洞见RSA 2021| ICS安全威胁——从假想到现实

RSA 2021创新沙盒环节,三位来自不同行业的专家针对ICS(工业控制系统)的安全威胁发表讲话,他们分别是来自保险行业FM Global的Wade Chmielinksi、工控行业Dragos,Inc的Ben Miller、以及网络安全专栏记者Kim Zetter。

ICS现状

来自美国保险公司FM Global的Wade表示,“万物互联”时代的到来使得越来越多的设备与互联网连接,其中不乏价值高昂的设备。这些设备一旦被攻击,不仅会造成金钱损失,甚至会影响民众的日常生活,黑客通过网络攻击造成城市瘫痪的想象已经变成现实。同时,随着互联网的高速发展,IT与OT的边界逐渐模糊,攻击者也发现了新的机会,将目标从IT系统转向OT系统,利用勒索软件进行攻击的。

攻击目标的转变

Wade表示,在以往的勒索软件攻击中,仅加密数据可能无法迫使受害者缴纳赎金,于是攻击者逐渐转向威胁泄露敏感数据等方式。由于OT与IT环境相互依赖,且攻击OT系统会造成极大影响,因此攻击者逐渐将目标转向OT系统,使收益最大化。如物流行业的ERP系统被攻击后,物流仓库无法及时出货导致货物积压,造成整体物流服务的停滞,受害者迫于业务压力更可能会支付赎金。

安全专栏记者Kim也表示,即使一些攻击者最开始的目标不是OT系统,但由于被攻击的IT系统会影响到相关的OT环境,也会造成类似的结果。近期,燃油管道运营商Colonial Pipeline被勒索软件攻击导致停运,虽然攻击本身并没有影响输送燃油,但由于商家无法准确计算用户的用量和费用,所以只能停止服务。这也是IT攻击影响到OT环境进而影响现实生活的典型案例。Kim还提到,攻击OT环境往往会影响现实生活,造成所谓的连带伤害,如在燃油管道案例中被攻击事件波及的普通民众。但攻击时攻击者只会考虑到自身利益,而企业在事后也很难照顾到这些连带受害者,因此此类事件会造成更深远的影响。

防护手段

Dragos的研究员Ben提到,ICS攻击日益增加,我们在讨论如何有效的防护ICS攻击时,应该从纸面理论中走出来,去现场了解真实环境,与当地关键基础设施的同事交流对应设施的具体情况。IT厂商和ICS相关企业应该联合起来,取长补短,共同面对潜在威胁。同时,ICS企业需更主动的研究前沿技术,结合自身业务环境,更好的了解整体的安全状况。目前也有一些可供参考的最佳实践案例,如提高网络活动的透明度可以使安全人员更好的察觉和回溯一些异常事件。通过准确定位自身业务系统中的高价值目标,指定对应的应急响应方案,确保攻击发生时可以及时止损并恢复。Wade也表示,企业可以指定一个OT的安全负责人,以便及时掌握全局OT的安全情况,调配安全资源,也便于事后追责定位问题。

响应措施

当发生攻击事件并对企业造成影响时,如何降低损失并及时恢复是头等大事。Kim在讲到近期的燃油通道的攻击事件时表示,Colonial Pipeline运营商在面对本次攻击时就显示出了准备不足、应对慌乱的情况。

勒索软件攻击是网络攻击的主要方式,三位专家针对是否支付赎金的问题提出了不同的看法。Wade和Ben认为不应该支付赎金。一是因为当攻击者看到有利可图,就会变本加厉,导致勒索攻击形势进一步严峻。二是即使及时支付赎金,受害者也无法确定是否可以完全恢复。据说Colonial Pipeline本次虽然支付了赎金,但由于解密的过程过于漫长,最终还是选择恢复备份的方式。Kim表示,是否支付赎金不应该是一个非黑即白的问题,需要根据具体情况分析。虽然很多企业有备份,但是从未测试过恢复备份的流程。该流程往往比想象的更复杂,需要提前演练,避免在被攻击后启用备份恢复流程时遇到意外情况,出现恢复失败从而不得不支付赎金的情况。

一些思考

随着云技术的普及,很多企业试图将业务放入云端来规避安全风险。三位专家都表示,云虽然看上去比较美好,但从攻击链的角度来说,很多底层的基础安全隐患都是一致的,企业需要更多的关注基础安全标准,从根源杜绝安全隐患。同时,在向云端迁移的过程中,会产生很多新问题,如配置漏洞或第三方操作风险等,更需要注意安全防护。当然,云技术是大势所趋,企业应尽快了解相关的技术,结合自身业务环境调整适应。

此外,有些地方政府会考虑通过惩罚支付了勒索赎金的企业,遏制勒索软件攻击事件的发展。三位专家对此持反对意见,政府不应该再次惩罚受害者,而应通过一些正面激励帮助企业免受攻击,如将一些网络安全标准拓展到关键基础设施行业,从硬件到软件,通过制定统一的安全标准来提升整体防护水平。企业也应该做好准备,应对政府可能发布的法规法案。只有相互合作,才能最大化降低被攻击的风险。

虽然一些最新技术(如SDN网络隔离技术)短期内可以有效提升企业的防护能力,但也需要纳入长期提升规划。在没有成熟的方案前,处理相关的伴生问题需要徐徐图之。

总结

针对ICS或者OT系统的攻击,IT企业、关键基础设施企业以及地方政府应该联合起来,加强沟通和交流,组建共同防线,才能最大程度降低风险,提高被攻击后的应急处理速度,迅速止损和恢复。

版权声明

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。

Spread the word. Share this post!

Meet The Author

Leave Comment