调查:ICS系统的USB威胁近乎倍增

运营技术(OT)威胁增多,可移动媒体依然是网络安全威胁的最大突破口,攻击者越来越喜欢通过USB设备进入工业生产环境。

Honeywell最近发布的《2020年USB威胁报告》指出,针对运营技术(OT)系统的威胁数量从16%上升到了28%,近乎倍增;而有能力中断此类系统的威胁数量亦从26%飙升到了59%,是上一年的两倍还多。

面对现实:制造、航空、能源、航运、化工、油气、制浆造纸、供水与污水处理,以及楼宇自动化,全都重度依赖USB设备。原因很简单:过程控制和关键网络通常都是隔离的,设置了严格的物理和逻辑访问控制措施。

因此,可移动媒体依然是网络安全威胁的最大突破口也就不足为奇了。由于网络渗透和入侵在成熟的访问控制措施面前变得越来越难,恶意黑客开始盯上工业自动化和控制系统之间必需的文件传输,认为从这里切入比较容易得手。

针对运营技术(OT)的攻击逐渐增长。但同时,对Industroyer、TRITON、Havex、Ekans、USBCulprit等此类攻击的新闻报道,也让我们更加意识到了这些攻击的严重后果。USB设备仍然在这类针对性攻击中发挥着重要作用,是工业控制与自动化系统的第二大攻击途径,仅次于基于网络的威胁。

▶ 报告发现

为了编撰这份报告,Honeywell工业网络安全全球分析、研究与防御(GARD)团队分析了从生产现场采集的USB使用及行为数据。

报告发现,45%的生产现场都阻止过至少一个威胁,再次确定了USB仍然是OT威胁的重要途径。几乎不可避免地,随着时间的流逝,一些威胁终将找到染指USB可移动媒体的路径。

虽然USB可移动媒体上发现的恶意软件数量只占总样本量的一小部分,但就算恶意软件整体浓度保持稳定,自2018年首份报告以来,所发现恶意软件的影响也大幅增加了。在发现的全部威胁中,有能力影响工业控制与处理自动化系统的占到了惊人的59%,是2018年26%的两倍还多。这些恶意软件可以针对接入自动化网络的设备发起拒绝服务攻击,可以屏蔽对运营管理网络的可见性,或者能够破坏或扰乱关键资产。

研究人员认为,这一发现与勒索软件从7%到17%的增长直接相关。尽管勒索软件通常不被认为是“OT特定的”威胁,OT环境中勒索软件数量的增加表明,工业企业已成为各类勒索软件变种的目标。因此,针对OT的威胁比率从16%上升到了28%,几乎翻倍。

报告还显示,五分之一(19%)的威胁特意利用USB可移动媒体作为攻击途径,超过半数的威胁设计用于打开后门、建立持久远程访问或下载其他恶意攻击载荷。这些发现都标志着更具协同性的攻击,很有可能是冲着大多数工业控制环境和关键基础设施中使用的物理隔离系统去的。

Honeywell Connected Enterprise网络安全研究与工程研究员总监Eric Knapp称:“USB搭载的恶意软件持续成为工业经营者的主要风险。令人惊讶的是,更有针对性、更危险的重大威胁越来越密集。这可不是什么通过USB意外感染病毒,而是一种趋势:更蓄意的协同攻击中越来越多地使用可移动媒体。”

但真正令人担忧的是,所分析的威胁中有20%都未被检测到,而2018年的报告中未检测出的比例还只是11%。这与新型威胁十分普遍,以及影响重大的针对性工业威胁明显源自USB可移动媒体,都脱不开关系。关键问题是,很多工业企业并不怎么更新自身杀毒软件的病毒特征码,因为工业系统能够实施更新的维护窗口期十分有限。

▶ 对工业经营者的影响

报告中的发现有助于工业经营者强化自身网络态势。

Honeywell报告中的证据表明,新威胁变种正快速经由USB设备进入工业环境。因此,工业界应再次评估已有控制措施和补丁周期,缓解此类威胁。实时检测风险和威胁,集成监测与事件响应程序,应该写入每家工业经营者的安全策略。

考虑到USB设备导致的威胁上升,USB安全措施应包含技术控制措施和具体实施。单纯依靠策略更新或员工培训不足以预防工业系统日益增加的威胁。

USB驱动器往往是攻击者建立远程访问和下载其他攻击载荷的最初感染途径。要切断这一跳板,应严格控制出口网络流量,强制实施网络分隔和防火墙等网络控制措施。

最后,终端节点修复和强化也是必须的,虽然修复生产系统会遇到一些挑战。保持基础设施更新是缓解已知威胁和帮助安全团队响应高级针对性攻击的最佳方式。

工业界已开始采取措施解决USB威胁。美国联邦能源监管委员会就已下令修订电力可靠性标准,试图“缓解源自此类设备的恶意代码风险”。此报告还强调了交付可用高效安全解决方案的重要性,指出安全解决方案既不能完全不可用,也不能成为生产力的阻碍。

Honeywell《2020年USB威胁报告》:

https://discover.honeywell.com/USBThreatReport-8156-Registrationpage.html

Tripwire《USB对工业设施网络安全的威胁》:

https://www.tripwire.com/state-of-security/ics-security/usb-threats-cybersecurity-industrial/

https://www.tripwire.com/state-of-security/ics-security/usb-threats-cybersecurity-industrial/

上一篇:同时入选IDC、安全牛、数世咨询、CCIA等权威第三方机构报告的网络空间测绘技术长什么样?

下一篇:伊朗核设施遭遇网络攻击