外的风险或不切实际的期望。政府必须在识别和清除网络攻击者的目标与对将从指导和资金中受益的公司进行监管之间取得平衡。还必须了解OT漏洞管理的现实以及在高可用性环境中修补工业设备或更新未连接到互联网或数十年未更新的旧设备的挑战。这是关键基础设施中的动态防御者必须面对的问题,以确保在没有立即修补选项时,或者在完整的软件或固件更新可用之前,需要它们的防御者可以使用缓解措施。五、上半年主要事件以下事件和趋势可能在一定程度上帮助塑造了2021年上半年的ICS风险和脆弱性格局。1.COLONIALPIPELINE攻击美国东海岸最大的汽油、柴油和天然气经销商ColonialPipeline遭到勒索软件攻击,油气运输受到影响。5月7日的停工对该行业产生了直接影响,因为东海岸约45%的燃料由Colony供应。停电推高了汽油和家用取暖油的价格,许多加油站的燃料都用光了。这是ColonialCorporation57年历史上的第一次关闭。TheColony于5月13日恢复运营。据称,销售勒索软件即服务(RaaS)的俄罗斯网络犯罪集团DarkSide应对此次攻击负责。DarkSide窃取敏感数据并勒索受害者,威胁说如果不满足赎金要求就将其发布。根据此前的报道,DarkSide似乎只是在寻找能够支付高额赎金的受害者,他们声称不针对医疗机构、教育机构或政府机构。Colonial支付了440万美元的比特币赎金,其中230万美元被美国政府追回,但据报道DarkSide在袭击发生后不久就放弃了运营。2.Oldsmar水利袭击事件2月5日,佛罗里达州Oldsmar的一家水处理设施遭到袭击。Oldsmar设施内的操作员检测到两次来自工厂外部的入侵,第二次涉及通过TeamViewer桌面共享软件连接的远程攻击者,这是一种用于技术支持解决方案的合法远程访问。远程攻击者将住宅和商业饮用水中的氢氧化钠含量从百万分之100更改为百万分之1100。将氢氧化钠(又称碱液)加入水中以控制酸度并去除某些金属。碱液也是下水道清洁剂中的主要试剂,是一种腐蚀性物质,如果摄入会很危险。运营商切断了攻击者的连接,并在水处理系统固有的安全措施的支持下,阻止了受污染的水进入公众。3.JBSFOODS攻击5月30日,全球最大的肉类供应商JBS遭到勒索软件攻击,导致澳大利亚、加拿大和美国的工厂关闭。美国关闭的工厂也导致近五分之一的肉类加工能力损失。FBI将这次袭击归咎于REvil,也称为Sodinokibi。Revil是一个提供RAAS的黑客组织。他们以勒索巨额赎金、双重勒索大公司、在加密前窃取数据并将这些数据发布在名为HappyBlog的黑暗网站上而闻名。JBS维护一个备份系统,并能够使用它来恢复操作以恢复数据。尽管如此,该公司还是向攻击者支付了1100万美元的赎金以挽回损失。
