如何保护OT / ICS系统从赎金软件攻击

2021年5月12日至5月12日之间，殖民地管道，从德克萨斯队到新泽西州的天然气，汽油和柴油的5,500英里的管道，响应它所说的是一个针对其信息技术的赎金软件攻击而关闭其运作（IT）网络。在媒体声明中，殖民官员表示损坏仅限于其IT系统，但公司“主动地将某些系统脱机遏制威胁。”

包括禁用选择操作技术（OT）/工业控制系统（IC）的那个响应，“暂时停止了所有管道操作......我们正在积极地在恢复过程中。”该公司补充说，其（OT）系统很好，关闭是测量的响应，以便快速恢复。如果没有这种“丰富的谨慎”，它的恶意软件可能已经证明了流水线基础设施和参与者上游/下游的互连（例如，监管转账，共享远程计量，可用存储/容量等）的相互连接。

由于殖民地事件以来，已报告了关于操作实体的其他几个主要赎金软件攻击：玛莎葡萄园岛渡轮公司，富士夫，而且JBS肉类公司谁提供了40％的美国肉类供应。这是在第二大纸公司，韦斯特罗克的其他几个大型公共赎金制品活动的高跟鞋上，Molson Coors和今年的其他人。

现实情况是，产业组织现在是勒索软件团伙的目标，因为失去可用性的影响是数百万美元，所以赎金要求可能相当高。最近的一份报告数字阴影发现工业商品和服务是2020年最具针对性的行业，29％。攻击人数超过了接下来的三个行业（零售，建筑和技术）的次数。

什么是勒索瓶？

Ransomware是一种病毒或更常见的恶意软件的形式。基本上，攻击者在（网络钓鱼，社交工程等）中找到一种方式首先侵入目标网络。然后，他们的软件在网络上运行（遍历网络共享，本地驱动器等）加密它发现的一切，只有攻击者知道的键。如果受害者想要解锁文件，那么受害者将不得不支付钥匙。获取密钥和解密文件的成本可以根据攻击者和受害者的具体细节，从数百到数千元或甚至数百万美元的范围内。

为什么勒索软件使用以及潜在的影响是什么？

Ransomware在诈骗和勒索犯罪世界中有根源，但本质上，它也可用于针对更大的资产所有者和组织或掩盖可能更为狡猾的其他活动。

让我们首先看看为什么赎金软件今天对工业组织成为这么挑战：

• 勒索软件利用“可用性”风险，在工业组织中具有很高的利润。个人信息的网络盗窃业务过去利润颇丰，但随着供应的增加，这些信息的价格大幅下降。因此，网络罪犯找到了新的商业模式。他们已经从“机密性-完整性-可用性”三合一的“C”转变为“A”，而行业组织需要可用性来运作，因此支付通常是快速和庞大的。
• 在大多数情况下，保险支付了赎金和追索费用的很大一部分。因此，在现有政策到位的情况下，保险的存在对支付过程起到了润滑作用。然而，随着保险公司开始改变政策，这种情况正在发生变化，比如安盛(AXA)最近宣布停止为勒索软件付款提供保险。
• 即使它攻击也可以关闭OT操作。如果它到达那些系统，OT系统通常非常容易受到赎金软件的影响。因此，任何事件响应计划的第一步是通过断开OT系统来阻止传播。虽然IT系统昂贵恢复，但OT系统可能是昂贵的三到四倍，并且可能需要更长时间。因此，频繁阅读的“大量警告”。在许多情况下，操作不仅仅依赖于“OT”系统，但现在必须有效地运行诸如结算或供应链软件的“IT”系统。因此，关闭键IT系统可以基本上需要OT关闭。
• 为什么OT如此易受影响?
  • 大多数勒索软件利用较旧的漏洞，这些漏洞已被留下了未捕获。在OT中，有大量的漏洞和未被划分的系统。
  • 勒索软件通常利用基于网络的不安全来获得访问(例如，通过远程桌面协议(RDP))，但会从一个端点传播到另一个端点。补偿控制、系统加固、漏洞管理和其他技术(如网络隔离)在减少病毒攻击的影响和传播方面都发挥着关键作用。
• Ransomware往往非常有效，因为许多组织都无法承认和避免潜在的事件。大量的遗产和未被划分的资产经常受到少数非网络安全人员监控和监督的是灾难的方法。

要将循环放入透视图下图说明了典型的路径ransomware需要进入设施：

殖民管道公司怎么了?

