當地時間2月24日，美國(guó)知名工業網絡安全公司Dragos發(fā)布了工業控制系統網絡安全年度2020總結報告，回顧了2020年披露的工業控制系統(ICS)威脅狀況和漏洞。該報告還(hái)分享了Dragos在2020年工作中吸取的經(jīng)驗教訓，并爲行業組織提供了保障其網絡安全的建議。

關于威脅态勢，報告指出工業部門的網絡風險急劇增長(cháng)和加速，首當其沖的是影響工業流程的勒索軟件、使信息收集和過(guò)程信息盜竊成(chéng)爲可能(néng)的入侵，以及來自針對(duì)ICS的攻擊對(duì)手的新活動，特别指出專門針對(duì)ICS的勒索軟件出現。另外，由于OT環境可見性的嚴重缺失，供應鏈的風險愈發(fā)嚴峻。攻擊對(duì)手通常會慢慢地建立入侵基礎設施和行動，之後(hòu)的行動往往由于之前的工作而更加成(chéng)功和具有破壞性。

關于ICS漏洞态勢，報告指出，2020年分析了703個ICS/OT漏洞，比2019年增加了29%，表明支持工業運營的系統中公開(kāi)已知漏洞的增加。對(duì)這(zhè)些漏洞和相關建議的分析發(fā)現，一小部分漏洞可以被歸類爲需要立即采取行動的，例如帶有外部和網絡可利用漏洞的關鍵漏洞。困難在于，由于錯誤和建議中缺乏可操作的指導，從業者很難對(duì)這(zhè)些問題進(jìn)行優先級排序。

關于針對(duì)ICS的攻擊組織活動情況，報告指出，在整個2020年，Dragos在2020年之前确定的11個威脅行爲組織仍然積極地針對(duì)工業組織開(kāi)展活動。此外，該公司又發(fā)現了4個新的威脅行爲組織，其動機是确定是瞄準了ICS/OT。

四個新發(fā)現攻擊組織概況

2018年，Dragos報告稱，有5個組織直接攻擊了ICS，或表現出收集ICS系統信息的強烈興趣。2019年，Dragos報告說，這(zhè)個數字已經(jīng)增長(cháng)到9個，現在共有15個攻擊行動組織。

Dragos表示，該公司在2020年的針對(duì)ICS的攻擊組織榜單上增加了4個新團體。這(zhè)些威脅行爲體對(duì)瞄準運營技術(OT)系統表現出了興趣。此外，前面(miàn)所述的11組仍然活躍。該公司告訴《安全周刊》，新增加的攻擊組織“有可能(néng)破壞控制系統，但還(hái)沒(méi)有發(fā)現專門針對(duì)控制系統的攻擊案例。”

第一個新組織被Dragos命名爲STIBNITE。它被觀察到攻擊阿塞拜疆的電力公司，特别是風力渦輪機。雖然亞美尼亞和阿塞拜疆之間的沖突仍在持續，但這(zhè)家網絡安全公司表示，“沖突與輝銻礦開(kāi)采之間的聯系并不緊密，Dragos團隊沒(méi)有就誰可能(néng)對(duì)攻擊負責做出評估。”

STIBNITE被發(fā)現使用PoetRAT惡意軟件從受害者那裡(lǐ)收集信息，它的目标可能(néng)是位于烏克蘭的風力發(fā)電場的供應商和維護者。

Dragos追蹤的第二個攻擊組織，命名爲VANADINITE（釩礦）。該組織被觀測到瞄準北美、亞洲、歐洲和澳大利亞的能(néng)源、制造和運輸部門。攻擊者們一直專注于收集信息，包括與ICS流程和設計相關的信息，專家們認爲，這(zhè)些信息可以使其幕後(hòu)支持者開(kāi)發(fā)出專門的ICS目标鎖定能(néng)力。

Dragos認爲，VANADINITE可能(néng)是名爲ColdLock的勒索軟件的幕後(hòu)黑手，該軟件被用來攻擊台灣，包括一些國(guó)有工業企業，它們的業務被勒索軟件間接中斷。

