股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
OT和IT融合环境,如何应对勒索攻击?方舟让理(lǐ)想防护“罩”进现实
发布时间 :2022年10月31日
类型 :勒索软件
分(fēn)享:
工(gōng)业4.0时代,工(gōng)业环境加速数字化、智能(néng)化、网络化落地和转型,IT和OT的融合推动生产(chǎn)力的进步,带来巨大的发展价值。
你准备好了吗?在网络病毒蔓延和无规则攻击兴起的当下,IT和OT的融合,意味着网络攻击和入侵正由IT向OT延伸,这一“战”在所难免。
工(gōng)业安(ān)全 “头号”风险——勒索攻击
近年来,勒索软件攻击高速增長(cháng),危害國(guó)家安(ān)全,影响经济稳定和公(gōng)共安(ān)全。同时勒索软件的攻击行為(wèi)也在悄然发生转变,对象从最初面向个人消费者的安(ān)全威胁,向具(jù)有(yǒu)高度针对性、定向性、团伙化的APT威胁演变。而随着IT与OT融合的推进,勒索团伙已经开始致力于针对工(gōng)业领域实施攻击,入侵点正在由IT向OT和IoT延伸。
从亚信安(ān)全发布的《2022年第二季度网络安(ān)全报告》中(zhōng)可(kě)以看到,制造业仍然是勒索病毒攻击的主要目标,美國(guó)工(gōng)业巨头 Parker Hannifin 、美國(guó)农业机械制造商(shāng) AGCO、美國(guó)出版业巨头 Macmillan 和汽車(chē)软管制造商(shāng) Nichirin 均不同程度的遭遇了勒索病毒攻击,除了加密数据外,勒索团伙还窃取了大量数据,导致某些被害者数据遭到泄露。另外,通过对二季度勒索病毒攻击行业数据分(fēn)析也表明了,勒索病毒主要攻击行业為(wèi)制造业,并以80%的比例高居首位。
勒索攻击為(wèi)何瞄准工(gōng)业领域?
当前,以制造行业為(wèi)代表的工(gōng)业领域正在成為(wèi)勒索软件的“重灾區(qū)”。其原因有(yǒu)以下几点:
1 风险暴露面加大:控制系统在设计之初通常并未考虑到暴露在互联网上或与互联网存在间接连接,其安(ān)全性主要来自于物(wù)理(lǐ)隔离。但随着控制系统的封闭特性的逐渐打破,从而增加了攻击者的攻击面积,这也招致被勒索软件攻击的网络安(ān)全风险极速攀升。
2 漏洞多(duō)且覆盖广:在CICSVD收录的通用(yòng)型漏洞中(zhōng),工(gōng)业主机设备和软件类、工(gōng)业生产(chǎn)控制设备类和工(gōng)业网络通信设备类产(chǎn)品合计占比72.8%的产(chǎn)品大类。PLC、组态软件、工(gōng)业路由器、SCADA、工(gōng)业软件合计占比83%的产(chǎn)品小(xiǎo)类,漏洞基本涵盖國(guó)内外主流设备厂商(shāng)。
3 系统漏洞修补困难:OT 基础设施与传统 IT 网络截然不同, 虽然已经大力推动现代化,但控制系统运行“过时的操作(zuò)系统”的情况依然很(hěn)常见,有(yǒu)些甚至已经使用(yòng)了 20 年,并且由于 7*24 全天候运行的需求或更换成本过高而导致无法轻松升级,这对于许多(duō)高危漏洞而言,根本没有(yǒu)机会打补丁,甚至是“无补丁”可(kě)打。
图:工(gōng)业环境勒索软件攻击的6个步骤
