物聯網勒索軟件攻擊或成為關鍵基礎設施安全保護的噩夢
勒索軟件攻擊仍然是關鍵基礎設施部門和運營技術 (OT) 環境的噩夢。近日,一種稱為物聯網勒索軟件或R4IoT方法的新攻擊浮出水面。概念驗證(PoC)揭示了網絡犯罪分子日益復雜的行為,因為他們將 IT、物聯網和OT環境串聯在一起,形成了一個巨大的攻擊視圖。 在數字化轉型競爭優勢的推動下,越來越多的工業企業正在將以前孤立的運營技術 (OT) 連接到企業IT網絡,同時還將新的物聯網和工業物聯網資產引入這些融合的OT/IT環境。這導致工業系統越來越容易受到新型網絡威脅的影響,對物理安全和環境產生嚴重影響。這些威脅的性質和規模意味著工業系統運營者無法獨立應對,對抗類似R4IoT方法的攻擊必須成為工業過程各個方面的優先事項。
Forescout Technologies的Vedere Labs展示了下一代勒索軟件如何利用物聯網設備進行初始訪問,利用部署加密礦工和數據泄露來攻擊IT設備,并利用不良的OT安全實踐對業務運營造成物理中斷(例如破壞PLC)。通過破壞IoT、IT和OT 資產,R4IoT方法超越了通常的加密和數據泄露,從而導致業務運營的物理中斷。
一旦域控制器處于黑客的控制之下,他們將能夠將其武器化以進行大規模的惡意軟件部署并建立他們的命令和控制(C&C)通道。基本上,在這個階段,組織資產、流程和網絡的布局就像一張自助餐桌,用于贖金或破壞。鑒于此類威脅可能造成的嚴重的破壞程度,R4IoT方法被描述為下一代勒索軟件。
此類威脅在OT環境中被進一步放大,由于OT中運行傳統設備,這些設備通常可能已經過時、停止系統更新服務、報廢和/或沒有足夠的安全補丁。此外,黑客可以利用運營設施內向數字化轉型的轉變,從而使工業控制系統 (ICS) 環境極易受到網絡威脅。
今年早些時候,工業網絡安全公司Dragos報告稱,隨著ICS/OT 系統的數字化轉型,漏洞和勒索軟件有所增加。此外,它分析2021年對于勒索軟件團伙及其附屬機構來說是關鍵的一年,勒索軟件成為工業領域入侵的頭號原因。
在ICS和OT網絡安全方面,構建安全的設計以彌補因在這些運營環境中添加工業物聯網設備而增加的網絡攻擊面是非常重要的。必須立即在整個組織中采用諸如零信任和嚴格采用對員工、供應商、運營商、集成商和各種第三方的特權遠程訪問等技術。
分析人士評估,雖然大多數行業的組織已經關注網絡安全一段時間,但其方法的成熟度并高。2021年,麥肯錫估計了多個行業領域100多家公司和機構的網絡安全成熟度水平,并了解到,雖然銀行和醫療保健領域的一些公司和機構取得了相當大的進步,但所有行業的大多數組織在保護他們的信息資產免受威脅和攻擊方面,仍然面臨較大的困難。
Industrial Cyber聯系了專家,討論了關鍵基礎設施部門必須采取的應對措施,以保護其業務環境并加強其網絡安全立場,以應對傳統勒索軟件的復雜性和范圍不可避免地增加,正如R4IoT方法所證明的那樣。
Xage Security聯合創始人兼產品副總裁Roman Arutyunov
Roman Arutyunov表示:“隨著勒索軟件即服務(RaaS)的興起,勒索軟件攻擊者變得越來越復雜,攻擊本身對運營和平民的破壞性也越來越大”。“由于R4IoT方法會危害IoT、IT和OT 資產,因此這些攻擊會導致業務運營的物理中斷——例如 Colonial Pipeline和JBS等備受矚目的案例。”
然而,Arutyunov表示,關鍵基礎設施領域仍有希望,而希望在于零信任安全戰略。“這種主動的、基于身份的安全架構——與傳統的基于邊界的檢測和響應模型(勒索軟件可以輕松突破)相比——確保任何初始攻擊向量通過非托管憑證和暴露的不安全協議對 IT 或物聯網資產進行攻擊受到限制和孤立,無法滲入運營并造成破壞,”他補充說。
Arutyunov說,換句話說,在零信任的情況下,惡意軟件無法從IT/IoT傳播到 OT,從而確保沒有攻擊者可以在訪問網絡的某個部分時利用任何網絡弱點。他補充說:“對于石油和天然氣、公用事業和能源等現代化速度較慢的行業的公司來說,零信任尤其重要。”
TXOne Networks首席執行官Terence Liu
Terence Liu告訴Industrial Cyber :“很難否認整個威脅領域正在迅速發展。” “在工作場所環境中采用新技術和設備只是經常引入更多攻擊面的一個因素——我們認為,在當前網絡威脅時代的關鍵問題是,使用最新的物聯網資產保護補丁在 OT環境中具有挑戰性。”
劉還表示,有一件事是肯定的——黑客當前使用的戰術、技術和程序 (TTP) 組合使得網絡安全成為任何資產所有者都難以維護的標準。
“現代化網絡攻擊的發展受兩個主要因素的推動——比特幣的普及,以及勒索軟件即服務 (RaaS)的擴散,”劉說。“由于這兩個觸發點,基于暗網RaaS行業的有組織犯罪現在推動了針對組織的網絡攻擊數量的快速發展。大額贖金支付是更復雜攻擊的驅動力,例如利用零日漏洞或協議和法規的垂直特定知識的攻擊。我們發現勒索軟件攻擊的范圍在穩步增加,不幸的是,這并沒有放緩的跡象,”他補充說。
鑒于關鍵基礎設施部門中存在遺留資產,通常在沒有適當保護的情況下運行,無論是在端點(檢查和鎖定)還是網絡(分段和虛擬補丁)級別,遺留資產就像瑞士奶酪——充滿明顯的漏洞,或者“已知漏洞”,攻擊者可以輕松查看和利用這些漏洞。
“應對這些復雜的攻擊需要多層保護,包括檢測和響應策略,以在不影響生產力的情況下降低風險并防止網絡事件,”劉補充道。
在確定適當的網絡分段和NIST網絡安全框架和零信任架構的利用是否可以防止關鍵基礎設施領域內的網絡安全事件(例如R4IoT方法)時,Arutyunov同意零信任架構和適當的網絡分段在以下方面非常有效防止勒索軟件攻擊。
“由于零信任將每臺機器、應用程序、用戶、數據流和其他資產的身份視為其自己的獨立‘邊界’,因此運營商可以訪問高度精細的訪問策略執行,即使黑客受到攻擊,也能確保繼續執行嚴格的安全驗證。最初成功地進入了 IT 資產,”Arutyunov說道。“NIST和美國聯邦政府(即拜登政府的2021年行政命令)已經證明了它的功效,”他補充說。
Arutyunov表示,與普遍看法相反,零信任可以快速、經濟高效且易于實施。他補充說:“關鍵基礎設施運營實施的大部分延遲不是由于技術本身的細節,而是基于錯誤信息的對采用新方法的懷疑。”
“老實說,目前擺在桌面上的任何解決方案或方法都不能保證100%防止網絡攻擊,”TXOne的Liu說。“相反,組織必須專注于降低風險并提高使用現實世界實踐的潛在攻擊者的難度級別。這也是為什么提供從端點到網絡的多層保護的產品都遵循零信任架構和NIST網絡安全框架的原因,無論它們是用于IT還是OT用例,”他補充道。
不僅如此,劉說,NIST網絡安全框架解決了一個組織可以在多長時間內檢測到違規或事件,以及如何減少影響、如何恢復以及對網絡安全事件的彈性的定義。
Liu指出,在OT環境中成功的網絡安全部署通常由三個要求定義——部署后不會影響運營,不會顯著增加管理網絡安全的人員數量,以及當攻擊者來襲時,部署將減少對業務的影響。“因此,通常在不同的OT環境中,我們建議我們的客戶從小規模部署開始,以確保前兩個元素在大規模部署之前發揮作用,”他補充道。
Arutyunov定義了關鍵基礎設施資產所有者和運營商能夠在多大程度上抵御日益復雜的對抗性攻擊和技術,例如 R4IoT方法,Arutyunov表示,通過主動、零信任的方法,關鍵基礎設施所有者和運營商可以充分防御自己抵御新的勒索軟件威脅,例如R4IoT。
“真正的零信任架構允許運營商從源頭上完全阻止黑客或隔離他們以防止他們破壞運營,”Arutyunov說。“即使黑客的策略迅速發展,基于身份的零信任方法也將適應新環境,同時考慮位置、重復訪問失敗和漏洞級別等參數以防止攻擊,”他補充說。
劉說,通過準備,關鍵基礎設施資產所有者和運營商可以抵御日益復雜的對抗性攻擊和技術。“需求和查詢通常由媒體中的重大事件推動——加強網絡防御和安全的時機沒有錯,但當事件發生時,要想在業務影響上占上風可能為時已晚,”他加了。
劉說, “我們認為防止災難性網絡事件向前邁出一大步的趨勢是,許多組織最近致力于大力推動更好的監管,尤其是在去年5月的殖民管道攻擊之后。” “我們還看到,對OT網絡安全的認識和需求正在增加,而且更多的預算實際上是由決策者或高層管理人員贊助的,他們已經明白網絡安全是任何組織的基礎風險控制。”
“從我們的角度來看,大多數資產所有者和運營商現在都在尋找可以在其垂直領域參考和采用的最佳實踐和成功案例,”劉說。“我們還與全球系統集成商 (GSI) 密切合作,貢獻知識以降低資產所有者的進入門檻,”劉總結道。
原文鏈接:
https://industrialcyber.co/zero-trust/as-ransomware-evolves-r4iot-approach-could-further-weaken-cybersecurity-posture-across-it-iot-ot-environments/
