分析工控網絡威脅和防御；認為工控網絡（OT網絡）的攻擊已經武器化。

　　鑒于工控（OT）威脅的加速增長，IBM Security X-Force觀察到的一些針對OT網絡組織的最常見威脅，包括勒索軟件和漏洞利用。IBM還將強調幾種可以增強OT網絡安全性的措施，這些措施基于X-Force 紅隊滲透測試團隊的見解和X-Force事件響應經驗，幫助OT客戶應對安全事件。其中包括對數據記錄系統和網絡架構（如域控制器）的關注。

　　OT是控制工業(yè)過程的硬件和軟件，如重型制造設備、機器人、石油管道或化學流體、電力設施、水和運輸車輛的功能。

　　通常情況下，OT網絡與擁有兩者的組織中的信息技術（IT）網絡是分離的。電子郵件、客戶交易、人力資源數據庫和其他IT與控制物理過程的技術是分離的。即便如此，針對IT網絡的典型威脅仍有可能影響OT網絡，特別是在細分不有效或在IT網絡遭到攻擊（如勒索軟件）后，工程師決定關閉OT網絡作為預防措施時。

　　OT網絡面臨的威脅可以說比IT網絡面臨的威脅更危險，因為可能會導致物理后果，如汽車事故、爆炸、火災和其他可能的生命損失。這些結果使得網絡攻擊實際上變成了一種真實的武器。

　　勒索病毒是工控網絡最主要的攻擊形式

　　在X-Force觀察到的針對工控組織的所有攻擊類型中，勒索軟件是最主要的。事實上，X-Force觀察到，在2021年針對工控組織的所有攻擊中，近三分之一是勒索軟件——這一比例明顯高于任何其他類型的攻擊。

　　在許多情況下，勒索軟件攻擊只影響網絡的IT部分。然而，這些IT感染仍然會對OT網絡管理的操作產生巨大的后果。X-Force和Dragos在2020年底的研究發(fā)現，56%對OT網絡組織的勒索軟件攻擊在影響范圍已知的情況下影響操作功能。在許多情況下，OT網絡可能被關閉作為預防措施，以防止勒索軟件蔓延到OT網絡或負面影響操作。這就是2021年5月針對Colonial Pipeline的高影響勒索軟件攻擊的案例，該攻擊導致美國幾個州出現汽油短缺。

　　然而，在其他情況下，勒索軟件確實會轉移到網絡的OT部分。Ryuk是IBM最常觀察到的攻擊OT網絡的勒索軟件

　　Ryuk勒索軟件在工控網絡

　　2019年秋季，Ryuk勒索軟件攻擊了至少五個石油和天然氣組織，這似乎是針對OT（特別是石油和天然氣）實體的針對性行動的一部分。根據美國網絡安全和基礎設施安全局（CISA）的報告和Dragos的分析，根據美國海岸警衛(wèi)隊的報告，至少有一個組織是美國管道運營商的天然氣壓縮設施。

　　美國海岸警衛(wèi)隊2019年12月16日發(fā)布的《海上安全信息公報》指出，管道組織的IT和OT網絡之間的隔離不足以阻止攻擊者到達OT環(huán)境。該報告稱，在感染了該組織的IT網絡之后，“病毒進一步潛入了監(jiān)視和控制貨物傳輸的工業(yè)控制系統，以及對流程操作至關重要的文件進行加密。”公告進一步指出，攻擊擾亂了攝像頭和物理訪問控制系統，并導致“關鍵過程控制監(jiān)控系統”的丟失。

　　X-Force事件響應同樣觀察到Ryuk分支機構在攻擊補救和調查中跨越OT網絡，使用的方法與海岸警衛(wèi)隊觀察到的類似。

　　2021年2月，法國政府的一份報告指出，更新的Ryuk變種具有蠕蟲般的能力，可以在受感染的網絡中自主復制。2021年6月，X-Force對Ryuk惡意軟件樣本的惡意軟件分析證實了這些發(fā)現，類似地揭示了這些類似蠕蟲的能力在更新的Ryuk變體。X-Force對Ryuk惡意軟件的分析顯示，樣本被裝入了類似于Emotet和Trickbot活動中使用的加載器中，Emotet過去也曾被認為蠕蟲進入OT網絡。

