-
安全产品
-
-
-
黑客如何入侵工业云?
发布时间:
2020-11-25
来源:
作者:
访问量:
29
【编者按】你是否知道,电视遥控器可以通过劫持与机顶盒进行通信的红外线而成为间谍设备?但是当人类可以通过语音控制电视时,谁还需要遥控器呢?然而这样也并不安全,FBI表示黑客可以控制智能电视的摄像头和麦克风来远程录制房间内任何人的视频和音频,或者使用不安全的电视进入路由器,然后进入电脑。即便是不起眼的咖啡机也可能被劫持,变成勒索赎金的机器。楼宇管理自动化系统,也可能是网络攻击的跳板,而且这是一个容易被忽略的系统。其他不安全的物联网设备也是如此。这些听起来像科幻场景,但这真不是科幻。
本文分享今年以来OT、ICS、物联网领域安全态势的突出特点,主要包括:居家办公致使办公网络易受攻击、针对OT及ICS的攻击数量增加、不受管理的工业物联网设备成为最大网络威胁之一、第三方供应商成为恶意软件的攻击入口、针对ICS的勒索软件攻击异常活跃、网络攻击会导致高昂的财务代价。尽管疫情导致远程办公模式成为新常态,企业对OT、ICS、IIoT网络安全的认知、重视、投入有了较大的改善,但是工业网络安全形势依然严峻。
一、脆弱的居家办公环境
那么电视、遥控器和咖啡机是如何与工业云或人们的工作联系起来的呢?人们可能会人为,对此类设备进行远程黑客攻击的可能性很小,而且现如今全球数百万人正因新冠疫情而居家办公,因此这不会影响公司的企业网络、OT网络或工业控制系统(ICS)。
但是这是非常错误的,因为人们需要从居家办公环境远程访问OT网络或ICS,然而居家办公环境是一个具有潜在漏洞的第三方VPN网络,有的是黑客可入侵的WiFi网络,其中可能还接入了各种不安全的IoT设备。
网络安全公司Claroty在8月份发布的一份报告显示,在今年上半年发现的所有ICS漏洞中,有70%以上可以被远程利用。此外,其中几乎一半以上可以被用来远程代码执行。Claroty分析了国家漏洞数据库(NVD)中发布的漏洞与工业控制系统网络应急响应小组(ICS-CERT)发布的通报中提到的漏洞。受ICS-CERT漏洞影响最大的行业是能源、关键制造业、以及水和废水基础设施。Claroty自己的研究团队发现的26个漏洞中,大多数存在于PLC和工程工作站中。对攻击者而言,工作站是最为理想的攻击目标,因为它们已连接到工厂车间、PLC和IT侧。
二、针对OT及ICS的攻击增加
一段时间以来,针对ICS和OT的攻击一直呈上升趋势。今年7月,形势变得非常严峻,以至于美国国家安全局(NSA)和美国国土安全部的网络安全与基础设施安全局(CISA)发布了联合警报,建议立即采取行动,保护连接互联网的OT和ICS系统免受安全威胁破坏。这些机构援引最近对以色列水务/水利系统的网络攻击,呼吁更好地保护对美国安全和国防至关重要的民用基础设施和OT资产。
卡巴斯基9月份的一份报告显示,在今年上半年,石油和天然气行业以及楼宇自动化系统的ICS中对计算机的攻击数量略有增加。该报告得出结论:“威胁变得越来越有针对性,越来越集中,结果变得更加多样化和复杂。”主要来源是互联网、可移动媒介和电子邮件。
楼宇自动化系统中使用的计算机可能是黑客的后门,因为它们通常连接到公司网络、互联网、公司电子邮件系统、域控制器和视频监视系统。它们的攻击面比ICS工程工作站大,并且类似于IT网络中的计算机。
IT和OT系统之间的不正确分隔可能导致与ICS协议的异常连接,IT/OT融合的增加在网络上创建了新的盲点,并建立了新的攻击途径。
由AI驱动的网络安全公司Darktrace的网络智能和分析总监Justin Fier表示,其已在系统上发现了成千上万个使用各种ICS协议的设备,如暖通空调和电梯,然而企业并不知道这些设备已连接到其IT网络,这意味着IT-OT系统没有进行适当的分区,从而形成了安全防御的盲点。Fier表示,“由于新冠疫情爆发,工程师和其他员工可以居家远程访问楼宇控制等系统。”然而,员工的个人Wi-Fi网络可能容易受到试图进入公司网络的黑客的攻击。
三、不安全的连接