4 入侵途径多(duō)元化:工(gōng)业环境勒索软件攻击可(kě)以分(fēn)為(wèi)“初始入侵、驻留(突破OT和IT边界)、工(gōng)业服務(wù)器渗透、命令控制、信息外泄、执行勒索”6个步骤。从已经发生在OT领域的勒索事件分(fēn)析,大部分(fēn)爆发的位置為(wèi)企业的办(bàn)公(gōng)系统或者生产(chǎn)管理(lǐ)系统利用(yòng)设备漏洞遠(yuǎn)程入侵、身份冒用(yòng)等绕过控制系统外部防火墙、通过供应链攻击,突破防線(xiàn)进入OT网络。
「方舟」防护全面覆盖IT和OT环境
亚信安(ān)全勒索威胁防护體(tǐ)系「方舟」,针对勒索威胁持续猛烈的攻势,為(wèi)全行业提供了有(yǒu)效抑制勒索团伙APT攻击的能(néng)力。尤其对于IT+OT不断融合的工(gōng)业安(ān)全环境,亚信安(ān)全「方舟」在技(jì )术上以“信桨”工(gōng)业安(ān)全纵深防护方案為(wèi)核心,形成了全面的工(gōng)业勒索治理(lǐ)方案,发挥自动化设备漏洞弥补、横向零信任隔离、工(gōng)业威胁溯源联动等特色,以终端、區(qū)域、边界三重防护重点对象,协助用(yòng)户形成IT+OT多(duō)层次纵深防御體(tǐ)系,有(yǒu)效遏制勒索病毒入侵风险。
对于勒索软件威胁的治理(lǐ),亚信安(ān)全认為(wèi),应注重弥补OT系统设计初期只注重功能(néng)安(ān)全而忽略网络安(ān)全引发的隐患,并且要IT和OT安(ān)全两手抓,建立纵深防御體(tǐ)系,多(duō)层次遏制勒索病毒入侵风险。同时,亚信安(ān)全还建议工(gōng)业用(yòng)户可(kě)参照以下工(gōng)业OT系统勒索软件治理(lǐ)的总體(tǐ)思路建设防御體(tǐ)系:
1 通过全流量检测技(jì )术摸清家底、资产(chǎn)识别与风险评定
以被动、静默方式接收OT网络流量,做到资产(chǎn)全感知、网络流量全感知、工(gōng)业威胁全覆盖、勒索威胁全探测。
2 通过单向隔离、逻辑隔离、零信任、OT全流量审计构建安(ān)全网络
构建符合ISA/IEC 62443与等保2.0基准的工(gōng)业实时数据传输链路的安(ān)全防护机制,禁用(yòng)通常被勒索软件用(yòng)于其传播的服務(wù);对破坏SCADA系统配置行為(wèi)定位告警、控制行為(wèi)深度审计。
3 通过自动化虚拟补丁技(jì )术,零信任技(jì )术,构建安(ān)全生产(chǎn)环境
根据实际用(yòng)户需求,通过零信任、虚拟补丁、专家确认等手段相结合,多(duō)维度防御勒索病毒蔓延。
4 全面加强安(ān)全管理(lǐ)建设
企业通过定期安(ān)全检查(如:工(gōng)控检查工(gōng)具(jù)箱)、备份策略、风险评估以及日常安(ān)全管理(lǐ)等工(gōng)作(zuò),完善企业内部网络安(ān)全制度,建立健全应急响应预案。
亚信安(ān)全「方舟」工(gōng)业勒索治理(lǐ)
针对工(gōng)业安(ān)全领域的“顽疾痛点”,亚信安(ān)全方舟提供了以“信桨”工(gōng)业安(ān)全纵深防护方案為(wèi)核心的工(gōng)业勒索治理(lǐ)方案,為(wèi)用(yòng)户提供了覆盖全流量威胁检测、工(gōng)业网络零信任防御、工(gōng)业虚拟化补丁、工(gōng)业等保合规性检查的“实践能(néng)力”,并通过完备的响应机制和预案,提供了“事前风险排查->事中(zhōng)应急响应->事后扫除威胁”的全流程服務(wù),协助用(yòng)户建立勒索应急响应机制和应对预案。
在事前风险排查方面,亚信安(ān)全方舟勒索體(tǐ)检中(zhōng)心提供了针对工(gōng)业企业相关OT场景和需求的定制化专项體(tǐ)检服務(wù)。
