Forescout旗下研究机构Vedere Labs4月23日发布研究报告,对暴露的关键基础设施环境中被忽视的安全威胁发出了警报。该实验室研究了从 2017年到2024年暴露的OT/ICS(操作技术/工业控制系统)设备数据的演变。Forescout研究人员在题为“安全胜于遗憾”的报告中表示,这些暴露在互联网上的 OT/ICS设备是滥用的沃土。尽管几十年来人们的意识不断提高,新法规不断出台,并且定期发布CISA公告,但此类暴露仍然是一个关键的基础设施安全问题。 反观另一方,机会主义攻击者正越来越多地大规模滥用这种暴露——有时是基于趋势驱动的非常随意的动机,例如当前事件、假冒行为或在新的、现成的功能或黑客指南中发现的某些紧急情况。
Forescout在世界领先的工业技术贸易展览会汉诺威工业博览会上发布了“安全胜过抱歉” 。Forescout研究人员可以于4月22日至2 日在IT&OT Circus的16号展厅A12展位讨论这些发现。
“如果这些警告听起来很熟悉,那是因为它们确实很熟悉。Forescout Research–Vedere Labs研究副总裁Elisa Costante表示,大规模目标场景的潜在潜力很高。 “Forescout呼吁供应商、服务提供商和监管机构共同努力,防止对关键基础设施的攻击,任何人都不会放过。”
最近,伊朗下属的黑客组Cyber Av3nger在全球范围内发起了一波针对以色列制造的统一可编程逻辑控制器(plc)的攻击。其中一次攻击发生在匹兹堡附近的一家水务公司,这使互联网暴露OT/IC问题再次成为人们关注的焦点。Forescout Research - Veder实验室已经追踪互联网上暴露OT/ICS数据超过7年。
Vedere通过研究2017年至2024年暴露的OT/ICS数据的细微演变,重新审视了这一主题。研究人员确定了暴露减少但仍存在风险的国家和设备类型。分析了最近三个设备暴露案例的细节,unitonic攻击波开始。此外,还讨论了主动识别和通知施耐德电气Modico和Wago 750 plc资产所有者的尝试。最后,深入研究了使用Nucleus NET和NicheStack TCP/IP栈的设备的暴露情况——这是该实验室在project Memoria中研究的主题。
注意:这些设备在未来很可能成为大规模攻击的目标,因此应尽快采取行动保护它们。
1. 美国和加拿大的暴露设备大幅减少,而欧盟国家和俄罗斯的暴露设备则明显增加。到2024年1月,全球有近11万台面向互联网的OT/ICS设备,其中美国占27%,其次是意大利、西班牙、法国和加拿大,总共占17%。在研究期间,只有美国和加拿大显著减少了暴露设备的数量,美国减少了47%,加拿大减少了45%。排名前十的其他国家增加了暴露设备的数量:西班牙:82%、意大利:58%、法国:26%、德国:13%、。俄罗斯:10%。
2. 制造和楼宇自动化协议构成为暴露设备的主要类型。Modbus占暴露服务的29%,其次是三种楼宇自动化协议——KNX、BACnet和Tridium Fox——总共占32%。自2017年以来,十大暴露服务类型基本保持不变,但Tridium Fox、Lantronix和MOXA Nport的设备数量大幅减少(前两个为70%,最后一个为53%),而Modbus和西门子S7的设备数量有所增加:Modbus为48%,S7为121%。其中一些减少与积极的研究和政府通告有关。
3. 许多这些暴露在互联网上的OT设备和协议似乎是系统集成商实践的结果。例如向资产所有者交付充当黑匣子的打包单元,无意中将多个系统作为标准设置的一部分暴露在互联网上。很可能,大多数资产所有者都不知道这些打包的单元包含暴露的OT设备。这种情况再次强调了需要一个准确和细粒度的软件和硬件材料清单,作为全面风险管理战略的一部分。
4. 通过有针对性的通报工作,可以主动降低暴露率。虽然在unironics黑客攻击之后,CISA警报和媒体关注,使互联网暴露的unironics plc在两个月内减少了近48%,但这是一种高度反应性的方法。以色列unironics设备的减少始于2022年初,与针对这些设备的最早攻击报告相吻合。在美国,在最近几次攻击之后,这种下降直到2023年底才开始。