正如许多安全专家所述的那样,端点设备必须是安全的,以减少整个网络遭受攻击的脆弱性。Fier指出,不受管理的影子工业物联网(IIoT)设备的兴起是对连接云的工业网络的最大威胁之一。影子消费物联网设备也是如此。
这些都是网络连接设备,对IT和安全团队来说是未知的,因此是不可见的。用于企业物联网和非托管设备的安全产品提供商Ordr已发现超过500万台非托管的IoT和医疗物联网(IoMT)设备连接到客户网络,涉及医疗保健、生命科学、零售和制造业等。
这些设备并不是为安全而设计的,通常由未经IT批准的个人或团队购买。例如,可通过网络访问的IP安全摄像头(经常被黑客破坏)和徽章读取器,两者均由建筑维护人员购买。
根据Ordr的《2020年企业物联网采用和风险报告》,甚至连亚马逊Alexa和Echo虚拟助手等消费者级影子物联网设备也经常被发现连接到网络上,Tesla和Peloton健身器材也是如此。在一些医疗保健公司中,员工在MRI和CT机器上运行YouTube和Facebook应用程序,这些机器通常使用老旧的不受支持的操作系统。Ordr公司首席执行官格雷格·墨菲(Greg Murphy)在一份声明中表示,其发现了大量与连接设备有关的漏洞和风险。
旨在提高物联网设备安全性的《物联网网络安全改善法案》已于11月17日在美国参议院获得通过,目前正送往白宫等待总统签署,正朝着正确的方向迈出了一步。该法案旨在通过要求美国国家标准技术研究院(NIST)制定有关IoT产品的安全开发、身份管理、补丁和配置管理的建议来提高IoT设备的安全性。如果该法案被签署成法律,则联邦政府机构将只能购买符合那些建议的物联网产品,而NIST必须发布有关协调漏洞披露流程的指南。
另一个是IoT安全基金会(IoTSF)在10月推出的消费者物联网漏洞披露平台。该平台的目标是“帮助消费者物联网厂商管理漏洞报告、管理和协调漏洞披露过程,使安全研究人员和用户更容易向物联网制造商报告漏洞,并提高消费者物联网安全性”。尽管漏洞报告被广泛认为是IoT设备安全性的基本要求,但对于大多数消费IoT设备制造商而言,它仍然是一个新想法。
四、第三方问题
与外部民族国家或犯罪分子的攻击相比,员工心怀不满或以其他方式造成损害可能不那么常见,但此类事件是严重的安全灾难:
l 一位前思科工程师在两周内关闭了超过16,000个WebEx团队账户,使得思科花费了140万美元的员工时间来解决该问题,以及100万美元的客户退款。
l 埃隆·马斯克(Elon Musk)在推文中证实,俄罗斯黑客企图招募一名特斯拉员工在公司的企业网络上安装恶意软件,然而并未成功。
l 去年春天,Twitter的大规模黑客攻击始于手机鱼叉式网络钓鱼,说服员工交出了使黑客能够访问内部系统的凭据。
但是,即使对员工进行了良好的安全习惯培训,并且网络连接设备可见且安全,攻击者也可以利用其他可能的途径。
员工身份信息的大幅增加成为另一个问题,这些数据数量规模庞大,使得访问权限难以管理,从而成为违规行为的源头。这些数据包括员工、承包商、供应商、计算机、设备及应用程序等等。
在2020年5月对IT安全和身份决策者的调查中,身份确认安全联盟(IDSA)发现,自动化、DevOps和企业连接设备的扩展推动了这些身份的急剧增长。多达94%的受访者表示,他们过去曾发生过与身份相关的违规行为;99%的受访者认为这些违规行为是可以预防的。但是,只有不到一半的人完全实施了IDSA推荐的定义关键身份的实践。
特别是,第三方供应商和承包商可能成为恶意或意外入侵的途径。BlueVoyant对第三方网络风险管理的全球研究发现,在过去的12个月中,有80%的组织经历了由供应商生态系统漏洞引起的网络安全漏洞,只有不到四分之一的企业监视着整个供应链,近三分之一无法确定第三方供应商是否存在网络风险。尽管制造业的第三方违规率较低,但仍为57%。
正如卡巴斯基报告指出的那样,可能已连接影子物联网的楼宇自动化系统通常由第三方承包商拥有或管理。即使允许他们访问客户的公司网络,该访问也可能不受客户的IT安全团队控制。该报告指出,“鉴于大规模攻击的减少被针对性攻击的数量和复杂性的增加所抵消,在这种攻击中,我们看到了各种横向移动工具的积极利用,因此,与同一个网络中的公司系统相比,楼宇自动化系统的安全性甚至可能更低。”