VANADINITE被認爲與Winnti有關——Winnti已經(jīng)存在了十多年，據信起(qǐ)源于中國(guó)——還(hái)有一個與Winnti相關的活動組織被追蹤爲LEAD。

Dragos追蹤的第三個新攻擊組織被命名爲TALONITE。它似乎專注于突破美國(guó)電力部門的組織，以期實現初始訪問。黑客一直在利用與電網相關的主題進(jìn)行網絡釣魚活動。他們因使用惡意軟件而聞名，比如在2019年出現的用于針對(duì)美國(guó)公用事(shì)業公司的遠程訪問木馬(RAT)，以及在2020年被研究人員分析的遠程控制工具FlowCloud。

Dragos追蹤的第4個組織命名名爲KAMACITE。該組織也以美國(guó)能(néng)源公司爲目标。KAMACITE的行動與臭名昭著的與俄羅斯有關聯的組織“沙蟲”(ELECTRUM)的活動有重疊，據信該組織曾對(duì)烏克蘭的電網發(fā)起(qǐ)破壞性攻擊。盡管發(fā)現存在TTP的重疊，但Dragos認爲，KAMACITE是一個獨特的群體，應該單獨進(jìn)行追蹤。

該公司認爲KAMACITE是一個“訪問支持團隊”，幫助其他團隊專注于破壞性操作。

Dragos表示，這(zhè)類事(shì)件，即對(duì)手進(jìn)入ICS網絡，但目前沒(méi)有破壞的意圖，比公開(kāi)報道(dào)的情況要常見得多。威脅來自學(xué)習ICS。雖然不是每一個攻擊都(dōu)會影響到今天，但很多攻擊可能(néng)會影響到未來的攻擊。Dragos補充說，威脅的增長(cháng)速度是驚人的。這(zhè)可能(néng)是由于對(duì)手在過(guò)去5到10年增加了針對(duì)ICS的投入，他們的投入將(jiāng)繼續加速ICS威脅環境的惡化。

Dragos的安全建議

Dragos根據報告中的經(jīng)驗總結，推薦了5個關鍵的OT網絡安全倡議，以在2021年進(jìn)行改進(jìn)提高。

1 增加OT網絡可見性

90%的服務約定都(dōu)包含了關于缺乏可見性的發(fā)現。可見性包括網絡監視、主機日志記錄和維護收集管理框架(CMF)。

2 确定“皇冠”資産的優先級

到ICS環境的100%外部可路由網絡連接被認爲是物理隔離的。“皇冠寶石”分析确定了影響關鍵物理過(guò)程的數字攻擊路徑。

3 增強事(shì)件響應能(néng)力

42%的事(shì)件響應服務項目發(fā)現組織沒(méi)有合适的事(shì)件響應計劃(IRP)， 75%難以公布網絡事(shì)件。

4 驗證網絡隔離有效性

88%的服務約定中包括關于不适當的網絡微隔離的發(fā)現。這(zhè)包括IT和OT網絡之間的薄弱或隔離、允許的防火牆規則集和外部路由網絡連接等問題。

5 將(jiāng)IT和OT的憑證管理分開(kāi)

54%的服務約定中包含了關于共享憑證的發(fā)現。這(zhè)包括IT和OT之間共享的帳戶、默認帳戶和供應商帳戶。共享憑據使對(duì)手能(néng)夠使用有效帳戶，這(zhè)是跟蹤的ICS攻擊組織使用的頂級TTP。

——END——

　　更多網站設計、網頁設計等相關内容，歡迎您咨詢中山網訊科技！
　　
責任編輯：中山網站建設
     【網訊網絡】國(guó)家高新技術企業》十二年專注軟件開(kāi)發(fā)，網站建設，網頁設計，APP開(kāi)發(fā)，小程序，微信公衆号開(kāi)發(fā)，定制各類企業管理軟件（OA、CRM、ERP、OMS訂單管理系統、WMS進(jìn)銷存管理軟件等)！服務熱線：0760-88610046、13924923903，http://www.wansion.net