关键基础设施(CI)部门的创新已开始增强传统的运营结构,以实现“智能”便利化,并且预计会有更多行业效仿:根据Gartner的研究,有25%的现场工业资产将用 到2023年信息技术(IT)和运营技术(OT)资产。
不幸的是,随着越来越多的工业控制系统(ICS)设备进入市场,企业成为更大且相互依存的供应链的一部分,安全性日益受到关注。 先前的研究发现,涉及这些行业的组织可能没有适当的安全程序和策略来减轻威胁。
鉴于工业物联网(IIoT)的预期扩展,本指南研究了可能危害能源,水和石油工业的可能的安全风险,威胁和场景。 这篇评论还包括基于趋势科技(TM)研究如何防御这些攻击的一些建议。 能源与电力
漏洞和利用:能源和电力行业是漏洞报告最多的CI之一。 诸如Aurora之类的漏洞和诸如BlackEnergy之类的恶意软件使攻击者能够关闭配电网并破坏其他行业。 对这些漏洞的成功攻击可能使昂贵的工业硬件变得毫无用处,并破坏该城市或国家/地区的设施,房屋和企业的稳定。
暴露的SCADA / HMI:可以通过暴露的监督控制和数据采集(SCADA)系统执行复杂的攻击。 此类攻击背后的恶意行为者会收集有关设施的信息,例如布局,使用的设备和机器,启用的硬件设置以及可用于触发危险攻击的结构和机器阈值。 SCADA的人机界面(HMI)向操作员提供实时信息,攻击者可以利用HMI软件中的漏洞来收集必要的数据,控制系统或在攻击中使用它们。
恶意软件:网络分子使用恶意软件攻击从紧急情况中获利,以尽快恢复受影响的服务。 在2015年的乌克兰电网攻击中就是这种情况,到年底时居民在黑暗中呆了几个小时。 对发电厂和其他CI的勒索软件攻击也变得越来越普遍,这可能是因为网络罪犯希望受影响的组织为立即恢复系统和文件付费。 可用性和正常运行时间是OT环境的关键,这使其成为基于勒索软件攻击的理想目标。
建议:为所有系统建立常规的修补和更新策略。 尽快下载补丁程序,以防止网络罪犯利用这些安全漏洞。 研究发现,制造商从通知之日起平均需要150天来修补报告的漏洞,从而为IT和安全团队提供了充足的时间来准备所需的系统更新。 企业应实施定期的网络安全意识运动,以使员工了解网络分子在其攻击中使用的最新技术。 IT管理员应采用最小特权原则,以简化对入站和出站流量的监视。 安装多层保护系统,该系统可以检测和阻止从网关到端点的恶意入侵。
[阅读:保护重要的基础设施和道路:智慧城市如何创造新的风险]
图1.对水,电力和石油工业的威胁。 水
漏洞和利用:配置项通常具有不止一种基础结构功能,以最大限度地利用设施的空间和能源。 例如,水处理厂通常将有一个废水处理厂,一个污水处理厂或一个相连的人造水源,例如大坝。 根据环境保护署(EPA)的国土安全研究计划,基础设施的弹性和事件响应不仅涉及水处理设施,还涉及源,相关外围设备,组件和结构免受故意污染和自然灾害的防御和完整性。
在为能源部准备的手稿中,研究人员将水处理厂列为第四大最脆弱的CI,此前EPA记录了2014年至2015年之间发生的25起涉及水处理厂及相关基础设施的网络安全事件。 有关这些事件的详细信息,研究指出水务设施应防御高级持续威胁(APT),攻击和脆弱性。 他们在报告中包含的某些漏洞包括组织未能将旧的SCADA系统与新的业务网络,网络配置,媒体保护,远程访问,策略和过程以及人员集成在一起。 一个被举的例子是对澳大利亚Maroochy Shire污水泄漏的入侵攻击,一名心怀不满的前雇员将原污水倾倒入公园,河流和酒店场地等其他淡水源中。
暴露的SCADA / HMI:由于HMI系统管理CI系统的整个过程,因此损害HMI可使攻击者造成很多损害,从收集数据和专有信息到攻击控制设备的关键体系结构。 趋势科技的研究人员通过扫描Shodan上与水处理和废水处理设施有关的暴露HMI,可以观察到与过程有关的实时数据和信息,例如过滤和消毒,紧急触发条件,子系统状态以及影响分配的流量控制功能。 哥伦比亚的一个HMI控制台甚至显示了一个未经身份验证的窗口,尽管目前尚不清楚在观察之前是否已经对菜单访问权限进行了身份验证。 但是,不断变化的屏幕快照意味着这些系统是实时的,并且没有操作员注意到Shodan爬虫多次访问了他们的系统。 通过暴露于扫描工具的未经身份验证的服务器可访问
HMI接口,这些接口不仅为攻击者提供了可用于访问工厂和网络其他部分的数据,还使他们可以控制整个系统。 如果被利用,攻击者可以控制化学药品的使用或过载,并影响温度来破坏或造成机器故障,从而影响分配给该地区的饮用水和水传播疾病对公众的健康。 据报道,Verizon于2016年在叙利亚公开了这样的近距离电话,而另一份报告总结说,在许多地区看到的各种恶意软件都将拉丁美洲的ICS / SCADA系统作为目标。
恶意软件:据报道,2018年,Monero加密货币挖掘恶意软件感染了连接到欧洲OT网络的四台服务器。 该恶意软件导致CPU和网络带宽消耗增加,从而降低了监视分发所需的操作和响应的HMI和SCADA服务器的速度。 据报道,在2019年第一季度,近70,000座供水和废水处理设施在努力应对不断发展的网络安全威胁。 勒索软件一直是许多CI一直关注的问题,一些网络分子利用灾难来进行攻击。