　　最近Ryuk勒索軟件樣本中新的蠕蟲樣特征可能會使該組織在未來的勒索軟件操作中更有可能進入OT網絡，特別是在不存在可靠分割的情況下。

　　工控漏洞在野利用嚴重

　　X-Force事件響應數據顯示，在2021年，漏洞利用是攻擊者用來獲得工控網絡的未經授權訪問的主要方法。事實上，到目前為止，X-Force在使用OT網絡的組織中觀察到的漏洞利用導致了令人震驚的89%的事件，這些組織的最初感染載體是已知的。

　　在2021年，X-Force還觀察到威脅行為者利用CVE-2019-19781漏洞（Citrix服務器路徑穿越漏洞）訪問OT組織的網絡。這是X-Force在2020年觀察到的最容易被利用的漏洞。威脅參與者能夠輕松地利用這個Citrix漏洞，以及它對關鍵服務器提供的訪問級別，使得它成為多個攻擊者選擇的入口點。如果您的組織還沒有這樣做，我們強烈建議您修復這個漏洞。

　　零日和供應鏈風險

　　在某些情況下，工控組織成為kaseya相關勒索軟件攻擊的受害者，利用零日漏洞和供應鏈式操作成為最初的感染載體。在Kaseya的案例中，Sodinokibi/REvil勒索軟件運營商利用Kaseya的VSA軟件（現在稱為CVE-2021-30116）的零日漏洞進行了勒索軟件攻擊。這種攻擊利用了先進的民族國家行為體更常見的攻擊技術——即利用零日和供應鏈傳播技術——這是非常難以防御的。

　　在另一起供應鏈攻擊中，多個OT組織向X-Force尋求幫助，以確定太陽風供應鏈攻擊對他們的影響程度。對于一些受SolarWinds攻擊影響的OT組織來說，原始設備制造商（oem）是進入路徑，突出表明攻擊者試圖利用供應商和客戶之間建立的信任關系。原始設備制造商可以訪問OT客戶的網絡進行遠程維護，并且在這些遠程連接中使用了泄露的SolarWinds軟件。

　　諸如此類的例子突出了供應鏈操作對OT組織的重大風險

　　工控網絡防御：數據記錄系統不能忽視

　　當涉及到OT網絡安全時，X-Force Red滲透測試人員指出，數據記錄系統通常會提供進入OT網絡的可靠途徑。損害數據記錄通常會給OT網絡帶來損害的機會。因此，安全團隊在識別和支持OT網絡中的潛在弱點時，應該小心不要忽視數據記錄系統。

　　數據歷史記錄是一種時間序列數據庫，旨在有效地收集和存儲工業(yè)自動化系統的過程數據。它廣泛應用于OT網絡、工業(yè)控制系統（ICS）和監(jiān)控控制和數據采集（SCADA）網絡。數據記錄系統最初是為識別、診斷和修復可能導致昂貴停機時間的問題而創(chuàng)建的，現在仍然是最常用的。

　　對手能夠獲得訪問數據歷史，然后訪問數據，分析和信息的控制系統在該組織-有用的偵察和進一步的攻擊計劃。此外，如果數據歷史器是雙歸屬的，數據記錄器可以提供從IT網絡到OT網絡的路徑。此外，數據記錄系統往往在整個OT網絡中有廣泛的連接，這可以為攻擊者提供一系列在OT環(huán)境中移動的潛在選項。

　　OT組織可以通過創(chuàng)建歷史數據安全組來更好地保護數據，仔細定義誰可以訪問這些組，密切監(jiān)控有訪問權限的賬戶，以確保它們不被竊取或濫用，并實施強大的身份驗證措施。每當對數據歷史記錄中的數據或配置進行更改時，組織還可以使用電子簽名和電子記錄來要求身份驗證。此外，將記錄器放置DMZ可以幫助將其與OT網絡隔離開來，同時仍然提供從IT網絡的訪問。