根据已发表的报告，一部分殖民谷歌对攻击的第一个反应是寻求事件响应专家火眼(FireEye)的服务。此后，调查人员将此次袭击归咎于一个名为DarkSide的俄罗斯犯罪勒索软件组织，该组织实施了大约40起类似的袭击，索要的赎金从20万美元(约合人民币1280万元)到200多万美元不等。

黑暗面声称它的攻击以专业的“体验”为特色，专注于为消费者提供“优质产品”。黑客团伙声称，他们只会攻击那些有支付能力的人，或者已知有网络安全保险的人。众所周知，该组织还采用了双重勒索方法——让受害者为解密他们的数据支付费用，否则，威胁将作为犯罪一部分窃取的数据公开。

到周一，黑暗面袭击者对殖民管道袭击事件表示悔过。或许是为了回应这起事件引起的国际关注，以及政府和执法部门的集中努力，黑客们在他们的暗网站上说，他们从未打算破坏公共设施。

“我们不关心政治，”黑客们说。“我们不参与地缘政治，不需要把我们和一个明确的政府绑在一起，寻找我们的其他动机。我们的目标是赚钱，而不是给社会制造问题。”

如上所述，Colonial攻击专门针对操作账单和库存等操作的IT系统。事实上，勒索软件从未侵入该公司的OT系统。然而，手术还是停止了，因为有进一步扩散到OT的风险。

这对OT的意思是什么？ot systems免疫，因为它们较少连接到互联网？他们只是“稍后在传播中”所以而不是患者1-100，他们是患者101和以下 - 这只是时间问题？所有资源都应该专注于阻止赎金软件影响它，如果可以完成，那么ot safe？该解决方案是否有关事件响应以及如何通过为这些系统或障碍创建冗余来保护潜在IT赎金软件的操作，而无需依赖于这些关键IT系统？这些问题很多，应该为所有工业运营商提出战略问题。

如何防范勒索软件对产业组织的攻击

即使使用安全系统，100％避免停机或事件也不是可能性。相反，安全的真正衡量标准处于弹性。换句话说，检测，响应和恢复到威胁或活动的速度如何？

虽然整体安全程序（如NIST CSF，IEC 62443或CSC18）是用于操作安全性的适当结束游戏，但有一些特定的安全控件应该强调与勒索软件直接相关。它们在这里列出了一些非常具体的“OT纸币”，其中这些做法的应用更具挑战性，特别是由于OT的性质。

如何在OT环境中防止勒索软件

了解IT攻击如何影响OT，建立清晰的事件响应玩法，并对风险进行优先排序，以确保在紧急情况下尽可能减少对运营的影响。

• 明确的潜在威胁和影响地图。最大问题之一是资产和系统的风险水平和优先事项。哪些系统与哪些系统联系在一起，而不仅仅是在技术上而且正在操作？伟大的消息是许多工业组织已经有灾难恢复计划。这些恢复计划需要扩展到网络事件所以组织了解他们可以断开的连接，他们可以保持操作等。这是攻击可以从中传播到OT的关键。
• 风险优先级:这些练习可以确定真正的皇冠宝石——哪些系统是操作的关键，一直到单个服务器等等。这就允许组织对这些系统的风险管理进行优先级划分，并添加额外的安全层来保护那些关键资产
  • 不挑战:特定策略和程序 - 必须修改大多数IT工具和行为，以提供类似的效果而不会中断OT。这种类型的余额需要对安全实践的重要知识，但也需要进行操作意识
• 健壮的备份和恢复:需要扩展备份覆盖范围和频繁快照（更多主机）。频繁备份的频率越多，并假设充足的管道以获取系统备份这些备份（例如，足够的网络带宽），则较快的组织可以从赎金软件攻击中恢复。但是，组织必须确保在恢复备份时拆除漏洞或者主机，或者它们可能会被重新感染。
  • 不挑战:传统系统，缺乏带宽，需要跟踪大多数环境中的多个备份解决方案/产品，使管理变得困难。
• 对关键资产进行离线备份:脱机备份作为恢复力或灾难恢复策略对于确保您的最重要的OT资产受到保护，或者如果您的基础架构已关闭，则可以很容易地恢复。这包括PLC逻辑代码，配置，文档和系统映像/文件。它可能听起来很昂贵，但通常使用安全的加密USB来完成，这些USBS周期性地旋转，使得维护文件完整性。
  • 不挑战:OT环境的复杂性，源代码类型，位置等的数量和变体 - 需要一个完整的备份和恢复程序。
• 定期进行“网络消防演习”，以测试备份和恢复:加班和网络相关活动应采用频繁的培训制度。取证、硬件故障、关机等应该至少有一个网络的初始记录，只是为了确保它与网络无关，如果是这样，可以确保监管链和尽职调查。其次，重要的是，当出现问题时，你的资源知道该怎么做，所以这是另一种方法，在提高快速恢复的可能性的同时，再次检查过程。

