SolarWinds供应链APT攻击风暴席卷全球,也给工控系统安全敲响了警钟,因为类似于NotPetya和Havex曾经波及工业控制系统、SolarWinds供应链的SUNBURST和SUPERNOVA恶意软件(后门)再次向世人证明,目前的防火墙、杀毒系统、入侵检测系统对此类攻击无能为力,而随着集成开发OT网络和企业网络、类似于SolarWinds的供应链该漏洞的强大威力引起了勒索软件组织的极大兴趣。如果能够干掉甚至控制工控系统OT网络的关键进程,那么勒索赎金的筹码可能就不再是解密数据,而是花钱消灾甚至换命.根据本周Dragos和X-Force发布的《针对工控系统的勒索软件攻击评估报告》,针对工业实体的勒索软件攻击在过去两年中猛增了500%以上(下图)。勒索软件占ICS相关网络攻击的百分比(2018-2020)来源:Dragos值得注意的是,与其他类型的网络犯罪类似,针对ICS的勒索软件事件的迅速增加似乎与全球COVID-19大流行有关同步。研究人员指出:“勒索软件攻击者利用用户对健康和安全的担忧,并使用以冠状病毒为主题的网络钓鱼诱饵进行初始访问操作。”攻击地域分布:可以看出,北美是工控勒索软件的重灾区,占比接近一半,其次是欧洲(31%)和亚洲(18%)。制造业工控勒索病毒增长三倍从行业分布来看,制造业是工业勒索病毒增长最快的领域,2018年到2020年数量增长了两倍。近两年,制造业也是最受攻击的行业。勒索软件攻击最频繁的行业,占攻击总数的36%。在某些情况下,攻击者专注于冷藏设施和生物医学,制药商正在研究和开发病毒疫苗和分发方法,这可能会破坏重要药物的开发和分发。从2018年到2020年,Dragos和X-Force记录了194次针对工业控制系统(包括为工业控制系统提供OT基础设施和环境的托管服务提供商和电信公司)的勒索软件攻击。猖獗的ICS勒索软件家族有9个,其中Revil(Sidinokibi,17%)、Ryuk(14%)和Maze(13%)位列前三。(下图)据FireEye今年夏天的一份报告显示,已发现7个勒索软件家族针对运营技术(OT)软件进程,数十个工控系统软件进程被列入勒索病毒查杀进程的“黑名单”中。工控勒索病毒威胁趋势分析还发现,勒索病毒将成为未来工控系统面临的主要威胁之一。越来越多的勒索软件组织开始将数据窃取和勒索操作纳入其攻击手段,勒索软件造成的影响和损失可能比泄露知识产权等关键数据破坏操作更大。像EKANS这样能够杀死工控系统关键进程的新型勒索软件,或将成为未来工控系统攻击的基础和主流方向。此外,该报告预测,将有使用勒索软件作为掩护和伪装的民族国家黑客行动。(编者按:以最近伊朗针对以色列的Pay2Key活动为例。)报告称,公共网站上被盗和泄露的数据也可能为ICS攻击者提供受害者数据,这些数据可以指导未来的ICS破坏性攻击。缓解建议为了在ICS环境中打击勒索软件,研究人员建议资产所有者和运营商采用有效的纵深防御安全策略,重点关注以下方面:为了业务连续性和生产。”确保在所有IT环境中尽可能启用MFA(多因素身份验证),尤其是安全设备、关键网络服务(如ActiveDirectory)和主机、运营和第三方供应商人员等。确保远程访问服务,如VPN和RDP连接符合行业标准安全证书,与OT域隔离。确保所有员工都接受网络钓鱼攻击意识培训。通过容灾模拟测试,确保企业和运营网络系统数据日常备份维护的有效性。离线备份是最安全的选择,但如果成本原因不允许,请务必限制对备份数据的网络访问——只读,不写。存储备份重建计划的测试也非常重要。制定工控系统勒索软件事件响应预案,通过网络靶场等方式对响应预案进行压力测试。建立“企业防空洞”。当企业被勒索软件全面攻陷,攻击缓解工作正在进行时,部分业务仍可以暂时不间断地运行在“防空洞”中。利用工业级威胁检测机制识别OT系统中的恶意软件,加强网络层面的纵深防御措施,大大提升了防御和分析人员的调查能力。【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此阅读更多作者好文
