許多負責托管工業(yè)物聯(lián)網(wǎng)資產(chǎn)的運營(yíng)技術(shù)( OT )環(huán)境都面臨一個(gè)最大的問(wèn)題:不僅要應對工業(yè)物聯(lián)網(wǎng)設備數量的不斷增長(cháng),還要支撐一些比較陳舊的工業(yè)控制系統( ICS ),其中有些系統的運行歷史已長(cháng)達 30 年之久。多年來(lái),這其中的許多資產(chǎn)均已實(shí)現聯(lián)網(wǎng),并很容易成為網(wǎng)絡(luò )惡意攻擊者的潛在目標。這些老舊的設備通常部署在只強調高可用性和性能的平面網(wǎng)絡(luò )上,而安全方面卻考慮的很少。
在這些系統中發(fā)現漏洞并不總是意味著(zhù)我們可通過(guò)推出補丁予以修復。對大批工業(yè)物聯(lián)網(wǎng)資產(chǎn)進(jìn)行修復,就意味著(zhù)大批設備需要下線(xiàn)-而這對于嚴重依賴(lài)設備高可用性的關(guān)鍵基礎設施或生產(chǎn)線(xiàn)來(lái)說(shuō),絕對是不可取的。所以最終的結果就是,補丁程序往往被扔在一邊,而且隨著(zhù)設備的老化,漏洞日積月累,由此給惡意攻擊者留下了可借以破壞工業(yè)物聯(lián)網(wǎng)資產(chǎn)的大量漏洞。
此外,思科 Talos 安全研究團隊(這個(gè)團隊的任務(wù)即在惡意攻擊者之前發(fā)現漏洞)的研究結果也表明,在工業(yè)物聯(lián)網(wǎng)設備中發(fā)現的漏洞數量正呈增長(cháng)趨勢。回顧整個(gè) 2019 年,Talos 指出,他們全年一共發(fā)布了 87 篇有關(guān) IoT 和 ICS 設備漏洞的報告-這也是 2019 年迄今為止報告發(fā)布數最多的類(lèi)別。事實(shí)上,Talos 針對該領(lǐng)域發(fā)布的報告數量比排在第二位、同時(shí)也一直被惡意攻擊者視為主要目標之一的桌面操作系統的報告數量高出了 23 個(gè)百分點(diǎn)。
在一個(gè)極速發(fā)展的領(lǐng)域中,出現這種情況并不值得驚訝。但是有一點(diǎn)很值得我們去思考:在 OT 網(wǎng)絡(luò )中如何新增設備時(shí),也同時(shí)考慮如何保護好 OT 網(wǎng)絡(luò ),以免這些設備帶來(lái)了新的挑戰導致攻擊面的擴大。
所以,如果您所在的企業(yè)正在使用工業(yè)物聯(lián)網(wǎng)資產(chǎn),那么有哪些威脅值得您加倍留意?您又該如何對設備進(jìn)行有效保護呢?
惡意攻擊者如何開(kāi)始發(fā)起攻擊
好的方面是大多數工業(yè)物聯(lián)網(wǎng)資產(chǎn)并非直接暴露在互聯(lián)網(wǎng)空間,這意味著(zhù)惡意攻擊者必須依靠其他方法才能訪(fǎng)問(wèn)它們。事實(shí)上,在其他攻擊上使用的技術(shù)同樣也可被用于攻擊工業(yè)物聯(lián)網(wǎng)資產(chǎn)。
最常見(jiàn)的攻擊載體-電子郵件-在發(fā)動(dòng)此類(lèi)攻擊時(shí)自然也適用。惡意攻擊者會(huì )試著(zhù)收集有工業(yè)物聯(lián)網(wǎng)資產(chǎn)系統訪(fǎng)問(wèn)權限的工程師、工廠(chǎng)負責人以及開(kāi)發(fā)人員的相關(guān)信息,并將他們設定為網(wǎng)絡(luò )釣魚(yú)郵件的攻擊目標。對這部分用戶(hù)中任何一位的電腦進(jìn)行攻擊,就算是找到了攻擊工業(yè)物聯(lián)網(wǎng)資產(chǎn)的最直接途徑。
未打過(guò)補丁的系統、設置過(guò)于簡(jiǎn)單或默認的設備密碼、以及網(wǎng)絡(luò )維護承包商過(guò)于寬松的遠程訪(fǎng)問(wèn)策略,都為惡意攻擊者提供了入侵途徑。透過(guò)其中任意一個(gè)薄弱環(huán)節,惡意攻擊者都能找到若干種進(jìn)行橫向移動(dòng)以及獲取訪(fǎng)問(wèn)權限的方法。
然而專(zhuān)門(mén)針對 IoT 設備發(fā)起的威脅在現實(shí)中并不常見(jiàn)。有些威脅已經(jīng)對普通的物聯(lián)網(wǎng)設備發(fā)起了大規模攻擊,例如 Mirai 和 VPNFilter 。還有一些威脅,比如 Stuxnet ,專(zhuān)門(mén)以 PLC 為攻擊目標。這類(lèi)針對性較高的威脅當然值得關(guān)注。但是,工業(yè)物聯(lián)網(wǎng)設備被攻擊者入侵并修改配置的可能性,遠比被木馬或蠕蟲(chóng)病毒感染的可能性要大得多。
如何讓企業(yè)運營(yíng)陷入癱瘓?