　　在IT基礎設施中創(chuàng)建和使用“企業(yè)”數據記錄器的情況并不少見。隨著積極的云采用策略和工業(yè)物聯網（IIoT）設備的增加，企業(yè)已經開始實施或將這些數據記錄器轉移到云環(huán)境中。通常，這些數據記錄基于特定匯總數據。這種方法提供了可伸縮性和與基于云的存儲和應用程序的無縫集成，以便在需要時實現安全的信息共享。然而，企業(yè)必須確保它們安全地存儲數據，而不為攻擊創(chuàng)造漏洞。

　　工控網絡安全的一些重要手段

　　保護工控網絡比以往任何時候都更加重要。工控網絡防御可以實施一系列措施來減少在他們的OT網絡上遭遇網絡事件的機會。其中一些措施旨在降低包括Ryuk攻擊在內的勒索軟件攻擊的風險，而其他措施則有助于防止一系列不同類型的攻擊，這些攻擊有可能使OT網絡武器化。

　　嚴格隔離OT和企業(yè)IT網絡，理想情況下創(chuàng)建ISA/IEC 62443指南中建議的工業(yè)DMZ （iDMZ）。確保OT和IT環(huán)境之間的任何依賴關系都是已知的，并有良好的文檔記錄。使用微分割減少不同操作環(huán)境之間的依賴關系。網絡和系統應該以這樣一種方式進行架構，即能夠從物理上將一個環(huán)境或系統從其他環(huán)境中拔下或隔離出來，并保持完整的操作。禁用不需要公共訪問的OT域控制器、服務器和工作站的互聯網訪問；理想情況下，互聯網連接的服務應該位于iDMZ。

　　對網絡流量進行過濾，增強OT和ICS網絡的防御能力，防止ICS協議穿越IT網絡，禁止已知惡意IP地址的通信，監(jiān)控OT和IT環(huán)境之間的通信。

　　通過僅使用絕對最小數量的域管理員帳戶，鎖定域控制器上的域管理員帳戶，以防止獲取憑證和刪除所有帳戶的本地管理員權限，減少域管理員帳戶受損的機會。

　　確保健壯的安全監(jiān)視功能通過一個不安全的實現操作中心（SOC）收集和相關安全信息從OT網絡使用一個OT入侵檢測系統（IDS），應用程序日志收集和存儲在一個SIEM解決方案或有管理的檢測和響應（MDR）服務。

　　在勒索軟件緊急響應計劃中包括對OT的影響。CISA建議考慮網絡攻擊可能對OT造成的全面影響，包括視野喪失、控制喪失和安全性喪失。仔細區(qū)分需要關閉操作環(huán)境的事件和不需要關閉操作環(huán)境的事件。

　　防范釣魚攻擊-一個常見的感染載體Ryuk勒索軟件-通過實現一個電子郵件安全軟件解決方案，包括在所有外部電子郵件上的橫幅，與員工分享真實世界的釣魚技術及其最終效果，禁用宏作為默認和使用基于行為的反軟件解決方案來檢測商品惡意軟件，如TrickBot, QakBot和Emotet。

　　為您的團隊投資于事件應對準備和培訓。X-Force觀察到，準備工作是區(qū)別于那些從勒索軟件攻擊中相對快速和容易恢復的組織和那些不能的組織的一個重要因素。創(chuàng)建和演練一個事件反應計劃可以幫助你的團隊發(fā)展肌肉記憶，在關鍵時刻做出適當的反應。此外，有特定的站點或OT安全網絡事件響應計劃和準備。每個OT環(huán)境都是獨特的，有不同的產品和系統。當OT組織計劃獨立的應急響應計劃時，他們應該設法制定一個特定于現場的事件響應計劃。

　　使用安全滲透測試測試您的安全控制。不建議對現場生產OT環(huán)境進行滲透測試。但是，應該探索安全的機會，例如在工廠驗收測試（FAT）、現場驗收測試（SAT）或周轉（維護）期間。

　　利用暗網分析或Shodan來監(jiān)控受損資產。保持對網絡上任何被破壞的設備（或攻擊者可能用來破壞網絡的信息）的意識有助于在必要時采取主動措施。Shodan可以通過對互聯網進行掃描來幫助識別可發(fā)現的設備，并對暗網市場進行例行監(jiān)控，以獲取有關您的組織的信息，從而幫助您領先于潛在的威脅參與者。