建议:在整个ICS / SCADA环境中部署冗余安全措施。 商业网络和ICS网络之间的防火墙/ IPS之类的基本措施,仅限于有限数量的授权人员的多种身份验证措施,以及补丁管理程序,可以减少网络分子的攻击面。 练习网络分段以将系统划分为不同的安全区域,以隔离系统的关键部分,尤其是在出现漏洞或攻击的情况下。 物理和环境安全也应得到强制执行,并且仅限于授权用于关键ICS资产或处理设备的人员。
[阅读:工业4.0时代将如何改变网络安全格局] 油和气
漏洞和利用:考虑到由于陆上位置,工厂和业务单位之间需要远程操作而导致行业对计算机自动化的依赖,因此,对一个系统的攻击可能不可避免地导致连锁反应。 这是使挪威的石油和能源公司在2011年和2014年遭受攻击的实例之一,攻击者破坏了系统,并在大约300个组织的网络和系统中扩散。 调查显示,身份不明的网络罪犯对受影响的公司和授权人员进行了研究,并向他们发送了感染公司网络的恶意电子邮件。
暴露的设备,SCADA / HMI / SIS:鉴于天然气的波动性以及业务所伴随的风险,石油和天然气零售商会投资自动化来监控和处理日常运营。 从分配的钻探井到通过管道运输资源以及在工厂进行提炼之前,员工都会监督这些系统,然后再分配给商业和工业用途。 这些植物及其各自的活动可以在线跟踪。 可以通过验证IP地址以匹配ICS设备,进行地理跟踪或通过收集的在线数据查找工厂的实际位置。 一旦攻击者找到了目标,攻击者就可以检查整个网络中是否存在相似的设备和安全漏洞。 由于组织可能在整个机构中拥有相似的设备,网络和安全设置,因此攻击者可能会使用单个攻击例程造成巨大的破坏。
当研究人员发现TRITON / TRISIS(一种旨在针对中东石油和天然气设施使用的特定SIS模型的恶意软件)时,研究人员分别发现暴露的HMI控制器和安全仪表系统(SIS),它们容易受到攻击。 在另一项研究中,研究人员部署了GasPot或煤气罐监控系统蜜罐,以观察和监控恶意利益,尽管攻击CI可能产生法律影响。 他们通过远程访问一个假想的自动坦克规(ATG)看到了几次入侵,这些入侵被用于分布式拒绝服务(DDoS)攻击,破坏和代码修改。
未经授权访问裸露的HMI可能导致更具破坏性的后果,因为它允许恶意行为者控制阀门流量,重新配置参数,并造成重大损失,并通过一次攻击就关闭了供应链。 除了可能关闭某个地区的电力和电源等相关行业外,水泵故障可能会使组织每天损失100,000至300,000美元。
恶意软件:类似于水务行业,石油和天然气行业有许多衍生副产品,这些副产品影响到许多企业,尤其是大型石油工厂。 塑料,纺织品,洗涤剂和化肥只是通过化学合成与石油公司有关的部分业务,因此使供应链更加可行,充满活力和依赖性。 在2016年发生的石化袭击事件中,发现许多设备预装有恶意软件,这些恶意软件感染了两家工厂。
2012年,发送给沙特阿拉伯国家石油公司一名员工的针对性骗局电子邮件中包含Shamoon,导致停机时间长达数月,并造成数百万美元的损失。 一份报告还引用了同一家公司作为2017年另一次恶意软件攻击的目标,尽管该公司否认对其计算机系统的任何破坏。
建议:查看并实施与特定人员,网络,设备,服务,电子和物理授权相关的访问策略和控制。 这鼓励了相关员工之间的安全文化和意识。 定期评估和审核系统的生命周期,以确保配置安全。 检查网络安全政策和程序,并定期对供应链合作伙伴进行漏洞评估,尤其是那些可以远程或直接访问网络或任何ICS系统的合作伙伴。
[阅读:通过网络分子的眼光看待水和能源部门]
结论
尽管关键基础架构集成了智能平台,并且企业发展了更好的网络安全意识,但是将安全性(集成到这些智能技术和基础架构的规划和设计中)仍然远远不够。 尽管攻击此类基础设施需要投入资金,但网络分子仍然选择利用系统中的安全漏洞,因为CI的相互依存性可能导致更大的问题。 企业必须在线和离线保持警惕,以确保这些关键基础架构的安全。
尽管网络分子的动机各不相同,但关键基础设施供应链中涉及的所有组织都必须防御这些威胁。 即使预期参与主要服务分配的较大公司将采取更好的安全措施,但充当第三方供应商的较小企业也必须以相同的优先级来确保各自的渠道。 考虑到地下对这些行业使用的系统的兴趣和讨论,从所用设备的种类和功能到特定设备本身的相似性,意味着对一个行业的攻击可能对同一行业的另一行业造成相同的损害。 否则就是完全不同的部门。
随着违规和未经授权的入侵变得越来越普遍,公司将必须建立有效的监视,阻止,通知,遏制和缓解程序,除了制定政策和员工意识计划。 IT和安全团队不仅必须及时了解与各自行业有关的最新威胁,而且还必须通过安装多层保护系统来确保不中断服务和运营。 尽管这可能意味着裁员和增加资源分配,但将IIoT与CI集成以提高生产率并结合安全性保证,表明企业了解他们所面临的威胁以及不作为或自满的后果。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