原创 | 制造业ICS网络威胁趋势

  • A+
所属分类:云安全

编译 | 天地和兴工业网络安全研究院

【编者按】制造业面临的网络风险在逐年增加,主要表现为影响工业过程的破坏性网络攻击、信息收集和过程信息窃取以及针对工业控制系统(ICS)的新型攻击。以网络攻击为驱动的制造业生产过程破坏越来越普遍。近日工业网络安全公司Dragos发布了《制造业网络威胁展望》,详细梳理了造成信息收集和处理信息窃取的入侵行为,以及针对工业控制系统(ICS)和工业物联网(IIoT)设备的攻击;针对制造组织的ICS威胁最新观察结果及详尽的分析,并提出了实用的防御建议。

一、主要发现

制造业面临的网络风险正在增加,主要原因是破坏性的网络攻击影响工业过程,入侵导致信息收集和过程信息盗窃,以及针对工业控制系统(ICS)的新活动。Dragos目前公开跟踪了五个以制造业为攻击目标的组织:CHRYSENE、PARISITE、MAGNALLIUM、WASSONITE和XENOTIME,以及各种能够实施破坏的勒索软件活动。

制造业依靠ICS来实现规模化、功能化,并确保一致的质量控制和产品安全。制造行业作为国家关键基础设施,生产关键材料、制成品和药品,是事关国计民生的重要领域。由于设施和操作的相互关联性,对制造行业的攻击可能会对整个供应链产生连锁反应,而供应链依赖于及时和精确的生产来保障产品、健康和安全以及国家安全。

勒索软件运营商正在采用具有ICS感知的功能,能够停止与工业相关的过程,并造成潜在破坏性影响。Dragos还没有观察到规模或复杂程度与针对沙特阿拉伯和乌克兰的能源运营的破坏性恶意软件攻击TRISIS和CRASHOVERRIDE中使用的规模或复杂程度相同的针对制造业运营商的ICS特定恶意软件。然而,已知的和持续存在的制造业威胁可能会对运营产生直接或间接的影响。对截至2020年10月的威胁情况以及未来随着对手及其行为的可能演变,报告总结了以下特点:

▪ 具有破坏工业过程能力的勒索软件是对制造运营的最大威胁。攻击者越来越多地在勒索软件中采用ICS感知机制,这可能会中断运营;

▪ Dragos公开跟踪了五个针对制造业的活动组织;

▪ 制造业过程中断对供应链的影响会波及企业以及其他地方的运营;

▪ 知识产权盗窃对于制造商而言仍然是高风险;

▪ 相互连接的企业、运营和过程控制网络日益融合,导致了日益严重的威胁。

二、以制造业实体为攻击目标的组织

( 一 ) CHRYSENE原创 | 制造业ICS网络威胁趋势

CHRYSENE的攻击目标为制造业、石化、石油和天然气以及发电行业。攻击目标已超出该组织最初对波斯湾地区的关注,而且该组织在多个地区仍然保持活跃。

相关组织:APT 34、GREENBUG、OilRig

( 二 ) MAGNALLIUM原创 | 制造业ICS网络威胁趋势

Magnalium至少从2013年就开始攻击能源、航空航天等行业。尽管Magnalium没有专门针对制造业,但化学制造过程属于该组织的攻击目标范畴。该活动组织最初的攻击目标是设在沙特阿拉伯的公司,但后来将目标扩大到包括欧洲和北美的实体,包括美国电力公司。MAGNALLIUM缺乏专门针对ICS开展攻击的实力,但该组织仍专注于最初的IT入侵。

