勒索软件攻击仍然是关键基础设施部门和运营技术 (OT) 环境的噩梦。近日,一种称为物联网勒索软件或R4IoT方法的新攻击浮出水面。概念验证(PoC)揭示了网络犯罪分子日益复杂的行为,因为他们将 IT、物联网和OT环境串联在一起,形成了一个巨大的攻击视图。在数字化转型竞争优势的推动下,越来越多的工业企业正在将以前孤立的运营技术 (OT) 连接到企业IT网络,同时还将新的物联网和工业物联网资产引入这些融合的OT/IT环境。这导致工业系统越来越容易受到新型网络威胁的影响,对物理安全和环境产生严重影响。这些威胁的性质和规模意味着工业系统运营者无法独立应对,对抗类似R4IoT方法的攻击必须成为工业过程各个方面的优先事项。

Forescout Technologies的Vedere Labs展示了下一代勒索软件如何利用物联网设备进行初始访问,利用部署加密矿工和数据泄露来攻击IT设备,并利用不良的OT安全实践对业务运营造成物理中断(例如破坏PLC)。通过破坏IoT、IT和OT 资产,R4IoT方法超越了通常的加密和数据泄露,从而导致业务运营的物理中断。

一旦域控制器处于黑客的控制之下,他们将能够将其武器化以进行大规模的恶意软件部署并建立他们的命令和控制(C&C)通道。基本上,在这个阶段,组织资产、流程和网络的布局就像一张自助餐桌,用于赎金或破坏。鉴于此类威胁可能造成的严重的破坏程度,R4IoT方法被描述为下一代勒索软件。

此类威胁在OT环境中被进一步放大,由于OT中运行传统设备,这些设备通常可能已经过时、停止系统更新服务、报废和/或没有足够的安全补丁。此外,黑客可以利用运营设施内向数字化转型的转变,从而使工业控制系统 (ICS) 环境极易受到网络威胁。

今年早些时候,工业网络安全公司Dragos报告称,随着ICS/OT 系统的数字化转型,漏洞和勒索软件有所增加。此外,它分析2021年对于勒索软件团伙及其附属机构来说是关键的一年,勒索软件成为工业领域入侵的头号原因。

在ICS和OT网络安全方面,构建安全的设计以弥补因在这些运营环境中添加工业物联网设备而增加的网络攻击面是非常重要的。必须立即在整个组织中采用诸如零信任和严格采用对员工、供应商、运营商、集成商和各种第三方的特权远程访问等技术。

分析人士评估,虽然大多数行业的组织已经关注网络安全一段时间,但其方法的成熟度并高。2021年,麦肯锡估计了多个行业领域100多家公司和机构的网络安全成熟度水平,并了解到,虽然银行和医疗保健领域的一些公司和机构取得了相当大的进步,但所有行业的大多数组织在保护他们的信息资产免受威胁和攻击方面,仍然面临较大的困难。

Industrial Cyber联系了专家,讨论了关键基础设施部门必须采取的应对措施,以保护其业务环境并加强其网络安全立场,以应对传统勒索软件的复杂性和范围不可避免地增加,正如R4IoT方法所证明的那样。

Xage Security联合创始人兼产品副总裁Roman Arutyunov

Roman Arutyunov表示:“随着勒索软件即服务(RaaS)的兴起,勒索软件攻击者变得越来越复杂,攻击本身对运营和平民的破坏性也越来越大”。“由于R4IoT方法会危害IoT、IT和OT 资产,因此这些攻击会导致业务运营的物理中断——例如 Colonial Pipeline和JBS等备受瞩目的案例。”

然而,Arutyunov表示,关键基础设施领域仍有希望,而希望在于零信任安全战略。“这种主动的、基于身份的安全架构——与传统的基于边界的检测和响应模型(勒索软件可以轻松突破)相比——确保任何初始攻击向量通过非托管凭证和暴露的不安全协议对 IT 或物联网资产进行攻击受到限制和孤立,无法渗入运营并造成破坏,”他补充说。

Arutyunov说,换句话说,在零信任的情况下,恶意软件无法从IT/IoT传播到 OT,从而确保没有攻击者可以在访问网络的某个部分时利用任何网络弱点。他补充说:“对于石油和天然气、公用事业和能源等现代化速度较慢的行业的公司来说,零信任尤其重要。”

TXOne Networks首席执行官Terence Liu

Terence Liu告诉Industrial Cyber :“很难否认整个威胁领域正在迅速发展。” “在工作场所环境中采用新技术和设备只是经常引入更多攻击面的一个因素——我们认为,在当前网络威胁时代的关键问题是,使用最新的物联网资产保护补丁在 OT环境中具有挑战性。”

