水處理等關鍵基礎設施領域正成為勒索軟件重點攻擊的目標
近日,美國多家機構包括FBI、NSA、CISA和EPA聯合發布網絡安全咨詢報告,數據顯示,內部威脅和勒索軟件是當前企業組織面臨的主要威脅,而水處理等關鍵基礎設施領域正成為勒索軟件重點攻擊的目標。報告重點披露了三起由勒索軟件引起的美國水和廢水處理設施 (WWS) 攻擊事件,在所有攻擊中,勒索軟件都對受感染系統文件進行了加密,在其中一起安全事件中,攻擊者破壞了用于控制監控和數據采集(SCADA)工業設備的系統。
此外,該報告還披露了攻擊者用來破壞WWS設施的IT和OT網絡的常見策略、技術和程序(TTP)。主要包括:針對性的魚叉式釣魚活動,向人員投送惡意負載,如勒索軟件和RAT;利用在線公開的服務和應用程序,以實現對WWS網絡的遠程訪問(即RDP訪問);利用運行易受攻擊固件版本的控制系統的漏洞。
攻擊事件
網絡安全咨詢報告重點通報了今年以來,WWS遭遇的三次勒索軟件攻擊事件,分別發生在3月、7月和8月。
1、2021年8月,攻擊者對位于加利福尼亞WWS設施實施Ghost變體勒索軟件攻擊,該勒索軟件變種已在系統中存在大約一個月,并在三個SCADA服務器顯示勒索軟件消息時被發現;
2、2021年7月,網絡攻擊者使用遠程訪問將ZuCaNo勒索軟件部署到緬因州WWS設施處理廢水的SCADA計算機。此次攻擊導致處理系統切換到手動模式,直到使用本地控制和更頻繁的操作員巡查,才恢復SCADA計算機;
3、2021年3月,網絡攻擊者對位于內華達州的WWS設施使用了一種未知的勒索軟件變體。該勒索軟件影響了受害者的SCADA系統和備份系統。該SCADA系統提供可見性和監控,但不是完整的工業控制系統(ICS)。
緩解措施
報告建議WWS組織(包括美國和其他國家的DoD水處理組織),使用合適的緩解措施,以防止、檢測、并應對網絡威脅。
WWS監控
負責監控WWS的人員應檢查以下可疑活動和指標。
- 出現在SCADA系統控件和設施屏幕上不熟悉的數據窗口或系統警報,這可能表明存在勒索軟件攻擊;
- 通過SCADA系統控制或水處理人員檢測異常操作參數,例如異常高的化學添加率,該添加率用于安全和適當的飲用水處理;
- 未經授權的個人或團體訪問SCADA系統,例如,未被授權/指派操作SCADA系統和控制的前雇員和現任雇員;
- 在不尋常的時間訪問SCADA系統,這可能表明合法用戶的憑據已被盜用;
- 原因不明的SCADA系統重新啟動;
- 通常會波動的參數值停止變化。
這些活動和指標可能表明威脅行為者的活動。
遠程訪問緩解措施
資產所有者應評估與遠程訪問相關的風險,確保其處于可接受水平。
- 對所有遠程訪問OT網絡(包括來自IT網絡和外部網絡)的行為,進行多因素身份驗證;
- 利用黑名單和許可名單限制用戶的遠程訪問;
- 確保所有遠程訪問技術,都啟用了日志記錄并定期審核這些日志,以識別未經授權的訪問實例;
- 利用手動啟動和停止功能,代替始終激活的無人值守訪問,以減少遠程訪問服務運行的時間;
- 對遠程訪問服務使用系統審計;
- 關閉與遠程訪問服務相關的非必要網絡端口,例如RDP–傳輸控制協議TCP端口3389;
- 為主機配置訪問控制時,利用自定義設置來限制遠程方可以嘗試獲取的訪問權限。
網絡緩解措施
在IT和OT網絡之間實施強大的網絡分割,限制惡意網絡行為者在入侵IT網絡后轉向OT網絡。
- 實施非軍事區(DMZ)、防火墻、跳板機和單向通信二極管,以防止IT和OT網絡之間的不規范通信;
- 開發或更新網絡地圖,確保對連接到網絡的所有設備進行全面統計;
- 從網絡中移除不需要進行操作的設備,減少惡意行為者可以利用的攻擊面。
規劃和運營緩解措施
- 確保組織的應急響應計劃,全面考慮到網絡攻擊對運營可能造成的所有潛在影響;
- 該應急響應計劃,還應考慮對OT網絡訪問有合法需求的第三方,包括工程師和供應商;
- 每年審查、測試和更新應急響應計劃,確保其準確性。
- 提高對備用控制系統的操作能力,如手動操作,以及實施電子通信降級預案;
- 允許員工通過桌面練習獲得決策經驗,允許員工利用資源,如環境保護局(EPA)的網絡安全事件行動清單,以及勒索軟件響應清單,參考CISA-多狀態信息共享和分析中心(MS-ISAC)聯合勒索指南等,獲得相關經驗。
安全系統緩解措施
安裝獨立的網絡物理安全系統。如果控制系統被攻擊者破壞,這些系統可以在物理上防止危險情況的發生。
- 網絡物理安全系統控制,包括對化學品進料泵尺寸、閥門傳動裝置、壓力開關的控制等;
- 這些類型的控制適用于WWS部門設施,尤其是網絡安全能力有限的小型設施,它們可以使工作人員能夠在最壞的情況下,評估系統并確定解決方案;
- 啟用網絡物理安全系統,允許操作員采取物理措施限制損害,例如阻止攻擊者控制氫氧化鈉泵將pH值提高到危險水平。
額外的緩解措施
- 培養網絡就緒的安全文化;
- 更新包括操作系統、應用程序和固件等在內的軟件;使用基于風險的評估策略,來確定哪些OT網絡資產和區域應參與補丁管理計劃;考慮使用集中式補丁管理系統;
- 設置防病毒/反惡意軟件程序,使用最新簽名定期掃描IT網絡資產;使用基于風險的資產清單策略,來確定如何識別和評估OT網絡資產是否存在惡意軟件;
- 在IT和OT網絡上實施定期數據備份程序,如定期測試備份,確保備份未連接到網絡,防止勒索軟件傳播到備份;
- 在可能的情況下,啟用OT設備身份驗證,利用OT協議加密版本,對所有無線通信進行加密,確保傳輸過程中控制數據的機密性和真實性;
- 對帳戶進行管理,盡可能刪除、禁用或重命名任何默認系統帳戶;實施帳戶鎖定策略,降低暴力攻擊的風險;使用強大的特權帳戶管理策略和程序,監控第三方供應商創建的管理員級帳戶;在員工離開組織后或帳戶達到規定的使用時間后,停用和刪除帳戶;
- 實施數據預防控制,例如實行應用程序許可名單和軟件限制策略,防止從常見勒索軟件位置執行相關程序;
- 通過安全意識和模擬項目,訓練用戶識別和報告網絡釣魚等,識別并暫停出現異常活動的用戶訪問。
