【儀表網(wǎng) 儀表產(chǎn)業(yè)】SolarWinds供應(yīng)鏈APT攻擊的風(fēng)暴正在席卷，同時(shí)也為工控系統(tǒng)安全敲響警鐘，因?yàn)榕c曾經(jīng)波及工控系統(tǒng)的NotPetya和Havex類似，SolarWinds供應(yīng)鏈攻擊中的SUNBURST和SUPERNOVA惡意軟件(后門)再次向世人證明，當(dāng)下的防火墻、防病毒系統(tǒng)、入侵檢測(cè)系統(tǒng)對(duì)此類攻擊無(wú)能為力，而隨著OT網(wǎng)絡(luò)與企業(yè)網(wǎng)絡(luò)的集成化發(fā)展，類似SolarWinds供應(yīng)鏈漏洞的巨大威力已經(jīng)引起了勒索軟件組織的極大興趣。如果能夠殺死甚至控制工控系統(tǒng)OT網(wǎng)絡(luò)的關(guān)鍵進(jìn)程，那么勒索贖金的籌碼也許將不再是解密數(shù)據(jù)，而是花錢消災(zāi)甚至拿錢換命。
 

　　根據(jù)Dragos和X-Force本周發(fā)布的《針對(duì)工控系統(tǒng)的勒索軟件攻擊評(píng)估報(bào)告》，過(guò)去兩年針對(duì)工業(yè)實(shí)體的勒索軟件攻擊暴增了500%以上(下圖)。
 

　　勒索軟件在工控系統(tǒng)相關(guān)網(wǎng)絡(luò)攻擊中的占比(2018-2020) 數(shù)據(jù)來(lái)源：Dragos

 

　　值得注意的是，與其他類型的網(wǎng)絡(luò)犯罪類似，針對(duì)工控系統(tǒng)的勒索軟件事件的快速增長(zhǎng)似乎也與新冠病毒大流行同步。研究人員指出：“勒索軟件的攻擊者利用用戶對(duì)健康和安全的關(guān)注，使用新冠病毒主題的網(wǎng)絡(luò)釣魚誘餌進(jìn)行初始訪問(wèn)操作。”
 

　　北美地區(qū)占半數(shù)
 

　　以下是2018-2020年，針對(duì)工控系統(tǒng)的勒索軟件攻擊的地理分布：
 

　　可以看出，北美是工控勒索軟件的重災(zāi)區(qū)，占比接近一半，歐洲(31%)和亞洲(18%)排名二、三。
 

　　制造業(yè)工控勒索軟件增長(zhǎng)三倍
 

　　行業(yè)分布方面，制造業(yè)是工業(yè)勒索軟件增長(zhǎng)快的領(lǐng)域，從2018年到2020年數(shù)量增長(zhǎng)了三倍。過(guò)去兩年，制造業(yè)也是勒索軟件攻擊為頻繁的行業(yè)，攻擊數(shù)量占比高達(dá)36%。
 

　　在某些情況下，攻擊者的重點(diǎn)目標(biāo)是冷藏設(shè)施和生物醫(yī)學(xué)，以及制藥商正在研究和開(kāi)發(fā)病毒疫苗和分配方法，這可能會(huì)破壞重要藥物的研發(fā)和分發(fā)。
 

　　工控勒索軟件三巨頭
 

　　2018年-2020年，Dragos和X-Force記錄了194次針對(duì)工控系統(tǒng)(包括向工控系統(tǒng)提供OT基礎(chǔ)設(shè)施和環(huán)境的可管理服務(wù)提供商和電信公司)的勒索軟件攻擊，猖獗的工控系統(tǒng)勒索軟件家族有九個(gè)，其中Revil(Sidinokibi，17%)、Ryuk(14%)和Maze(13%)。(下圖)
 

　　另?yè)?jù)今年夏天FireEye的報(bào)告，已經(jīng)發(fā)現(xiàn)七個(gè)勒索軟件家族開(kāi)始針對(duì)運(yùn)營(yíng)技術(shù)(OT)軟件進(jìn)程，有數(shù)十個(gè)工控系統(tǒng)軟件進(jìn)程被列入勒索軟件殺死進(jìn)程的“黑名單”中。
 