五、勒索软件的疯狂
随着依赖于OT的组织越来越多地部署IoT设备并让远程工作人员访问OT网络,网络威胁已经升级。Nozomi Networks在7月发布的《OT/IoT威胁报告》中研究了2020年上半年最活跃的OT和IoT威胁。研究发现勒索软件攻击需要更高的赎金,攻击目标是更大及更关键的组织。特备是,攻击者现在正在使用OT感知勒索软件,例如SNAKE/EKANS和MegaCortex,这表明ICS可能越来越受到非国家威胁行为者的攻击。
据FireEye博客称,今年FireEye Mandiant研究人员已发现至少七个勒索软件家族,它们都具有某种破坏OT的能力。
据英国软件和硬件安全公司Sophos发布的《2020年云安全状况》报告称,50%的组织曾遭受某种形式的恶意软件攻击,包括勒索软件攻击。
据IBM X-Force 9月份博客报道称,勒索软件攻击占据了今年IBM X-Force事件响应团队处理的所有网络事件的四分之一,其中6%使用了以ICS为目标的SNAKE/EKANS。最具针对性的行业是制造业、专业服务业和政府机构,所有这些行业对停机时间的容忍度都很低。
Darktrace的Fier表示,勒索软件的目标已经改变。他说:“勒索软件攻击现在不再是为了钱而加密数据,而更多地是将整个组织或装配线劫为人质。我认为我们将开始看到所谓的DNS或服务质量攻击,攻击者劫持业务运营来勒索赎金,而不仅仅是加密文件。”例如,一个客户的智能制冷系统的协议非常不安全,Darktrace发现其遭受了Stuxnet类型的攻击,温度下降了几度致使食物变质。
六、不可预见的财务后果
虽然从网络攻击中恢复可能会付出高昂的代价,而且会花费大量时间,但后续的重大后果可能会耗费更多的成本并需要更多的时间来恢复。像勒索软件之类的网络攻击,尤其是导致停机或停工的网络攻击,可能会在整个制造业或石油天然气公司的基础设施中造成数月的影响。这些可能包括延长停机时间以及测试和重新认证额外的设备维修或更换,以及由于无法履行合同甚至彻底关闭运营而造成的广泛利润损失。
最近制造业停工停产的例子包括本田在6月遭受的网络攻击事件,导致其全球停产了几天,这很可能是由EKANS/SNAKE勒索软件引起的。去年9月,以色列的Tower Semiconductor在网络攻击后不得不停止了一些制造业务。
据Fortinet调查结果显示,遭受OT网络攻击带来的最大影响是运营中断从而影响生产效率,并且直接影响公司收入。此外导致的物理安全危害以及声誉受损也令企业难以接受。
OT/ICS网络安全公司Verve Industrial Protection的网络安全洞察力总监Ron Brash使用石油管道关闭的类比来证明这些后续后果。尽管大多数石油管道关闭不是由网络安全事件引起的,而且在许多情况下,从网络攻击中恢复的速度可能比从管道关闭中恢复的速度要快,但这两种情况都可能产生类似的财务后果,远远超出了系统恢复成本。
几年前,在加拿大发生森林大火时,受大火威胁的石油管道被关闭。Brash表示,这使得管道变硬了。“稀释剂必须在管道中运行数月才能分解产品,这样管道才可以用于生产。但是,石油可能会具有些不太理想的特性,并且这些特性会损坏管道内的保护层,从而破坏基础设施。这意味着必须对管道进行维修和重新检查,并经过安全或其他批准。所有这些步骤有效的创造了一系列额外的时间和成本,超出了正常中断或破坏性较小的事件期间所造成的成本。”
其他成本可能包括在制造停止期间无法履行合同,从而迫使公司在公开市场上购买产品并亏本出售。由于特定的地理位置和区域发展条件,或者由于单纯的总体成本而无法重新启动操作或获得重新认证,可能会导致部分或全部操作永久关闭。
参考链接:
【1】 https://www.eetimes.com/real-life-scenarios-how-the-industrial-cloud-gets-hacked/
天地和兴,工控安全,物联网安全,工业网络安全
上一条:
下一条:
相关资讯
关注我们