刘还表示,有一件事是肯定的——黑客当前使用的战术、技术和程序 (TTP) 组合使得网络安全成为任何资产所有者都难以维护的标准。

“现代化网络攻击的发展受两个主要因素的推动——比特币的普及,以及勒索软件即服务 (RaaS)的扩散,”刘说。“由于这两个触发点,基于暗网RaaS行业的有组织犯罪现在推动了针对组织的网络攻击数量的快速发展。大额赎金支付是更复杂攻击的驱动力,例如利用零日漏洞或协议和法规的垂直特定知识的攻击。我们发现勒索软件攻击的范围在稳步增加,不幸的是,这并没有放缓的迹象,”他补充说。

鉴于关键基础设施部门中存在遗留资产,通常在没有适当保护的情况下运行,无论是在端点(检查和锁定)还是网络(分段和虚拟补丁)级别,遗留资产就像瑞士奶酪——充满明显的漏洞,或者“已知漏洞”,攻击者可以轻松查看和利用这些漏洞。

“应对这些复杂的攻击需要多层保护,包括检测和响应策略,以在不影响生产力的情况下降低风险并防止网络事件,”刘补充道。

在确定适当的网络分段和NIST网络安全框架和零信任架构的利用是否可以防止关键基础设施领域内的网络安全事件(例如R4IoT方法)时,Arutyunov同意零信任架构和适当的网络分段在以下方面非常有效防止勒索软件攻击。

“由于零信任将每台机器、应用程序、用户、数据流和其他资产的身份视为其自己的独立‘边界’,因此运营商可以访问高度精细的访问策略执行,即使黑客受到攻击,也能确保继续执行严格的安全验证。最初成功地进入了 IT 资产,”Arutyunov说道。“NIST和美国联邦政府(即拜登政府的2021年行政命令)已经证明了它的功效,”他补充说。

Arutyunov表示,与普遍看法相反,零信任可以快速、经济高效且易于实施。他补充说:“关键基础设施运营实施的大部分延迟不是由于技术本身的细节,而是基于错误信息的对采用新方法的怀疑。”

“老实说,目前摆在桌面上的任何解决方案或方法都不能保证100%防止网络攻击,”TXOne的Liu说。“相反,组织必须专注于降低风险并提高使用现实世界实践的潜在攻击者的难度级别。这也是为什么提供从端点到网络的多层保护的产品都遵循零信任架构和NIST网络安全框架的原因,无论它们是用于IT还是OT用例,”他补充道。

不仅如此,刘说,NIST网络安全框架解决了一个组织可以在多长时间内检测到违规或事件,以及如何减少影响、如何恢复以及对网络安全事件的弹性的定义。

Liu指出,在OT环境中成功的网络安全部署通常由三个要求定义——部署后不会影响运营,不会显着增加管理网络安全的人员数量,以及当攻击者来袭时,部署将减少对业务的影响.。“因此,通常在不同的OT环境中,我们建议我们的客户从小规模部署开始,以确保前两个元素在大规模部署之前发挥作用,”他补充道。

Arutyunov定义了关键基础设施资产所有者和运营商能够在多大程度上抵御日益复杂的对抗性攻击和技术,例如 R4IoT方法,Arutyunov表示,通过主动、零信任的方法,关键基础设施所有者和运营商可以充分防御自己抵御新的勒索软件威胁,例如R4IoT。

“真正的零信任架构允许运营商从源头上完全阻止黑客或隔离他们以防止他们破坏运营,”Arutyunov说。“即使黑客的策略迅速发展,基于身份的零信任方法也将适应新环境,同时考虑位置、重复访问失败和漏洞级别等参数以防止攻击,”他补充说。

刘说,通过准备,关键基础设施资产所有者和运营商可以抵御日益复杂的对抗性攻击和技术。“需求和查询通常由媒体中的重大事件推动——加强网络防御和安全的时机没有错,但当事件发生时,要想在业务影响上占上风可能为时已晚,”他加了。

刘说, “我们认为防止灾难性网络事件向前迈出一大步的趋势是,许多组织最近致力于大力推动更好的监管,尤其是在去年5月的殖民管道攻击之后。” “我们还看到,对OT网络安全的认识和需求正在增加,而且更多的预算实际上是由决策者或高层管理人员赞助的,他们已经明白网络安全是任何组织的基础风险控制。”

“从我们的角度来看,大多数资产所有者和运营商现在都在寻找可以在其垂直领域参考和采用的最佳实践和成功案例,”刘说。“我们还与全球系统集成商 (GSI) 密切合作,贡献知识以降低资产所有者的进入门槛,”刘总结道。

原文链接

https://industrialcyber.co/zero-trust/as-ransomware-evolves-r4iot-approach-could-further-weaken-cybersecurity-posture-across-it-iot-ot-environments/

声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。