在威胁环境中业务复原力的重要性
对处理威胁有现实的期望,并知道如何在紧急情况下以有效的方式作出反应是至关重要的。
工业领域的网络安全正在发生变化,展望未来的需求一直存在,但审视过去并从中吸取教训也是必要的。该公司首席执行官罗伯特·m·李(Robert M. Lee)说,现在,威胁行为者越来越意识到这个行业在做什么,并看到了以制造公司为目标的价值德拉格,在他的演讲“制造既是网络安全目标又是矢量”中Fortniet OT研讨会8月24日。
现代公司比以往任何时候都更加数字化和网络化。但是网络和工业操作系统已经以超出任何人理解的方式连接了很长时间。威胁总是在进化,这意味着什么?“随着我们对这个行业的了解越来越多,我们发现了更多,”Lee说,这最终是成熟的标志。随着制造商和工业公司对OT网络的深入研究,他们发现随着时间的推移,风险一直存在。
德拉戈斯发现的趋势之一是,连接的改善使系统更容易受到网络威胁。他们追踪了不同的威胁行为集团,看看它们是如何产生和消失的,是否有任何模式。在面临威胁的情况下,良好的增长,将会有更多的群体掉落,而不是到达现场。当一个群体消失时,只要有一到两个群体取代它,就可以控制。然而,根据德拉戈斯的一项研究,“威胁群体的上升速度是其下降速度的三倍”,这意味着当一个群体下降时,另三个群体就会出现。
礼貌:Fortinet /德拉戈
如何就漏洞提供建议
Lee说,在制造业,没有必要有成熟的方法来应对漏洞,因为法规往往过度强调漏洞。常见的挑战是常见的漏洞和暴露(cve),它们包含错误、有补丁但没有替代缓解措施、数据不正确的报告、没有补丁的报告以及没有补丁和没有替代缓解措施的报告。这意味着人们看到了问题,但并不总是能找到直接的解决方案。
礼貌:Fortinet /德拉戈
系统中有很多不同的漏洞,有时是设计好的。人们需要注意的是,系统中的漏洞能够以独特的方式访问对手。李说,最重要的策略是了解何时停止寻找漏洞,并把重点放在真正重要的地方。Lee说:“威胁攻击者寻找的漏洞类型是远程利用和远程更新固件的未经认证的访问。”
对抗漏洞最重要的方法之一是创建一个知情的社区。对解决漏洞有现实的期望也有助于流程朝着正确的方向前进。把责任推给某一个部门是无济于事的;更重要的是要明白并不是所有的漏洞都能得到解决,这没关系。对后端抱有现实的期望也会有所帮助。
Lee说:“你可以使用更小的ttp(战术、技术和程序),这可以让你获得一个可防御的、可扩展的检测策略,而不是意识到环境中发生的每一个异常或每一个指标。”
威胁组
德拉戈斯正在追踪大约15个针对全球工业企业的威胁活动组织,其中6个明确针对制造业。当这些群体瞄准某家公司时,该公司需要立即采取行动。德拉戈斯称这六种矿物为瓦松石、钒石、钴石、Xenotime、塔洛石和钾镁石。
特别是沃森尼特,自2019年11月以来一直被跟踪。德拉戈斯发现,他们的恶意软件是基于信息技术(IT)的,这意味着如果操作技术(OT)团队看到它,他们通常会认为这是普通的恶意软件,没有什么特别的。然而,重点不是关注恶意软件本身,而是该公司面临人类威胁的事实。
一个公司必须考虑攻击者的意图是什么,以及他们会对整个公司产生什么样的影响。例如,Dragos发现沃森耐特公司关注的是知识产权,比如公司做生意的方式。这些见解具有竞争价值。威胁在于对手和他们的行为,而不是他们使用的特定恶意软件。
在另一个例子,SolarWinds他说:“我认为我们反应不足,我们非常幸运,因为我们的战略对手不想搞破坏,因为如果他们想搞破坏,他们可以在我们的基础设施的主要部分搞破坏。”现在的担忧如此之高是有原因的。风险更高。
礼貌:Fortinet /德拉戈
减少网络威胁
在管理层,人们倾向于关注IT网络安全。在很长一段时间里,人们认为OT网络不能连接到其他网络,所以他们把所有的努力集中在IT方面。然而,要从整体上降低风险,公司需要关注所有部门,而不仅仅是IT部门。向暴露在外的操作方提供资源也将使人们能够解决他们所面临的风险。
他说:“由于我们没有更好的了解,或者我们做了很多预防措施,然后我们离开了,数以吨计的植物正受到勒索软件的攻击。”人们没有想到的是,一开始采取的预防措施,比如防火墙,可能会随着时间的推移而萎缩。
Lee说:“不仅通过更好的网络可见性,而且通过了解IT和OT正在发生什么,你可以很好地了解一些参与者,以及他们是如何在勒索软件袭击前几周或几个月损害这些组织的。”人们的一个假设是,一旦他们意识到自己受到了勒索软件的攻击,他们认为自己没有时间去对抗它。然而,有几周或几个月的时间可以检测公司系统中的任何威胁参与者。
“每个人都会被攻破。作为保安公司的Dragos总有一天会被攻破。那种认为我们可以不被作为一个话题在社区中被打破的想法是愚蠢的。你会被攻破,但你如何应对,你对客户的期望是什么,你在帮助客户做决定时提供了什么透明度,这些都是衡量你的标准。”
李的一些建议是限制访问和帐户管理。例如,限制域管理员的数量,并将所有管理员隔离到他们自己的组织单元(ou)中。制定网络攻击反应计划,并使其不止一段。人们应该知道如何以最有效的方式应对紧急情况。验证第三方连接和OT交互是否被监控,并采取一种全面的方法来查看OT环境,这样在监控方面就不会有差距。
透明度、预防和反应都是应随着不断演变的威胁而演变的关键因素。公司受到网络攻击并不是世界末日,但没有适当的应对措施才是。
想了解更多关于Fortinet OT研讨会的信息,请查看文章:确保制造供应链上的设备安全.