5. 近一半的先前报告的端口仍然开放。考虑到Modicon和Wago plc的历史目标,研究者在最初向CISA报告其中一些设备一年后重新评估了这些暴露的设备。大约一半的plc仍然有相同的端口开放,没有改变或采取措施。大约30%的不再连接互联网,而另外20%的人仍然连接互联网,但关闭了有问题的OT端口。但是,FTP和web接口仍然偶尔打开。
6. 现在只有不到1000台暴露的设备运行Nucleus,大约5500台运行NicheStack。在最初的研究之后,这是一个显著的减少。尽管没有证据表明攻击直接针对这些漏洞或这些设备,但这些减少还是发生了。
由于对暴露的OT/ICS的攻击范围不断扩大,Forescout建议资产所有者加固连接设备。
首先,有效识别管理连接设备;识别连接到网络的每个设备,然后枚举已知漏洞、使用的凭据和开放端口。更改默认或容易猜测的凭据,并为每台设备使用强大的唯一口令。他们还必须禁用未使用的服务并修补漏洞以防止被利用,确保组织准确了解其暴露在互联网上的资产,并且不要假设它们永远不会成为目标。
其次,保持动态的细粒度的资产清单;研究人员还呼吁组织确保其资产清单足够细化,以覆盖第三方“黑匣子”系统,并确保网络安全最佳实践成为所有站点验收测试(SAT)的组成部分。
第三,进行网络分段或区域隔离;他们还必须对网络进行分段,以隔离IT、IoT 和OT设备,将网络连接限制为仅特定允许的管理和工程工作站或需要通信的非托管设备之间。他们还必须确保管理界面(例如连接设备上的Web UI和工程端口)位于基于 IP的访问控制列表后面,或者只能从单独的、受VPN保护的管理VLAN进行访问。
第四,持续监控,立足早期发现异常;Vedere Labs呼吁组织使用物联网/OT感知、支持DPI的监控解决方案来对恶意指标和行为发出警报;监视内部系统和通信是否存在已知的敌对行为,例如漏洞利用、密码猜测和未经授权使用OT协议。
最后,适时跟踪威胁情报;监控Telegram、Twitter和其他策划和协调攻击的来源上的黑客活动组织的活动。还必须监控哪些类型的黑客材料在这些社区中被共享,从而提前预警哪些暴露的系统比其他系统更有可能成为攻击目标。
Forescout Research利用其对手交战环境(AEE)进行分析,并利用真实和模拟连接设备的混合。这种动态环境充当强大的工具,能够精确定位事件并在粒度级别识别复杂的威胁行为者模式。总体目标是利用从这种专门的欺骗环境中获得的详细见解和理解,提高对复杂关键基础设施攻击的响应能力。AEE由Vedere Labs维护,Vedere Labs是一家全球领先的团队,致力于发现关键基础设施中的漏洞和威胁。Forescout产品直接利用这项研究成果,并与供应商、机构和其他研究人员公开共享。
![亡了羊也不补牢!OT/ICS设备暴露态势令人糟心]( "亡了羊也不补牢!OT/ICS设备暴露态势令人糟心")
![亡了羊也不补牢!OT/ICS设备暴露态势令人糟心]( "亡了羊也不补牢!OT/ICS设备暴露态势令人糟心")
参考资源:
1.https://industrialcyber.co/reports/forescout-report-warns-of-growing-security-risks-to-critical-infrastructure-as-ot-ics-exposed-data-escalates/
2.https://industrialcyber.co/vndrs/forescout/
3.https://www.forescout.com/press-releases/forescout-research-elevates-warnings-as-security-threats-go-ignored/
4.https://mp.weixin.qq.com/s/eUt1jWNrSiltPlNLLf5KOg
评论