从ICS攻击中吸取惨痛教训

令业界懊恼的是，工业控制系统(ICS)并不能幸免于数据泄露、勒索软件攻击、病毒、恶意软件、内部攻击或任何其他形式的攻击。最重要的是，一些专家表示，他们需要切实的证据证明袭击确实发生过。嗯，有。

看看威瑞森2016年数据泄露调查报告(DBIR)就知道了。该报告详细介绍了16种常见的数据泄露场景，每个案例都从相关利益相关者的角度讲述，如企业传讯、法律顾问或人力资源专业人员。

在一个令人心酸的场景中，一家制造商成为了受害者，不得不尽快把他们的房子收拾好。以下是该报告对这一事件的描述:

“一家公司，我们称之为Gator-Grasp紧固件公司，聘请了Verizon RISK团队对其工业环境进行健康检查。这家特殊的客户从事制造专用紧固件的业务，这些紧固件需要满足非常具体的工程要求，例如满足或超过一定的强度、拉伸应力、机械性能和材料含量阈值。

在健康检查开始时，Gator-Grasp紧固件公司的自动化工程师表达了怀疑和温和的异议，认为“健康检查”是不必要的。在他们多年的工作中，这位“病人”一直运转良好，没有表现出任何“不健康”的迹象。那么为什么要搞砸呢?他们向管理层保证，操作技术(OT)环境是安全的，他们预计不会有重大发现。毕竟，自动化工程师是专家，他们知道自己在做什么。尽管如此，管理层坚持，自动化工程师不情愿地同意与风险团队合作。

不是在我家

“与任何约定一样，我们召开了启动会议，用于介绍每个人，设定初始期望，讨论范围内环境，询问额外信息并安排现场参观。

“请求的信息包括网段列表、IP地址范围、IP地址分配和资产清单。“鳄鱼抓扣件团队被指示不要创建任何新的文档，以避免创建新文档可能掩盖程序缺陷的情况。在组装所要求的文件，鳄鱼抓紧固件很快意识到，它所做的是不够的。

“在现场访问期间，自动化工程师、风险团队的关键基础设施保护/网络安全(CIP/CS)专家和其他主题专家(sme)讨论了各种OT系统、现场安全措施和其他操作程序。这包括遵循的过程和实践(又名“制度知识”)，但不一定有文档记录。这些讨论表明，在过去的几个月里，网络似乎“缓慢”，自动化工程师和中小企业将其归因于旧的、遗留的设备。在了解了这一情况后，我们走访了不同的生产车间，并进行了额外的观察。

“我们首先注意到的一件事是，一些OT系统有反病毒保护，而另一些则没有。对于那些没有，我们被告知，因为他们是隔离的，他们不需要保护。令人难以置信的是，当我们查看有恶意软件保护的OT系统上的反病毒日志时，我们发现它们充满了恶意软件检测、删除和隔离警报。在总共57个系统中，33个系统至少有一个恶意软件警报，许多系统有多个警报。

“当我们询问这些警报时，我们发现自动化工程师和操作员都很清楚。他们的理由是，由于恶意软件保护程序正在纠正和“修复”问题，所以一切都是可以接受的。我们解释说，显然有一个潜在的问题导致了重复感染，并建议进行更详细的审查，以确定根本原因。”

需要记录

“鳄鱼抓扣紧固件公司没有记录在案的事件响应(IR)过程来调查事件，所以我们起了带头作用。该公司没有一个集中的日志记录解决方案，哪些设备进行了日志记录，并没有提供恶意软件如何进入网络的洞察。这个问题?我们需要更多的能见度。

“在Gator-Grasp fastening的合作下，我们建立了一个交换端口分析仪(SPAN)端口，并部署了一个无源网络分析仪来收集和分析流量。使用与已识别的恶意软件相关的指标，我们审查了网络流量，并快速识别出多个可能受到感染的系统。正如我们预期的那样，网络流量显示了与没有反病毒保护的传统OT系统相关的恶意软件感染。进一步的分析显示，存在一些错误配置，这使得未经授权的网络通信成为可能。