相关组织:PARISITE、APT 33、Elfin

( 三 ) PARISITE原创 | 制造业ICS网络威胁趋势

Parisite自2017年开始运营,面向制造业、电力公用事业、航空航天、石油和天然气行业以及政府和非政府组织,攻击北美、欧洲和中东等地区目标。

相关组织:MAGNALLIUM, Fox Kitten, Pioneer Kitten

( 四 ) WASSONITE原创 | 制造业ICS网络威胁趋势

WASSONITE的攻击目标是印度(以及可能的韩国和日本)的制造业、发电、核能和研究机构。该组织的运营依赖于DTrack恶意软件、凭据捕获工具,利用系统工具进行横向移动。WASSONITE至少从2018年开始运营。

相关组织:Lazarus Group,COVELLITE

( 五 ) XENOTIME原创 | 制造业ICS网络威胁趋势

XENOTIME对多家ICS供应商和制造商造成了威胁,构成了潜在的供应链威胁。XENOTIME以TRISIS攻击而闻名,该攻击导致2017年8月在沙特阿拉伯的一家石油和天然气设施遭到破坏。2018年,XENOTIME的业务范围扩大到北美和亚太地区的电力公司,欧洲、美国、澳大利亚和中东的石油和天然气公司。攻击目标还包括控制系统设备,超越了2017年事件所针对的Triconex控制器。

相关组织:Temp.Veles

三、工业控制系统(ICS)恶意软件

目前,有两个攻击组织XENOTIME和ELECTRUM被证明有能力利用专门针对ICS进程的恶意软件(TRISIS和CRASHOVERRIDE),并破坏ICS进程。尽管Dragos尚未观察到有恶意软件家族会扰乱制造运营,但这些攻击者可能会在开发此类恶意软件的过程中将目标锁定在制造公司,即使它们不是最终目标。

例如,2016年恶意软件CRASHOVERRIDE在乌克兰的一个输变电站中专门针对西门子SIPROTEC保护继电器和ABB设备进行破坏。Dragos观察到,一些大型制造公司可能会在现场有自己的电力运营部门,其中包含相同的设备。从理论上讲,如果使用相同的设备,攻击者可以将制造业作为针对关键基础设施(如电力公司)的破坏性攻击的“试验场”。Dragos估计,由于总体上较复杂的网络安全基础设施和较少的政府监督,制造业可能成为攻击者更具吸引力的目标。

最臭名昭著的ICS恶意软件Stuxnet也针对制造业。2010年首次发现该蠕虫病毒的攻击目标是伊朗拥有的负责控制铀浓缩离心机的可编程逻辑控制器(PLC)。这种网络攻击在当时是史无前例的,它是第一次对计算机系统造成物理破坏的攻击。

四、针对制造业的威胁

( 一 ) 勒索软件

制造业最常见的威胁是勒索软件。Dragos观察到,在过去两年中,影响ICS环境和操作的非公开和公共勒索软件事件数量显著增加。今年,Dragos确定了采用ICS感知功能的多种勒索软件,包括能够在环境中停止工业过程的能力,其活动可以追溯到2019年。EKANS、Megacortex和Clop只是包含这类代码的少数勒索病毒软件。EKANS和其他关注ICS的勒索软件对工业操作构成了一种独特的、特定的风险,此前在勒索软件操作中没有观察到这种风险。

( 二 ) 暴露于互联网上的资产

暴露于互联网上的工业和网络资产对制造业来说是高风险,因为这些资产有助于攻击者进入受害环境。针对ICS的威胁组织,包括PARISITE、MAGNALLIUM、ALLANITE和XENOTIME,以前或目前都试图利用远程访问技术或登录基础设施。

根据《2019年Dragos年度回顾报告》,66%的事件响应案例涉及对手直接从互联网访问ICS网络,100%的组织都有可路由的网络连接到其操作环境中。最近以色列针对水基础设施的网络入侵是可编程逻辑控制器(PLC)暴露在开放互联网上的结果。Dragos还响应了工业实体的勒索软件事件,这些企业利用互联网连接的远程访问门户渗透到运营网络并部署勒索软件。

