废水处理设施缺乏合格的网络安全人员
许多供水、污水处理和其他关键基础设施组织缺乏熟练的网络安全OT人员,在面临BlackMatter等勒索软件攻击时,这可能是危险的
中钢协发布了两份针对关键基础设施运营的威胁警报。第一次是关于过去一年中针对供水和废水系统的一系列攻击的警报,主要与勒索软件有关,但也有内部威胁和其他风险。而第二个则强调了一种名为BlackMatter的勒索软件即服务变体(根据CISA的说法,可能是Darkside RAAS组织的重新命名)的出现。自2021年7月以来,BlackMatter勒索软件攻击了多个美国关键基础设施实体,包括两个美国食品和农业部门组织。
这两项建议是在2021年6月关于“不断上升的勒索软件对运营技术的威胁”的情况说明之后发布的。所有这三份文件都就关键基础设施运营商可以采取的补救和响应策略提供了建议,以保护自己免受勒索软件和其他OT攻击的风险。
你可以在这里找到这三份报告的链接:
- 勒索软件对运营技术资产的威胁不断上升- CSIA情况说明书,2021年6月
- Blackmatter Ransomware- CISA、FBI、NSA联合咨询,2021年10月
- 美国供水和废水系统面临的持续网络威胁-中钢协警报(AA21-287A), 2021年10月
这些警报和建议凸显了全球关键基础设施面临的日益严重的威胁。虽然CISA是一家美国实体,但威胁并不局限于美国的组织。在过去的两年里,勒索软件已经成为所有工业组织的主要威胁,因为攻击者已经意识到,针对基础设施的盈利能力,如果不可用,可能会导致重大的安全问题或财务成本。根据2021年SANS关于OT/ICS网络安全的调查在美国,勒索软件已经从最大风险名单上的第五或第六名大幅上升到第一名。
防御,检测和从勒索软件恢复
中钢协建议采取一系列行动防御,检测和从勒索软件恢复.我们在下面总结了这些建议,但在警报和情况说明书中有更详细的建议列表和描述。
- 为可能的网络攻击做好准备
- 识别所有资产,并根据它们对业务的重要性进行分类
- 保持对安全状态更改的可见性,特别是包括备份状态
- 准备和测试事件响应计划
- 为OT人员提供网络安全意识培训。
- 减轻潜在威胁
- 识别和评估网络和端点安全控制风险,例如缺乏适当的网络分段、不安全的用户和帐户访问、未打补丁或过时的系统等。
- 风险补救:进行网络分段、修补关键漏洞、加强配置设置并禁用风险服务、利用应用白名单等。
- 通过安全监控日志、流程等BlackMatter和其他威胁参与者的签名来监控威胁,还可以通过监控OT系统的流程和性能来监控可能与安全无关的异常行为
- 对勒索软件做出反应并采取行动
- 执行事件响应计划
- 与CISA和其他政府机构协调,支持应对活动。
所提供的所有建议都是保护OT系统的坚实安全基础,所有关键基础设施组织都可以很好地遵循这些建议。
然而,我们不断从组织那里听到的最大挑战之一是“我们从哪里开始?”正如CISA在其报告中所承认的那样,许多水、废水和其他关键基础设施组织缺乏熟练的网络安全OT人员。任何从事OT安全工作的人都同意,如果不仔细执行并适当关注这些系统的敏感性,IT安全策略、程序和技术可能会对OT系统造成损害。
中钢协的建议是有力和全面的。它们包括网络安全的要素,端点管理,端点保护、网络和端点监控、事件响应、备份和恢复等。
我们应该从哪里开始讨论OT安全性呢?
从一个详细的评估和基于风险的具体路线图.OT安全性的最大缺陷之一是对系统当前安全状态的基本视图。缺乏端点风险的知识,如漏洞、补丁、用户和帐户风险,如休眠用户或不适当的访问等,在了解需要什么来保护这些资产方面带来了挑战。工业组织通常没有对网络规则、连接性和流程的可见性,以确定系统是否适当地分段。
好消息是,有一系列评估的可能性。首先,CISA为关键基础设施运营商提供自己的评估支持。其次,有很多咨询机构可以提供基于调查或问卷的评估。最后,有使用ot安全安全技术的技术支持评估获得深入的可视性和具体的终点建议。所有这些选项使组织能够优先考虑最大的风险,以确保其环境的安全。
但是,一些评估可能导致在实施建议的路线图方面遇到挑战。通常,评估会指出网络保护、备份程序、缺乏安全帐户管理等方面的缺陷,并提出一个路线图,其中包含一系列有些不相关的举措。在许多情况下,这从“在IT和OT之间应用网络分割”开始,然后分别“更新关键系统上的软件和固件”,然后再次分别“删除休眠或不必要的帐户和用户的访问权限,并更改密码策略”。
当组织试图与追求其重点领域的团队的不同部分一起执行这些不同的计划时,这会导致沮丧,因为网络分割比预期的要困难得多,因为OT网络没有很好地记录;试图确定什么与什么相连,什么需要相连,这是一个漫长而具有挑战性的过程。
同样,许多OT设备不支持升级和补丁由于遗留需求或OEM限制。如果没有对资产的安全风险以及哪些补偿控件可以降低未打补丁系统的风险的综合了解,端点安全工作就会令人沮丧地变得不完整。
技术支持的漏洞评估的好处
这种类型的评估提供了一个综合的和逐个资产的风险视图,以平衡跨端点、用户、访问、网络等的风险,以及适当的计划顺序,而不是孤立的努力。
其次,这种漏洞评估方法利用了每个资产的所有安全管理的统一视图。例如,如果系统缺少关键补丁,但无法进行补丁,则该统一视图监视补偿控制,例如在严格锁定或存在应用程序和网络防火墙的情况下加强配置或部署应用程序白名单,等等。
三是加快整治进程。因为评估提供了逐个资产视图的资产,所以分割要快得多,从补丁与白名单或其他端点控制中确定相对风险降低更基于事实,等等。因为技术已经到位,组织可以在端点级别加速最终补救过程.
-这最初出现在神韵工业的网站.神韵工业是CFE媒体和技术内容合作伙伴。
您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献,并获得你和你的公司应得的认可。点击在这里开始这个过程。
