調查:ICS系統的USB威脅近乎倍增
責編:gltian |2021-04-14 14:42:21運營技術(OT)威脅增多,可移動媒體依然是網絡安全威脅的最大突破口,攻擊者越來越喜歡通過USB設備進入工業生產環境。
Honeywell最近發布的《2020年USB威脅報告》指出,針對運營技術(OT)系統的威脅數量從16%上升到了28%,近乎倍增;而有能力中斷此類系統的威脅數量亦從26%飆升到了59%,是上一年的兩倍還多。
面對現實:制造、航空、能源、航運、化工、油氣、制漿造紙、供水與污水處理,以及樓宇自動化,全都重度依賴USB設備。原因很簡單:過程控制和關鍵網絡通常都是隔離的,設置了嚴格的物理和邏輯訪問控制措施。
因此,可移動媒體依然是網絡安全威脅的最大突破口也就不足為奇了。由于網絡滲透和入侵在成熟的訪問控制措施面前變得越來越難,惡意黑客開始盯上工業自動化和控制系統之間必需的文件傳輸,認為從這里切入比較容易得手。
針對運營技術(OT)的攻擊逐漸增長。但同時,對Industroyer、TRITON、Havex、Ekans、USBCulprit等此類攻擊的新聞報道,也讓我們更加意識到了這些攻擊的嚴重后果。USB設備仍然在這類針對性攻擊中發揮著重要作用,是工業控制與自動化系統的第二大攻擊途徑,僅次于基于網絡的威脅。
? 報告發現
為了編撰這份報告,Honeywell工業網絡安全全球分析、研究與防御(GARD)團隊分析了從生產現場采集的USB使用及行為數據。
報告發現,45%的生產現場都阻止過至少一個威脅,再次確定了USB仍然是OT威脅的重要途徑。幾乎不可避免地,隨著時間的流逝,一些威脅終將找到染指USB可移動媒體的路徑。
雖然USB可移動媒體上發現的惡意軟件數量只占總樣本量的一小部分,但就算惡意軟件整體濃度保持穩定,自2018年首份報告以來,所發現惡意軟件的影響也大幅增加了。在發現的全部威脅中,有能力影響工業控制與處理自動化系統的占到了驚人的59%,是2018年26%的兩倍還多。這些惡意軟件可以針對接入自動化網絡的設備發起拒絕服務攻擊,可以屏蔽對運營管理網絡的可見性,或者能夠破壞或擾亂關鍵資產。
研究人員認為,這一發現與勒索軟件從7%到17%的增長直接相關。盡管勒索軟件通常不被認為是“OT特定的”威脅,OT環境中勒索軟件數量的增加表明,工業企業已成為各類勒索軟件變種的目標。因此,針對OT的威脅比率從16%上升到了28%,幾乎翻倍。
報告還顯示,五分之一(19%)的威脅特意利用USB可移動媒體作為攻擊途徑,超過半數的威脅設計用于打開后門、建立持久遠程訪問或下載其他惡意攻擊載荷。這些發現都標志著更具協同性的攻擊,很有可能是沖著大多數工業控制環境和關鍵基礎設施中使用的物理隔離系統去的。
Honeywell Connected Enterprise網絡安全研究與工程研究員總監Eric Knapp稱:“USB搭載的惡意軟件持續成為工業經營者的主要風險。令人驚訝的是,更有針對性、更危險的重大威脅越來越密集。這可不是什么通過USB意外感染病毒,而是一種趨勢:更蓄意的協同攻擊中越來越多地使用可移動媒體。”
但真正令人擔憂的是,所分析的威脅中有20%都未被檢測到,而2018年的報告中未檢測出的比例還只是11%。這與新型威脅十分普遍,以及影響重大的針對性工業威脅明顯源自USB可移動媒體,都脫不開關系。關鍵問題是,很多工業企業并不怎么更新自身殺毒軟件的病毒特征碼,因為工業系統能夠實施更新的維護窗口期十分有限。
? 對工業經營者的影響
報告中的發現有助于工業經營者強化自身網絡態勢。
Honeywell報告中的證據表明,新威脅變種正快速經由USB設備進入工業環境。因此,工業界應再次評估已有控制措施和補丁周期,緩解此類威脅。實時檢測風險和威脅,集成監測與事件響應程序,應該寫入每家工業經營者的安全策略。
考慮到USB設備導致的威脅上升,USB安全措施應包含技術控制措施和具體實施。單純依靠策略更新或員工培訓不足以預防工業系統日益增加的威脅。
USB驅動器往往是攻擊者建立遠程訪問和下載其他攻擊載荷的最初感染途徑。要切斷這一跳板,應嚴格控制出口網絡流量,強制實施網絡分隔和防火墻等網絡控制措施。
最后,終端節點修復和強化也是必須的,雖然修復生產系統會遇到一些挑戰。保持基礎設施更新是緩解已知威脅和幫助安全團隊響應高級針對性攻擊的最佳方式。
工業界已開始采取措施解決USB威脅。美國聯邦能源監管委員會就已下令修訂電力可靠性標準,試圖“緩解源自此類設備的惡意代碼風險”。此報告還強調了交付可用高效安全解決方案的重要性,指出安全解決方案既不能完全不可用,也不能成為生產力的阻礙。
Honeywell《2020年USB威脅報告》:
https://discover.honeywell.com/USBThreatReport-8156-Registrationpage.html
Tripwire《USB對工業設施網絡安全的威脅》:
https://www.tripwire.com/state-of-security/ics-security/usb-threats-cybersecurity-industrial/
https://www.tripwire.com/state-of-security/ics-security/usb-threats-cybersecurity-industrial/