在事中(zhōng)应急处置方面,亚信安(ān)全方舟工(gōng)业勒索治理(lǐ)覆盖了勒索病毒攻击治理(lǐ)响应的全流程,能(néng)在不影响生产(chǎn)运行的前提下及时封堵。
在事后扫除威胁方面,亚信安(ān)全方舟工(gōng)业勒索治理(lǐ)提供了全链路智能(néng)行為(wèi)与内容变化追踪,对实时数据窃取及SCADA系统异常访问等恶意行為(wèi)进行智能(néng)安(ān)全分(fēn)析,高效识别各类已知与未知的攻击,同时利用(yòng)“信桨”工(gōng)业安(ān)全纵深防护解决方案强大的威胁检测与联动能(néng)力,定期、主动对自动化系统上潜藏的威胁进行隔离,扫清影响关键设备的“雷点”。
方舟工(gōng)业勒索治理(lǐ)通过五大步骤帮助用(yòng)户构建纵深防御體(tǐ)系:
第1步——风险安(ān)全评估
对工(gōng)业企业控制系统进行白盒或灰盒渗透测试,以明确当前安(ān)全状况以及对勒索软件威胁做出响应的能(néng)力,同时可(kě)在亚信安(ān)全工(gōng)控等保检查工(gōng)具(jù)箱的协助下,通过资产(chǎn)探测、漏洞扫描、流量检查、无線(xiàn)Wi-Fi检查、恶意代码检查、基線(xiàn)核查等功能(néng)為(wèi)企业输出更為(wèi)明确的勒索软件威胁治理(lǐ)措施报告。
第2步——自动化资产(chǎn)威胁检测与漏洞防御
通过工(gōng)业全流量系统的无扰资产(chǎn)测绘方式,对主流自动化厂家OT设备流量,以及IT领域(包括5G)的流量检测进行检测,為(wèi)进一步审计告警,提供溯源原始流量追踪。而后根据资产(chǎn)梳理(lǐ)结果,对SCADA系统中(zhōng)工(gōng)业主机采取系统加固,在核心控制单元、PLC或者上位机前部署自动化设备虚拟补丁修复漏洞,实时检测工(gōng)业网络威胁向量与威胁源。
第3步——零信任机制加持
通过自动化设备零信任微隔离网关,结合业務(wù)隐身、最小(xiǎo)化授权SCADA系统应用(yòng)、持续动态安(ān)全评估等技(jì )术,对发现的风险及时隔离,防止區(qū)域内东西向勒索病毒的攻击。
第4步——工(gōng)业威胁监测与防护处置联动
全面感知网络威胁,对可(kě)能(néng)被利用(yòng)的漏洞及时封堵,经过事前打虚拟补丁;事中(zhōng)通过工(gōng)业全流量旁路阻断能(néng)力及时切断威胁流量;事后自动化设备零信任隔离结合工(gōng)业全流量研判结果,及时隔离已感染设备。
第5步——建立完善的安(ān)全管理(lǐ)制度
根据用(yòng)户自动化系统特点应对关键生产(chǎn)数据、研发数据等各类关键数据做好分(fēn)类、备份与还原工(gōng)作(zuò),加强恢复的资产(chǎn)和整个组织的基础结构,以防止重复的勒索病毒感染和传播。
访问“勒索體(tǐ)检中(zhōng)心” 工(gōng)业安(ān)全诊断无忧
亚信安(ān)全 “方舟”工(gōng)业勒索治理(lǐ)方案有(yǒu)别于市面上由工(gōng)业协议深度解析、控制行為(wèi)审计、终端白名(míng)单构成缓解措施的惯有(yǒu)模式,建立了以工(gōng)业自动化系统漏洞弥补、工(gōng)业流量零信任防御、工(gōng)业全流量威胁检测与审计溯源的一體(tǐ)化平台,进而形成覆盖“事前、事中(zhōng)、事后”联动防御机制的全链条综合治理(lǐ)體(tǐ)系。
更多(duō)详情请访问“勒索體(tǐ)检中(zhōng)心”!您将通过高效的网络安(ān)全健康检查,快速评估出风险点,找出隐藏威胁,為(wèi)现代勒索治理(lǐ)能(néng)力进阶做好准备!
分(fēn)享到微信
X