端点管理

如上所述，组织使用丰富的谨慎和关闭其OT流程之一是这些资产的基本终点风险。虽然它可能更容易避免这种硬话题，但现实是恢复力需要更安全的OT端点。

这项工作中的第一个问题（以及开始监测潜在威胁）是端点。为此，以下是基本要求的：

• 资产库存：有效的端点管理始于强大的资产库存．丰富的每个端点图片的360度图片可以实现适当的端点管理。
  • 不挑战:包含自动化资产库存，其中包括基于网络的OS的所有资产类型，而且还嵌入了深度资产配置文件，包括集临界，用户和帐户，包括补偿控制等。
• OT Systems Management：OT资产库存只是健壮的终端管理计划的开始。一个强大的OT系统管理程序包括配置加固、用户帐户管理、软件管理等。在许多情况下，OT系统设计不安全，也没有打补丁，这使得勒索软件的时机成熟。
• 补丁管理：大多数威胁都是通过Windows电脑等普通系统进入的。一个公司不能在OT中安装所有的补丁，但是端到端补丁管理程序(i.e. automation and intelligent application of patches) is of great importance due to several environmental factors such as compliance, legislation and risk management (e.g., patches on hosts with RDP or firewalls connected to the Internet should be prioritized over a programmable logic controller (PLC) protected by several layers) where unfeasible, application whitelisting, and policy enforcement makes an attacker’s life very difficult to improve chances to defend or deny a ransomware attack on an OT organization.
  • 不挑战:公司需要进行优先修补程序并搬到补偿控制必要的时间/地点。
• 可移动媒体:USBS，可移动介质和瞬态设备是其他形式的低悬垂果实，特别是如果网络是“空气覆盖”或严重控制。用户将通过可移动媒体绕过控件。作为最佳实践，系统策略很容易部署，使用的白名单软件，注册的安全驱动器和其他802.x等技术，确保网络段上允许授权系统。
  • 不挑战:枚举，应用，监控和执行可移动媒体策略，并扩展到瞬态网络资产。

监控网络，系统和应用程序日志用于异常

攻击通常具有指示感染的前兆元素。然而，它可以指示一个易受攻击的系统，即在攻击中或即将受到妥协的是防御团队有利于防止广泛的感染或攻击。这样做的一种方式是所谓的“金丝雀”，它将一个在网络中的系统置于充当煤矿的“金丝雀”和警报时，因为勒索软件影响允许更快的响应。

• 不挑战:为传统SIEM和警报工具提供“OT上下文”。
• 监控外部攻击表面：许多攻击都是由于错误配置或由变更管理中的缺口造成的无意漏洞而成功完成的。监视公开的服务(例如Shodan)是一种最佳实践。

访问控制和网络分段

停止赎金软件的传播通常会归结为在路径中放置防火。这些可以是网络保护的形式，例如防火墙，其他形式的分割或严格的访问控制。

• 实现网络分离或分段。减缓勒索软件传播的一个关键方法是在IT和OT之间(甚至在IT和/或OT的部分网络中)设置网络屏障。这种方法是一个基本元素，但由于它的技术挑战，经常未得到充分利用。
  • 不挑战:在IT或OT上进行分割并不容易，但在OT中，由于遗留设备、物理布线的需要、将系统转移到新防火墙所需的停机时间等问题，会出现特殊的挑战。OT细分需要一个对网络和OT系统本身有深入了解的团队。
• 分离基于软件，用户角色和功能的系统：To protect systems compromised through remote access, local Windows networking flaws (e.g., print spool or server message block (SMB)/Network Basic Input/Output System (NeTBIOS)), or Office/Acrobat, isolate them based on function and ensure unnecessary software is not included in standardized golden images or the same AD server is not serving policy for IT and OT. This also applies to user-based accounts; if an human-machine interface (HMI) is an HMI, treat its operator as an operator, not as an administrator.
  • 不挑战:寻找，分析和保护这些类型的控制 - 能够纠正和强制基准
• 区域或系统之间的技术多样性：跨系统的一致性具有可伸缩性优势，但当单个漏洞影响多个产品时，如果利用这个策略，整个操作就会停滞。带有2FA(双因素授权)的VPN(虚拟专用网络)、远程访问终端服务器和多个防火墙供应商等障碍成倍地增加了外部攻击成功所需的努力。

提高这五个类别降低了赎金软件攻击的风险和影响，利用现有的技术投资，并在妥协时提高恢复。这些中的每一个都会在可能的赎金软件攻击中加入连续的保护和保障.Conclusion和成功案例

在本文件中确定了特定的挑战，不显示强大的OT安全计划是无法实现的或不可能的，而是为了帮助读者确定将有助于成功的计划实现最大挑战的最大保护的关键决策点。

'IT-Libly'安全控制在OT中的应用越来越多地在世界各地的众多行业，公司和国家实现。但成功的真正衡量标准在维护和监督他们的最初努力。大大提高安全态度的公司承认OT环境的独特挑战并制定决定：

1. 建立强大，360度资产意见
2. 将多个功能整合到一个平台中
3. 在企业级将IT和OT技能集结合在一起，以审查、监控、计划和执行系统安全控制
4. 自动数据收集和修复任务
5. 与Proven OT安全软件和服务供应商/顾问合作。

这个故事最初出现在verve的网站．气魄是CFE Media的内容合作伙伴。