综述
在日益猖獗的网络攻击事件助推下,关键基础设施面临的威胁日益严峻。超过16个部门以上的重要国家基础设施:包括制造业,金融服务和政府等,面临无情的网络攻击,旨在中断服务,泄露敏感信息或勒索。
由于工业自动化系统(OT)通常是一个关键目标,安全团队非常关注OT安全和网络防火墙,这是可以理解的。但事实证明,这种策略过于狭隘,忽略了关键的考虑因素,如身份和权限在入侵中的作用。事实上,身份及权限的风险为攻击者提供了最大的机会,从而获得对关键基础设施网络的初始访问权限和横向移动。
身份泄露——关键基础设施的安全薄弱环节
美国网络安全和基础设施安全局(CISA)以及海岸警卫队(USCG),调查了121个关键基础设施组织的网络。正式名称为风险和脆弱性评估(RVA),这些探测旨在评估组织的网络能力和针对潜在威胁的网络防御能力,并将结果映射到 MITRE ATT & CK 框架 。
MITRE ATT&CK技术用于获得对关键基础设施网络的初始访问权
披露数据泄露事件的时限现在是72小时
由于威胁升级的紧迫性,许多国家针对关键基础设施行业的新立法加大了安全团队透明度和问责制的压力。例如,美国《2022年关键基础设施网络事件报告法》(CIRCIA)和欧盟《网络和信息系统指令》(NIS2)规定,对关键基础设施有重大影响的网络事件必须在72小时内披露。除了提高可见性和问责制,这些规定大大缩短了从发现疑似入侵的时间到必须披露的时间窗口,推动了更有效、预防性的安全需求。
值得注意的是,还为关键基础设施范围以外的其他行业颁布了类似的任务规定。
仅有防火墙和网络隔离是不够的
在攻击执行方面,现实情况是,攻击者在获得初始立足点、提升特权和横向移动使用的技术方面有很多共同之处。这是因为,从根本上说,攻击者执行的所有行动都利用了人类或机器身份的特权。不同的是,使用了哪些MITRE ATT&CK技术来获得这些特权。
让我们看看三个极具代表性的关键基础设施漏洞的例子:
科洛尼尔管道运输公司被入侵的攻击手段
佛罗里达Oldsmar供水系统:据信攻击者利用脆弱的用户凭据获得了最初的立足点。进入工厂后,他们使用现有远程桌面软件控制操作员的桌面,以访问工厂控制系统,并执行命令,将供水中的氢氧化钠含量改变到危险的高水平。幸运的是,操作员发现了这一危险情况,并及时进行了干预。
Oldsmar被入侵的攻击手段
NotPetya :这是史上最为严重和具有破坏性的网络攻击之一,始于被盗的登录凭证,这使得攻击者能够访问流行的会计软件并修改其代码。该软件为攻击者提供了一个后门,以将恶意软件分发到目标组织中。一旦部署,该恶意软件便利用名为EternalBlue的漏洞利用工具迅速传播,该工具针对的是已知的服务器消息块(SMP)漏洞。在利用之后,攻击者使用Mimikatz工具收集登录凭证,并经常使用合法的Windows管理和网络共享工具进行横向传播。此次攻击破坏了全球各地的重要基础设施,从航运巨头马士基经营的港口到切尔诺贝利核电站的辐射监测系统均受到波及。
NotPetya漏洞中使用的技术
在这些案例中,初始目标都不是传统资产。但它们都涉及某种形式的人类或机器身份泄露,并利用现有漏洞和合法远程管理工具的组合来扩散,以提升特权、横向移动并实现预期目标。
MITRE ATT&CK技术用于在关键基础设施网络中横向移动
没有完整安全关联信息,您无法保护关键基础设施
几乎所有单点安全工具的挑战在于,它们缺乏对攻击面中资产、身份和风险关系的全面和集成视图。例如,OT(工业自动化)安全工具经常无法洞察OT环境中的IT资产和身份,包括那些可能被利用以最终破坏关键基础设施系统的弱点。正是这些跨域关系使得攻击者能够获得初步访问权限、进行横向移动和权限提升。如果没有这些跨域关系,就无法有效地从海量孤立的警报中区分出可能破坏关键基础设施完整性和连续性的真正漏洞。
Tenable One漏洞管理平台能够独特地解决这些挑战。它提供了对现代攻击面的全面可见性,打破了安全孤岛,并优先检测和关闭可能对关键基础设施产生重大影响的漏洞。Tenable One集成了来自Tenable OT 的OT和IT资产的丰富配置数据和风险数据,以及来自Tenable IE的人机身份权限和风险数据。借助此平台,安全人员可以可视化和修复贯穿融合IT和OT环境的攻击路径。
通过采用强调全面可见性、上下文风险评估和真实漏洞优先级的横向安全方法,组织可以增强其安全态势,提高效率,并更好地保护关键基础设施免受不断发展的威胁。
原文始发于微信公众号(Tenable安全):美国CISA组织发现: 90%的针对关键基础设施的攻击是通过身份及权限错误配置实现的
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论