來自美國網路安全暨基礎設施安全局和國家安全局(CISA/NSA)的安全建議概述了保護營運科技和工業控制系統的步驟。
文/Michael Hill‧譯/酷魯
美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency,CISA)和(National Security Agency,NSA)發佈了一份網路安全公告(Cybersecurity Advisory,CSA),以保護營運科技(Operational Technology,OT)和工業控制系統(Industrial Control Systems,ICS)。CSA 概述了惡意攻擊者用來劫持 OT/ICS 資產的戰術、技術和程序(Tactics, Techniques and Procedures,TTPs),並建議業主和營運商應該採取的安全緩解措施來保護系統。此安全公告建立在之前 NSA/CISA 關於阻止惡意 ICS 活動和減少 OT 曝險之指南的基礎上,同時由於圍繞 OT 和 ICS 的網路安全風險繼續威脅資料和關鍵系統的安全,因而發佈了這個公告。
保護 OT/ICS 資產是組織面臨的重大挑戰
CISA/NSA 在安全警報(AA22-265A)中指出,當 OT/ICS 資產操作、控制和監控整個美國關鍵基礎設施的工業程序時,傳統資產由於其最大可用性和安全性的先天設計而難以受到保護。他們使用的是幾十年前的舊系統,往往也缺乏最新的安全更新。
「儘管較新的 ICS 資產可以配置得更安全,但由於整合了網際網路或 IT 網路連接,以便利遠端控制和操作,往往因而增加了攻擊面。IT 和 OT 平台融合的實際效應,莫過於增加了網路入侵控制系統的風險,」CISA/NSA 寫道。
這導致了針對 OT/ICS 系統的惡意網路活動的增加,從國家級進階持續性威脅(APT)攻擊者到獨立駭客,都以 OT/ICS 資產為目標,以獲得政治利益、經濟優勢和潛在顛覆性影響。「最近,APT 攻擊者還開發了專門掃描、入侵和控制目標 OT 設備的工具,」該公告補充道。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
雲端安全公司 Barracuda 委託製作的一份報告發現,過去一年針對工業物聯網(Industrial IoT,IIoT)/OT 系統的重大攻擊有所增加,而保護這些系統的安全措施仍然居於落後。報告發現,在接受調查的 800 名資深 IT 和安全主管中,有 93%的人承認,他們的組織在 IIoT/OT 安全專案中失敗了,並往往將失敗原因歸咎於技能和工具的不足。
全球性風險與合規解決方案公司 Exiger 資深副總裁、CISA 前副總監 Bob Kolasky 告訴我們,由於這些資產無所不在,再加上對 ICS/OT 工業控制的依賴並不總是被充份理解,這自然成為了一個巨大的安全挑戰。「也許一個更大的挑戰是 OT 的使用生命週期,這使得確保有效的安全實踐到位並獲得維護,對於那些在設計時沒有考慮安全的產品來說是困難的,這些產品可能已經使用了幾十年。改進安全並在和未來的購買週期中優先考慮安全應該是首要任務,但這樣做需要共同努力和投資。」
入侵關鍵基礎設施控制系統的5個步驟
CISA/NSA 指出,惡意攻擊者通常採取「5 步法」來進行入侵關鍵基礎設施控制系統的策劃和執行:
1. 建立預期效果並選擇攻擊目標:
例如,網路犯罪份子出於經濟動機,以 OT/ICS 資產為目標以獲取經濟利益,而國家贊助的 APT 攻擊者則以關鍵基礎設施為攻擊標的,以實現政治性或軍事性目標,例如破壞政治或經濟格局的穩定,或對人口造成心理面或社會面的影響。網路攻擊者根據這些目的選定目標和預期效果,包括中斷、癱瘓、阻截、欺騙或摧毀。
2. 收集有關目標系統的情報:
一旦意圖和目標確定,攻擊者就收集有關目標控制系統的情報。攻擊者可能從多個來源收集資料,包括開放原始碼研究、內部威脅和企業網路。除了 OT 特定情報之外,有關控制系統中所使用 IT 技術的資訊也廣泛可用。
3. 開發操控系統的技術和工具:
利用收集到有關控制系統設計的情報,網路攻擊者可以獲取與目標相似的系統,並將其配置為用於攻擊演練目的之模型版本。存取目標系統的模型使攻擊者能夠確定最有效的工具和技術。攻擊者還可能根據他們對控制系統的瞭解,開發以工控系統為焦點的客製化惡意軟體。例如,透過修改記憶體內韌體來添增額外的程式設計,TRITON 惡意軟體專門設計用來針對某些版本的 Triconex Tricon 可程式化邏輯控制器(PLC)。APT 攻擊者還開發了掃描、入侵和控制某些施耐德電機(Schneider Electric)PLC、歐姆龍(OMRON)Sysmac NEX PLC 和開放平台通訊統一架構(Open Platform Communications Unified Architecture,OPC UA)伺服器的工具。在採取到位的戰術、技術和程序後,網路攻擊者幾乎可以做任何一般系統操作人員可以做的事情,甚至可能做得更多。