2020年7月,美国国土安全部网络安全和基础设施安全局(CISA)和国家安全局(NSA)发布了一份警告,鼓励资产所有者和运营商立即采取行动,限制OT资产接入互联网。根据该警报,最近在发布前观察到的行为包括:在转向操作技术(OT)之前,通过鱼叉钓鱼获得对信息技术(IT)的初始访问,部署商用勒索软件来影响IT和OT环境,连接到不需要验证的可访问互联网的可编程逻辑控制器(PLC),使用常用端口和标准应用层协议与控制器通信并下载修改后的控制逻辑,使用供应商工程软件和程序下载、修改可编程逻辑控制器上的控制逻辑和参数。

攻击者很快就可以将面向互联网的服务(包括远程桌面协议(RDP)和VPN服务)中的漏洞进行武器化和利用。2020年夏季发现的新漏洞会影响关键网络基础设施服务,包括F5、Palo Alto Networks、Citrix和Juniper网络设备,可能会被针对ICS的攻击者利用,这些漏洞可使对手获得对企业运营的初始访问权,之后可能转向工业运营。

( 三 ) ICS漏洞

ICS专用设备和服务中的漏洞可能给制造环境带来风险。截至2020年10月,Dragos的研究人员评估并验证了108个安全建议,其中包含262个漏洞,这些漏洞会影响制造环境中的工业设备。Dragos发现,几乎有一半的通报都描述了一个漏洞,该漏洞可能导致受到破坏的环境中可视性丢失和/或失去控制。

在Dragos评估的影响制造业工业设备的漏洞中,70%需要访问受害者网络才能利用,26%要求攻击者能够访问易受攻击的设备本身,8%的要求攻击者在局域网上以便于攻击。鼓励资产所有者和运营商注意这些漏洞对制造操作的威胁。例如,可视化或控制装置丢失会引起安全隐患,并可能使工人的生命或环境面临风险。

( 四 ) 知识产权盗窃

Dragos高度自信地认为,知识产权盗窃和工业间谍活动是制造实体的主要威胁,尤其是来自国家支持的攻击者和恶意内部人士的威胁。与过程和自动化功能相关的知识产权和商业秘密的窃取,可使工业组织以及感兴趣的政府快速发展关键基础设施,包括制造业。它还可以支持国家资助的间谍活动,以进行政治或国家安全工作。获得产品的材料规格可能不足以复制它们,企业依赖工程和工业设计原理图以及基因自动化测序详细信息。根据Dragos研究人员称,攻击者可能会窃取算法、工程设计和编程规范,以复制整个生产过程,而不仅仅是物质产品和服务的输出。

( 五 ) 第三方/供应链

自2017年以来,作为威胁受害者的第一步,多种威胁已转移到危害供应商、托管服务提供商(MSP)和外部网络服务。攻击者可以滥用现有的信任关系和互联性,以获得对敏感资源的访问权,在某些情况下还包括ICS系统,几乎都不可能被发现。

此类活动的最新案例包括:DYMALLOY和ALLANITE组织针对几个原始设备制造商和供应商进行了攻击,针对电力部门实施了后续网络钓鱼攻击;针对几家原始设备制造商和供应商的XENOTIME;APT10进行了一场广泛的黑客攻击,劫持了MSP及其客户之间的连接,其中包括制造企业。

承包商、供应商和其他第三方人员通常可以直接访问操作环境进行更新、检查或新设备安装等活动。攻击者有可能将这些个人使用的设备作为进入其最终目标的接入点。企业资源规划(ERP)供应商还提供了潜在的感染媒介,如果没有适当的隔离和安全控制,这些媒介可以弥合IT和OT之间的鸿沟。ERP服务需要访问操作资产以监视和存储与生产、供应链、库存和安全相关的信息。它们应该集成到企业功能中,如合规或财务。最近的漏洞暴露突出了这些系统的威胁和潜在的利用。2020年7月,主要的ERP供应商SAP发布了影响SAP NetWeaver Application Server(AS)Java组件的严重漏洞的详细信息和修补程序,该漏洞影响了众多SAP业务解决方案,包括ERP。攻击者可以利用该漏洞控制受信任的SAP连接。