假設惡意攻擊者的目標是使某個(gè)特定企業(yè)陷入癱瘓,他或她首先會(huì )制作一封包含惡意 PDF 文件且具有迷惑性的釣魚(yú)郵件,然后將其偽裝成求職申請發(fā)送給公司的人力資源部門(mén)。當負責求職申請的員工打開(kāi)這個(gè) PDF 文件時(shí),這臺電腦就可能遭到入侵。
惡意攻擊者在被入侵的網(wǎng)絡(luò )中橫向移動(dòng),持續監控網(wǎng)絡(luò )流量并掃描易受攻擊的系統,抓取用戶(hù)的登錄和認證信息。如果沒(méi)有啟用 MFA 多因素認證,攻擊者就會(huì )有機可乘。最后,攻擊者會(huì )想辦法控制域控服務(wù)器,并使用組策略對象( GPO )的方式向所有終端下發(fā)惡意軟件,從而在整個(gè) IT 網(wǎng)絡(luò )中進(jìn)行實(shí)施入侵。
由于在網(wǎng)絡(luò )分段上不夠完善,惡意攻擊者最終摸爬滾打地進(jìn)入了目標企業(yè)的 OT 網(wǎng)絡(luò )。攻擊者進(jìn)入 OT 網(wǎng)絡(luò )后會(huì )立即執行偵察,以便對網(wǎng)絡(luò )中的工業(yè)物聯(lián)網(wǎng)資產(chǎn)進(jìn)行標記。這樣一來(lái),它們就有機會(huì )發(fā)現這些資產(chǎn)中存在漏洞的服務(wù),然后對其進(jìn)行攻擊,將其下線(xiàn)。
正常生產(chǎn)陷入停頓,企業(yè)經(jīng)營(yíng)被迫中斷。
我們如何防御?
那么,如何從整體上保護您的物聯(lián)網(wǎng)資產(chǎn)和整個(gè) OT 網(wǎng)絡(luò )免受惡意攻擊,尤其是那些無(wú)法快速修復的高可用性資產(chǎn)?
網(wǎng)絡(luò )監控通常是您可采取的最有效措施。但是一旦涉及工業(yè)物聯(lián)網(wǎng)資產(chǎn),對網(wǎng)絡(luò )流量進(jìn)行被動(dòng)監控就顯得尤為重要。主動(dòng)式監控的方法由于會(huì )產(chǎn)生流量,還要通過(guò)網(wǎng)絡(luò )專(zhuān)門(mén)發(fā)送這些流量才能對其進(jìn)行觀(guān)察,因此會(huì )增大網(wǎng)絡(luò )負載,從而使設備性能受到影響,甚至發(fā)生故障。相比之下,被動(dòng)式掃描則是通過(guò)流量監聽(tīng)并記錄流量的特征,而不會(huì )將新的流量引入 OT 環(huán)境。
及時(shí)盤(pán)點(diǎn)網(wǎng)絡(luò )上的資產(chǎn)對于保障 IT 和 OT 網(wǎng)絡(luò )的安全也非常重要。被動(dòng)式監控可幫助企業(yè)了解網(wǎng)絡(luò )上的資產(chǎn),包括存在漏洞的設備以及非法設備。在對網(wǎng)絡(luò )設備進(jìn)行綜合全面地清點(diǎn)之后,您就能針對不同的資產(chǎn)組創(chuàng )建相應的策略。
此外,對網(wǎng)絡(luò )進(jìn)行合理的分段也很重要。如果您還不清楚該如何對工業(yè)物聯(lián)網(wǎng)資產(chǎn)和 OT 網(wǎng)絡(luò )進(jìn)行合理的分段,那么全面的資產(chǎn)盤(pán)點(diǎn)以及相應的策略會(huì )為您提供很大的幫助。但是對于攻擊意圖明確的攻擊者來(lái)說(shuō),那么這項措施對于阻止它們突破不同網(wǎng)區間的邊界可能起不到什么作用,但是起碼可以減緩它們的進(jìn)攻速度,從而為企業(yè)爭取更多的時(shí)間以采取應對策略。
根據 ISA 99 和 IEC 62443 的相關(guān)內容,尋求您所在企業(yè)的可實(shí)施區域和渠道。
然而值得一提的是,許多工業(yè)物聯(lián)網(wǎng)資產(chǎn)都采用廣播和組播的網(wǎng)絡(luò )通信方式,參與此類(lèi)通信的一臺或多臺設備會(huì )向網(wǎng)絡(luò )上的其他所有設備發(fā)送流量。如果采用過(guò)于激進(jìn)的網(wǎng)絡(luò )分段策略,則可能會(huì )帶來(lái)麻煩。要解決這個(gè)問(wèn)題,就必須對網(wǎng)絡(luò )上的資產(chǎn)進(jìn)行全面的清點(diǎn)。此外,采用數據流鏡像的方法,能為我們了解哪些資產(chǎn)正在彼此通信,以及這些資產(chǎn)在整體上如何交互提供很大幫助。