“受感染的系统，其中许多都在积极地寻找新系统，是在早期采访中发现的“网络缓慢”问题的很好的候选者。使用收集到的网络流量，我们对数据传输率进行了统计，并很快意识到扫描尝试正在用探针使遗留网络连接饱和。根据受感染系统的具体列表，我们针对受感染端点的数量。

“尽管感染广泛，但鳄鱼抓扣公司一直很幸运。对每个系统上的恶意软件进行检查发现，常见的驱动感染都是为了窃取银行凭证。由于所有受感染的OT系统都没有用于进程管理以外的任何用途，因此不太可能发生进一步的破坏。网络问题是恶意软件试图寻找新系统的意外副作用，加上过于宽松的防火墙规则。

“我们向Gator-Grasp紧固件公司提供了一份已知感染系统的列表，该公司很快开始根据已知的良好图像重建系统。为了在此过程中保持已修复系统的修复，我们继续对与已识别的恶意软件相关的已知指标和行为进行网络流量监控。随着当前的问题逐渐得到解决，我们将注意力转向了未受感染但仍然“麻烦”的OT系统。”

Verizon RISK团队将一些建议分为三类，涵盖了公司的整个OT环境:

1. 无人值守地点的不必要遗留系统。这些系统最终被从网络中移除并退役。由于没有记录，这些病毒难以追踪，因此很难找到，这最终推迟了遏制和根除活动。
2. 必要的遗留系统最终无法受到反病毒解决方案的保护。RISK团队手动删除了现有的恶意软件，并从最佳实践的角度加强了系统。最终部署了严格的防火墙规则来阻止对这些系统的访问，旨在限制未来任何妥协的影响范围。
3. 新系统未被防病毒解决方案打补丁或保护。这些计算机系统最终都打了补丁，安装了恶意软件保护程序。

最佳实践

就像在非ics世界中一样，安全事件可能会导致品牌声誉受损、竞争优势丧失、法律或监管不合规问题、重大财务损失以及对环境和社区的损害。

我学到的最重要的一课可以用一位自动化工程师的评论来总结:“嗯，在这里工作了25年，我以为我知道所有的里里外外。我不认为文档很重要，但最后，我意识到，有很多我不知道的东西，而我不知道的东西最终成为了问题的很大一部分。”

RISK团队发现，鳄鱼抓扣需要采取多项纠正措施来加强检测、缓解和响应工作，包括:

• 进行IR规划。IR计划是通过向响应人员提供方向和指导来解决安全问题的关键。
• 进行急救人员培训。培训那些最有可能识别有关IR计划的安全问题的人员;教育他们立即收集信息并进行分类。
• 加强加班系统。具有过度允许的默认配置的设备最终应该被审查，并禁用不需要的配置选项，以减少误用的风险。
• 经常打补丁。开发一个补丁管理程序，以适当地保护资产和网络。安全补丁可以修复已知的漏洞，并减轻恶意软件的传播。
• 利用反病毒/入侵检测系统(IDS)保护。在所有IT/OT系统上安装基于主机的反病毒解决方案或入侵检测系统，并保持最新的定义。
• 配置日志记录、监控和警报。将所有设备的日志集中到一个位置，并定期检查日志，以发现可疑活动的迹象，如防病毒警报、失败的登录尝试或涉及外部系统的网络通信。
• 维护IR/灾难恢复计划。有良好的文件记录和运行测试的IR和灾难恢复(DR)计划是至关重要的。否则，响应和恢复过程将是混乱的，可能是不完整的，并需要更长的时间。

格雷戈里·黑尔是《工业安全与保安来源》(ISSSource.com)，这是一个新闻资讯网站，内容涵盖制造业自动化领域的安全及保安事宜。本内容最初出现在ISSSource.com．ISSSource是CFE Media的内容合作伙伴。编辑:Joy Chang, CFE Mediajchang@cfemedia.com．

在线额外

下面是isssources的相关报道。

原始内容可以在www.isssource.com．

您是否具有本内容中提到的主题的经验和专业知识?你应该考虑为我们的CFE媒体编辑团队做出贡献，并获得你和你的公司应得的认可。点击在这里开始这个过程。