觀點

工控資安:IT/OT疆界模糊,勒索攻擊鑽漏洞

2022 / 03 / 14
編輯部
工控資安:IT/OT疆界模糊,勒索攻擊鑽漏洞
2021 年發生了多起工控(ICS) 及 OT相關的網路攻擊事件,無論是破壞硬體漏洞、其他安全性漏洞、惡意軟體等,許多台灣的一級企業或組織單位直接或間接地已遭勒索事件所害,結果是營運中斷或金錢、聲譽損失。
 
對許多國家而言,勒索攻擊已上升為國家安全的主要威脅,駭客不斷對關鍵基礎設施單位,包括政府、醫療保健、油氣水電、交通、金融等發起持續攻擊。’21年與20年同期相比,供應鏈網攻擊上升兩倍。勒索軟體即服務 (RaaS)也是助力之一。
 
到 2021 年,從勒索攻擊恢復的全球平均總成本 (即支付贖金和 / 或修復受感染網路的成本) 今年增加了一倍多,從 2020 年的 970,722 加元增加到 2021 年達到 230 萬加元。
 
勒索軟體威脅在 2021 年對工控和製造業產生質和量變化。從數量上講,根據Mandiant的調查報告,因勒索攻擊而資料洩漏事件從 2020 年的約 1.5 萬增加到 2021 年的超過 2.5 萬。實際事件數量可能甚至高於Mandiant觀察到的數量。Mandiant並發現,出現在勒索軟體資料洩露網站上的受害製造組織增加了 70%。

OT漏洞的現實&關注「事中阻斷」

美國政府宣佈關鍵基礎設施的工控ICS 和 OT框架標準,如NISTSP800-82和NIST SP800-53是朝著正確方向邁出的重要一步。但它們只是邁向真正強大的工控資安防禦的第一步。而這些框架的大部分都關注於漏洞追蹤和修補。
 
但現實是,
  • 大多數 ICS/OT 漏洞沒有實用的緩解建議;
  • 複雜的 ICS/OT 攻擊通常利用零日漏洞(例如,近期被披露的 Log4j)。  
未知和不可修補的漏洞以及看不見的 IT/OT 融合的現實,意味著即便是最嚴格修補的環境下,攻擊者仍有後門可以潛入。
 
隨著工控技術越來越現代化,使用單位需要採用足夠現代化的安全原則。識別資產、識別漏洞並嘗試修補它們都很重要。這是必要的,而不是足夠的。 
 
企業組織不僅需要關注漏洞修補的事前防禦,還需要將注意力轉向「事中阻斷」。即使是最微妙的異常行為形式也要及早識別,並在最早階段消除可能的攻擊。
 
卡巴斯基報告發現,許多單位與ICS直接相關的電腦發現都發現入侵跡象。要充分防範此類入侵,組織必須部署正確的資產管理、威脅檢測和回應工具。 
 
Mandiant公司發現勒索組織鎖定大型企業,包含使用ICS/OT 系統來製造或交付其產品的公司。且這些勒索組織不斷精進各種攻擊階段的技術及工具,甚至採用多重勒索策略,增加取得受害單位支付贖金的機會。

當IT災情蔓延到OT

Colonial Pipeline(美國東部油管駭侵事件)JBS Foods(全球最大肉品供應商JBS駭侵事件)等勒索攻擊事件突出了一個隱憂,即 IT 攻擊對 OT 系統構成的威脅。也就是說即便攻擊不是針對OT系統,但是當IT系統遭受攻擊時,使用單位選擇將OT系統手動關閉以避免災情蔓延到OT。
 
其實目前只有少部分勒索軟體如EKANS直接對工控系統進行攻擊,但是現實情況是,IT 攻擊越來越多直接或間接地影響 OT。單一專注於OT或IT系統,往往不足以抵禦變化快速的網路攻擊,尤其是擅長於橫向移動的勒索病毒。這樣的攻擊事件,凸顯出IT/OT融合的防禦技術之重要性。
 
在探討工控和製造業的重點安全領域時,以往防火牆是多數OT工控資安防禦唯一做法。但隨著 OT 系統變得更加複雜,不僅設備種類繁多,遠端遙控、第二甚至更多分支工廠的設置等因素都讓OT工控資安必須考慮整合更新的防禦技術,如防火牆與實體隔離設備之單向傳輸技術 (Data Diode) 的整合。
 
此外,工控領域採用IIOT(工業物聯網)技術及設備的環境下,人工智慧(AI)的防禦是有效的方法。AI可以處理大量log資料,剔除噪音,即時發現真正具有威脅性的行為。

永遠保持警戒

對工控和製造業來說,最大的OT資安威脅是缺乏知識和培訓。通常,管理層甚至沒有完全意識到風險,而且大多數員工幾乎沒有接受過有關如何識別和避免潛在威脅的訓練。
 
基於設備年分、系統設計到供應商類型及應用程式的多樣化,不同的工控系統設備商採用不同方式提高安全性。總體來說,提高安全意識、強化ICS/OT 網路的入口 / 出口點防禦是不變的原則。
 
勒索攻擊的影響程度取決於受害者的整體安全性及駭客選擇的攻擊行為。普遍來說,需要合規的關鍵基礎設施,如電力部門、核能、水電、石化原料及大型製造業組織具有較高的資安抵禦能力。
 
無論如何,勒索駭客將繼續發展攻擊策略和工具。因此企業組織單位建議透過從威脅情報、資訊共享團體和其他開源研究取得最新勒索軟體情資,並永遠保持警戒。
 
本文轉載自Industrial Cyber.
 

【2022 OT工控資安年會】探討如何阻斷勒索軟體及其他對關鍵基礎設施、製造業的攻擊!

3大議程重點:
  1. 工控資安的困境與捷徑
  2. 從實際勒索攻擊事件看IT/OT融合的資安防禦
  3. 智慧製造的OT資安管理
日期: 2022年3月24日 (四)  
地點: 台北文創 6F ABC會議廳
主辦單位:資安人媒體