為此我們強烈建議在發(fā)現漏洞后盡快對工業(yè)物聯(lián)網(wǎng)資產(chǎn)進(jìn)行修復。但是,如果無(wú)法在脫機狀態(tài)下修復設備,就務(wù)必強化對設備的洞察。所以要明確哪些設備絕對需要修復,您必須搞清楚您的網(wǎng)絡(luò )資產(chǎn)狀況以及具體的網(wǎng)絡(luò )布局。此外,分析工業(yè)物聯(lián)網(wǎng)的冗余度也是有意義的,因為在維護過(guò)程中,您可參考這個(gè)數據關(guān)閉某臺設備,與此同時(shí)安排其他設備接管這臺設備的負載。
工業(yè)物聯(lián)網(wǎng)流量異常檢測也是一種非常有用的方法。這種方法能幫您找到不應該發(fā)生的網(wǎng)絡(luò )異常行為,比如兩臺本不應相互通信的工業(yè)物聯(lián)網(wǎng)設備、計劃外的固件更新、意外的配置更改等一系列異常情況。
最后介紹一種在 OT 環(huán)境中搜索和清除威脅的好方法-威脅追蹤。您首先主動(dòng)出擊尋找網(wǎng)絡(luò )中的惡意行為者,然后制定相應的策略,并自動(dòng)執行策略,經(jīng)過(guò)這一系列過(guò)程,您的網(wǎng)絡(luò )安全狀況將得到大幅改善。
思科安全防御之道
保護工業(yè)物聯(lián)網(wǎng)資產(chǎn)無(wú)疑是網(wǎng)絡(luò )安全領(lǐng)域比較棘手的任務(wù)之一。它不但涉及類(lèi)型繁多的設備,且其中很多設備的運行方式極具個(gè)性化,因此無(wú)法有效應對因多個(gè)安全流程和程序引起的中斷。
但幸運的是,思科推出的網(wǎng)絡(luò )安全系列產(chǎn)品,能夠為您有效解除這方面的憂(yōu)患。
- 思科 Cyber Vision 方案旨在幫助 OT 團隊和網(wǎng)絡(luò )管理員全面洞察其網(wǎng)絡(luò )中的工業(yè)資產(chǎn)和應用流程。這套方案內嵌在思科工業(yè)網(wǎng)絡(luò )設備中,通過(guò)解碼各種工業(yè)協(xié)議對您的 OT 網(wǎng)絡(luò )進(jìn)行映射,并檢測異常流程或不應該發(fā)生的資產(chǎn)修改行為。
- 思科身份服務(wù)引擎( ISE )借助基于思科 Cyber Vision 構建起的資產(chǎn)清單來(lái)創(chuàng )建動(dòng)態(tài)安全組,并通過(guò) TrustSec 自動(dòng)執行分段策略。
- ISA 3000 是一款適用于惡劣環(huán)境的加固耐用型工業(yè)防火墻設備,可幫您執行區域網(wǎng)路分段、檢測入侵行為并有效阻斷網(wǎng)絡(luò )威脅。
- 思科安全分析解決方案 Stealthwatch 通過(guò)整合行為建模、機器學(xué)習和全網(wǎng)威脅情報來(lái)檢測各種高級威脅。與思科 Cyber Vision 集成后,原本通過(guò) Stealthwatch 獲得的全網(wǎng)可視性得以在工業(yè)物聯(lián)網(wǎng)基礎設施中廣泛延伸。
- 思科終端安全方案( AMP for Endpoints )專(zhuān)門(mén)用于保障 OT 環(huán)境中每個(gè)工程設計工作站的安全。
- 思科 Duo 多因素身份驗證功能可防止惡意攻擊者通過(guò)橫向移動(dòng)獲取網(wǎng)絡(luò )上的系統訪(fǎng)問(wèn)權限。
- 思科電子郵件安全解決方案可檢測專(zhuān)門(mén)針對工業(yè)物聯(lián)網(wǎng)設備操作者等角色發(fā)起的定向網(wǎng)絡(luò )釣魚(yú)電子郵件,從而防止惡意有效載荷訪(fǎng)問(wèn)預期目標。
最后,思科通過(guò)一套分層防護方案為您提供最出色的安全體驗。例如,通過(guò)思科 Cyber Vision 自動(dòng)洞察所有工業(yè)設備,確保操作流程安全可靠。在與思科網(wǎng)絡(luò )安全系列產(chǎn)品集成后,它就能為 Stealthwatch 系統提供用于深入分析工業(yè)設備的上下文信息,同時(shí)梳理網(wǎng)絡(luò )流量的通信模式,以便借助基于 ISE 的細粒度的分段功能來(lái)實(shí)現策略的定義和執行。
掃描二維碼 免費測試網(wǎng)絡(luò )可視性,幫助您了解企業(yè)網(wǎng)絡(luò )中存在哪些風(fēng)險。