制造业实体是全球供应链的一部分,支持多个其他行业,这使得它们成为对手攻击电力公用事业或制药等行业的跳板。一些制造业公司的活动延伸到多个垂直行业。汽车制造商大众汽车于2019年成为可再生能源供应商,旨在与能源公司在电池储能和管理方面展开竞争。

利用第三方连接可使攻击者进行间谍活动、侦察和数据窃取操作,以预先做好准备以展开破坏性OT攻击。由于制造业公司在各个行业垂直领域的相互关联关系,资产所有者和运营商应意识到所有ICS实体面临的威胁,并将ICS特定威胁情报纳入安全运营和风险管理。

五、IT/OT融合

( 一 ) 网络隔离

制造商的网络安全成熟度取决于行业、监管要求、地理位置和各种其他因素。然而,在制造环境中存在“扁平网络”并不罕见。这是因为企业和运营部门之间共享网络连接。这使得攻击者更容易跨越IT和OT边界,并从IT接入点进入后攻击制造业务。

如果企业和运营部门之间确实存在隔离,利用跳转主机和访问限制,那么制造工厂通常利用所有制造工厂的相同广域网(WAN)连接。如果攻击者能够进入一个设施的运营,则可能会危及整个公司的运营。

扁平网络结构的危险在2017年得到了广泛证明。那一年,WannaCry和NotPetya蠕虫勒索软件和恶意软件攻击全球,破坏了众多制造商的运营。这些蠕虫利用旧版本的Microsoft服务器消息块(SMB)协议中的漏洞和连续的凭据窃取和重用进行传播。由于IT和OT之间存在较弱的隔离、环境之间的维护互连以及缺乏访问限制进行互连,恶意软件在工业运营中缓慢蔓延,造成了数十亿美元的损失。尽管WannaCry和NotPetya事件给全球制造商敲响了警钟,但三年后,不当的网络隔离仍然是一个问题。

( 二 ) Wi-Fi连接

除了与互联网连接的过程自动化和其他“智能”制造过程外,运营商还采用了支持Wi-Fi的机床和诊断设备。互联网连接工具连接到历史数据库,用于质量保证、监管和物流等目的。通常,这些工具连接到企业或运营资源,可以用作网络接入点,或在旨在破坏生产和阻碍运营的攻击中成为攻击目标。物流应用程序和服务使制造资产的移动部件(如车辆、司机和货物)能够与仓库或人力资源等静态资产进行通信和交互。员工和承包商使用带有Wi-Fi连接的移动和桌面硬件来使用应用程序和服务,并定期访问企业网络,有时还访问运营网络。

物流技术可以确保供应链的及时、精简,但对任何中断都非常敏感。如果物流网络中的一台设备受到威胁,则恶意软件或对手可能会散布到该设备所连接的所有网段。时间敏感的小事故可能意味着制造业运营的严重破坏,并影响客户、产品和服务。

( 三 ) 缺乏可见性

随着制造业务的联系日益紧密,这些环境中仍然缺乏对过程、资产和连接的可见性。很难抵御运营商看不到的威胁。

根据Dragos 2019年度回顾报告,81%的Dragos服务团队合作的组织对ICS/OT网络的可见性极为有限或根本没有。从事件响应活动中观察发现,没有用于事件分析的安全性和过程数据聚合实例,而需要手动检索日志和分布式分析。

至关重要的是,在未来,所有制造部门和运营部门(包括工程、装配和物流)的资产所有者和运营商改善网络和主机可见性,以识别和抵御日益增长的威胁。

六、防御建议

制造企业都是不同的,并且网络安全机制、网络体系结构以及它们愿意接受的风险也会因行业而异。例如,在食品和制药行业,已经制定了监管条例,以监测生产和销售给公众的产品的安全性。但是,为了提高环境的整体安全性,所有制造企业都应执行以下建议:

▪ 进行架构检查,以确定IT和OT网络之间的所有资产、连接和通信。确定非军事区(DMZ)以限制飞地之间的流量。严格检查并限制公司网络和ICS网络之间的连接,并将其限制为仅已知的、需要的流量。

▪ 确保理解网络的相互依赖关系,并进行核心分析,以识别可能破坏业务连续性的潜在弱点。

▪ 尽可能实施多因素身份验证(MFA),尤其是在外围设备和登录门户。重点关注与集成商、维护人员、供应商人员以及诸如安全设备之类连接。如果无法在内部设备上实现MFA,请确保对所有凭证使用强且难以猜测的口令。

▪ 确保维护企业网络系统的备份,并在灾难恢复模拟期间测试备份。制定ICS特定事件响应计划,并演练如何处理不同的事件。

▪ 被动识别和监视ICS网络资产,以识别网络中的关键资产、阻塞点和外部通信。

▪ 寻找针对制造的对手所使用的威胁行为和已知的战术、技术和程序(TTPs),比如那些映射到ICS的ATT&CK。

▪ 监控来自ICS网络的出站通信,以检测恶意威胁行为、指标和异常情况。了解恶意活动组织表现出的恶意行为,对于防范至关重要。

▪ 监测和标记关键资产。Dragos资产识别允许通过检测针对资产类型的恶意行为来进行特定分析。

▪ 利用特定于行业的威胁检测机制来识别OT中的恶意软件,并在网络级别加强纵深防御策略,从而使防御者和分析员具有更强大的调查能力。

▪ 确保公司网络已修补,以防止恶意软件感染进入环境并防止后续传播。

▪ 确保关键的网络服务,如Active Directory(AD)和托管它的服务器都受到很好的保护,并尽可能最大程度地限制对托管设备的管理访问。

▪ 尽可能评估和限制IT和ICS网络之间的共享。在共享AD环境中为OT系统创建专用安全组,并将部署组策略对象(GPO)或其他更改的权限限制为仅对管理员,以减少攻击面。

▪ 确保最大程度地将网络隔离。如果无法进行隔离,请确保应急响应计划有良好的文档记录,以详细说明紧急情况下,如恶意软件感染时的隔离工作。例如,实施防火墙规则,将关键的ICS组件从网络中分离出来,这些组件可以根据环境的信息安全和功能安全以及任何潜在的恶意活动进行激活和停用。

▪ 不需要进行实时通信或直接访问操作的服务和设备应进行虚拟化。这可以改进漏洞管理,并为相互依赖提供更好的安全性。例如,工程工作站(EWS)和人机界面(HMI)操作可以虚拟化。

▪ 隔离用于建筑物出入控制(BAC)和供暖、通风和空调(HVAC)的设备和服务。这些服务可被视为二级或支持系统,对维持安全、可靠的制造运营至关重要,并且可以作为试图破坏制造生产的对手的潜在目标。

七、结论

针对制造企业、导致运营中断的勒索软件呈现上升趋势。互联网暴露的资产、供应链和第三方危害风险,以及互联企业和运营网络的日益融合,导致了威胁态势的不断恶化。Dragos继续监测重点的攻击组织和针对制造业务的威胁,包括涉及能够破坏运营的ICS勒索软件。此外,如Dragos所述,攻击者无需专门针对工业过程,就可实现跨工厂、车队或自动化过程的广泛危害破坏。可以肯定的是,明年制造业面临的威胁还将继续增加。

参考资源:
1.Dragos, Manufacturing Sector Cyber Threat Perspective, November2020
2.https://www.dragos.com/blog/industry-news/manufacturing-sector-cyber-threats/



转载请注明来源:关键基础设施安全应急响应中心

原创 | 制造业ICS网络威胁趋势

本文始发于微信公众号(关键基础设施安全应急响应中心):原创 | 制造业ICS网络威胁趋势

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: