CISA等機構聯合發布網絡安全咨詢報告，水處理設施成勒索軟件重點攻擊目標 - 網安

近日，美國多家機構包括FBI、NSA、CISA和EPA聯合發布網絡安全咨詢報告，數據顯示，內部威脅和勒索軟件是當前企業組織面臨的主要威脅，而水處理等關鍵基礎設施領域正成為勒索軟件重點攻擊的目標。報告重點披露了三起由勒索軟件引起的美國水和廢水處理設施 (WWS) 攻擊事件，在所有攻擊中，勒索軟件都對受感染系統文件進行了加密，在其中一起安全事件中，攻擊者破壞了用于控制監控和數據采集（SCADA）工業設備的系統。

此外，該報告還披露了攻擊者用來破壞WWS設施的IT和OT網絡的常見策略、技術和程序 (TTP)。主要包括：針對性的魚叉式釣魚活動，向人員投送惡意負載，如勒索軟件和RAT；利用在線公開的服務和應用程序，以實現對WWS網絡的遠程訪問（即RDP訪問）；利用運行易受攻擊固件版本的控制系統的漏洞。

攻擊事件

網絡安全咨詢報告重點通報了今年以來，WWS遭遇的三次勒索軟件攻擊事件，分別發生在3月、7月和8月。

1、2021年8月，攻擊者對位于加利福尼亞WWS設施實施Ghost變體勒索軟件攻擊，該勒索軟件變種已在系統中存在大約一個月，并在三個SCADA服務器顯示勒索軟件消息時被發現；

2、2021年7月，網絡攻擊者使用遠程訪問將ZuCaNo勒索軟件部署到緬因州WWS設施處理廢水的SCADA計算機。此次攻擊導致處理系統切換到手動模式，直到使用本地控制和更頻繁的操作員巡查，才恢復SCADA計算機；

3、2021年3月，網絡攻擊者對位于內華達州的WWS設施使用了一種未知的勒索軟件變體。該勒索軟件影響了受害者的SCADA系統和備份系統。該SCADA系統提供可見性和監控，但不是完整的工業控制系統(ICS)。

緩解措施

報告建議WWS組織（包括美國和其他國家的DoD水處理組織），使用合適的緩解措施，以防止、檢測、并應對網絡威脅。

WWS監控

負責監控WWS的人員應檢查以下可疑活動和指標。

出現在SCADA系統控件和設施屏幕上不熟悉的數據窗口或系統警報，這可能表明存在勒索軟件攻擊；
通過SCADA系統控制或水處理人員檢測異常操作參數，例如異常高的化學添加率，該添加率用于安全和適當的飲用水處理；
未經授權的個人或團體訪問SCADA系統，例如，未被授權/指派操作SCADA系統和控制的前雇員和現任雇員；
在不尋常的時間訪問SCADA系統，這可能表明合法用戶的憑據已被盜用；
原因不明的SCADA系統重新啟動；

通常會波動的參數值停止變化。

這些活動和指標可能表明威脅行為者的活動。

遠程訪問緩解措施

資產所有者應評估與遠程訪問相關的風險，確保其處于可接受水平。

對所有遠程訪問OT網絡（包括來自IT網絡和外部網絡）的行為，進行多因素身份驗證；
利用黑名單和許可名單限制用戶的遠程訪問；
確保所有遠程訪問技術，都啟用了日志記錄并定期審核這些日志，以識別未經授權的訪問實例；
利用手動啟動和停止功能，代替始終激活的無人值守訪問，以減少遠程訪問服務運行的時間；
對遠程訪問服務使用系統審計；
關閉與遠程訪問服務相關的非必要網絡端口，例如RDP–傳輸控制協議TCP端口3389；
為主機配置訪問控制時，利用自定義設置來限制遠程方可以嘗試獲取的訪問權限。

網絡緩解措施

在IT和OT網絡之間實施強大的網絡分割，限制惡意網絡行為者在入侵IT網絡后轉向OT網絡。

實施非軍事區（DMZ）、防火墻、跳板機和單向通信二極管，以防止IT和OT網絡之間的不規范通信；
開發或更新網絡地圖，確保對連接到網絡的所有設備進行全面統計；
從網絡中移除不需要進行操作的設備，減少惡意行為者可以利用的攻擊面。

規劃和運營緩解措施

確保組織的應急響應計劃，全面考慮到網絡攻擊對運營可能造成的所有潛在影響；
該應急響應計劃，還應考慮對OT網絡訪問有合法需求的第三方，包括工程師和供應商；
每年審查、測試和更新應急響應計劃，確保其準確性。
提高對備用控制系統的操作能力，如手動操作，以及實施電子通信降級預案；
允許員工通過桌面練習獲得決策經驗，允許員工利用資源，如環境保護局（EPA）的網絡安全事件行動清單，以及勒索軟件響應清單，參考CISA-多狀態信息共享和分析中心（MS-ISAC）聯合勒索指南等，獲得相關經驗。

安全系統緩解措施

安裝獨立的網絡物理安全系統。如果控制系統被攻擊者破壞，這些系統可以在物理上防止危險情況的發生。

網絡物理安全系統控制，包括對化學品進料泵尺寸、閥門傳動裝置、壓力開關的控制等；
這些類型的控制適用于WWS部門設施，尤其是網絡安全能力有限的小型設施，它們可以使工作人員能夠在最壞的情況下，評估系統并確定解決方案；
啟用網絡物理安全系統，允許操作員采取物理措施限制損害，例如阻止攻擊者控制氫氧化鈉泵將pH值提高到危險水平。

額外的緩解措施

培養網絡就緒的安全文化；
更新包括操作系統、應用程序和固件等在內的軟件；使用基于風險的評估策略，來確定哪些OT網絡資產和區域應參與補丁管理計劃；考慮使用集中式補丁管理系統；
設置防病毒/反惡意軟件程序，使用最新簽名定期掃描IT網絡資產；使用基于風險的資產清單策略，來確定如何識別和評估OT網絡資產是否存在惡意軟件；
在IT和OT網絡上實施定期數據備份程序，如定期測試備份，確保備份未連接到網絡，防止勒索軟件傳播到備份；
在可能的情況下，啟用OT設備身份驗證，利用OT協議加密版本，對所有無線通信進行加密，確保傳輸過程中控制數據的機密性和真實性；
對帳戶進行管理，盡可能刪除、禁用或重命名任何默認系統帳戶；實施帳戶鎖定策略，降低暴力攻擊的風險；使用強大的特權帳戶管理策略和程序，監控第三方供應商創建的管理員級帳戶；在員工離開組織后或帳戶達到規定的使用時間后，停用和刪除帳戶；
實施數據預防控制，例如實行應用程序許可名單和軟件限制策略，防止從常見勒索軟件位置執行相關程序；
通過安全意識和模擬項目，訓練用戶識別和報告網絡釣魚等，識別并暫停出現異常活動的用戶訪問。