　　工控勒索軟件的威脅趨勢(shì)
 

　　分析還發(fā)現(xiàn)，未來(lái)勒索軟件將成為工控系統(tǒng)的主要威脅之一。越來(lái)越多的勒索軟件組織開(kāi)始將數(shù)據(jù)盜竊和勒索操作納入其攻擊技術(shù)中，與通過(guò)泄露知識(shí)產(chǎn)權(quán)和其他關(guān)鍵數(shù)據(jù)破壞操作相比，勒索軟件帶來(lái)的影響和損失可能更大。
 

　　類似EKANS這樣的能夠殺死關(guān)鍵工業(yè)控制系統(tǒng)進(jìn)程的新勒索軟件，有可能成為未來(lái)工控系統(tǒng)攻擊的基礎(chǔ)和主流方向。
 

　　此外，報(bào)告還預(yù)測(cè)，將有國(guó)家黑客行動(dòng)將勒索軟件作為掩護(hù)和偽裝。(編者：例如近日伊朗Pay2Key組織針對(duì)以色列的行動(dòng)。)
 

　　根據(jù)報(bào)告，在公共網(wǎng)站上被盜和泄漏的數(shù)據(jù)也可能為工控系統(tǒng)攻擊者提供受害者數(shù)據(jù)，這些信息可以指導(dǎo)未來(lái)的ICS破壞性攻擊。
 

　　緩解建議
 

　　為了與ICS環(huán)境中的勒索軟件作斗爭(zhēng)，研究人員建議資產(chǎn)所有者和運(yùn)營(yíng)商采用有效的深度防御安全策略，重點(diǎn)如下：
 

　　“確保了解網(wǎng)絡(luò)的相互依賴性，并進(jìn)行分析，以確定可能破壞業(yè)務(wù)連續(xù)性和生產(chǎn)的潛在弱點(diǎn)和漏洞。”
 

　　在所有IT環(huán)境中都確保盡可能地啟用MFA(多因素身份認(rèn)證)，尤其是安全設(shè)備、關(guān)鍵網(wǎng)絡(luò)服務(wù)(例如Active Directory)與主機(jī)、運(yùn)維和第三方供應(yīng)商人員等。
 

　　確保遠(yuǎn)程訪問(wèn)服務(wù)如VPN和RDP連接符合工業(yè)標(biāo)準(zhǔn)安全證書并與OT域隔離。
 

　　確保所有員工都接受釣魚攻擊安全意識(shí)培訓(xùn)。
 

　　通過(guò)災(zāi)難恢復(fù)模擬測(cè)試確保企業(yè)與運(yùn)營(yíng)網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)的每日備份和維護(hù)的有效性。離線備份是安全的選擇，但是如果成本原因無(wú)法實(shí)現(xiàn)，務(wù)必限制對(duì)備份數(shù)據(jù)的網(wǎng)絡(luò)訪問(wèn)權(quán)限——只能讀不能寫。對(duì)存儲(chǔ)備份重建計(jì)劃的測(cè)試也極為重要。
 

　　制定針對(duì)工控系統(tǒng)勒索軟件的事件響應(yīng)計(jì)劃，并通過(guò)網(wǎng)絡(luò)靶場(chǎng)等方式對(duì)響應(yīng)計(jì)劃進(jìn)行壓力測(cè)試。
 

　　建立一個(gè)“業(yè)務(wù)防空洞”，當(dāng)企業(yè)被勒索軟件全面攻陷，攻擊緩解工作正在進(jìn)行時(shí)，部分業(yè)務(wù)依然可以在“防空洞”臨時(shí)運(yùn)行不至中斷。
 

　　利用工業(yè)級(jí)威脅檢測(cè)機(jī)制來(lái)識(shí)別OT系統(tǒng)中的惡意軟件，在網(wǎng)絡(luò)層面強(qiáng)化深度防御措施，浙江大大增強(qiáng)防御和分析人員的調(diào)查能力。