4. 獲得對系統的初始存取權限:
為了利用他們開發和實作的技術和工具,網路攻擊者必須首先獲得對目標系統的存取權限。遠端存取的安全實踐不佳,使得網路攻擊者可以利用這些存取點作為媒介,以便在操作人員意識到問題之前秘密獲取存取權限、竊取資料並發動其他惡意活動。惡意攻擊者可以使用 web 式搜尋平台(如 Shodan)來識別這些暴露的存取點。這種對表面上封閉之控制系統的存取,可以用來挖掘網路和元件的安全漏洞。
5. 執行技術和工具以實現預期效果:
一旦攻擊者獲得了對目標 OT/ICS 系統的初始存取權,他們接著將執行技術、工具和惡意軟體,以便在目標系統達成預期的效果。為了中斷、癱瘓、阻截、欺騙或摧毀系統,惡意攻擊者通常以任意順序或組合執行以下活動:
- (1)降低操作人員監控目標系統的能力,或降低操作人員對控制系統操作、控制和監控目標系統之能力的信心。
- (2)操作目標控制系統,包括修改系統內部類比和數位值或改變輸出控制點的能力。
- (3)透過降低或中斷與外部通訊電路、遠端終端機裝置(Remote Terminal Unit,RTU)或可程式化邏輯控制器、連接的業務或公司網路、HMI 子網、其他遠端 I/O 和任何連接的歷史資料/大量資料儲存的通信,從而削弱系統通報資料的能力。
- (4)阻止作業人員控制目標系統,包括停止、中斷或破壞系統作業系統或資料採集與監控系統(Supervisory Control And Data Acquisition,SCADA)的軟體功能。
- (5)允許對控制系統進行遠端或本地偵察。
該公告聲明:「利用特定的專業知識和網路知識,像是國家級攻擊者在內的惡意攻擊者可以協調地執行這些步驟,有時同時並重複執行,正如真實世界中網路活動所示的那樣。」
緩解 ICS/OT 系統的網路安全威脅
該公告聲明,系統所有者和操作人員無法阻止惡意攻擊者鎖定其系統,但透過假設系統已被鎖定成為攻擊目標,並預測惡意攻擊者打算造成的影響,他們可以採取並優先考慮緩解的應對措施。系統所有者/操作人員可以應用幾個 ICS 安全最佳實踐來對抗對手的戰術、技術和程序。
首先是限制系統資訊的曝光,特別關注在任何公共論壇上是否有關於系統硬體、韌體和軟體的資訊,並將資訊保護教育納入人員培訓之中。該公告聲中有提到,回答以下問題並記錄下來:
- 資料從哪裡流向哪裡?
- 通訊路徑要如何記錄,資料又該如何受到保護/加密?
- 當資料到達目的地時,如何加以使用和保護?
- 資料目的地(無論是供應商/監管機構還是管理員/金融機構)的網路安全標準是什麼?
- 資料能在到達目的地後進一步共用嗎?誰有權分享這些資料?」
該公告補充道,請消除所有其他資料目的地,只共享符合適用法律要求的資料,在沒有嚴格管理政策的情況下,不允許對資料進行其他用途以及對系統的其他存取,確保在與外部系統/供應商共用、存取和使用資料時達成協議,制定強有力的資料銷毀政策,並稽核政策/程式以驗證合規性,並確保資料在到達目的地後得到安全保護。
所有人/操作人員還應詳細瞭解所有已安裝的系統,包括控制系統網路中有哪些遠端存取點正在(或可能)運行。CSA 表示,創建一個完整的「連接清單」是確保系統之存取能夠安全無虞的關鍵步驟。一旦確認了所有遠端存取點,以下是 CISA/NSA 建議的一些最佳實踐,以便能提升這些存取點的安全狀況:
- 透過對暴露在網際網路上資產的主動限制和強化來減少攻擊面。
- 在控制系統和供應商的存取點和裝置之間建立防火牆和隔離區(Demilitarized Zone,DMZ)。
- 嚴格遵守遠端存取的政策和程序。
- 使用跳板機(jump box)隔離和監控系統存取。
- 變更整個系統的所有預設密碼,並使用硬編碼密碼(hard-coded password)更新任何產品。
- 盡可能修補已知被利用漏洞。
- 持續監控遠端存取日誌以查找可疑的存取行為。
限制除了合法使用者之外任何對網路和控制系統應用程式工具/腳本的存取權限,以及對系統進行獨立的安全稽核並實施「動態網路環境」,是該公告中涉及的另一個重要領域。
Kolasky 說,在持續強調身為構建網路彈性核心要素之工控系統和 OT 的重要性上,CISA 和 NSA 做出了不小的貢獻。「對於經常營運高度工業化系統並依賴數位化管理這些系統的關鍵基礎設施供應商來說,這種風險尤其嚴重,」他補充說。「正因為如此,工控系統遭到入侵可能引發嚴重的影響,並可能對關鍵基礎設施帶來廣泛的衝擊。」這份指南很有用,因為它鼓勵網路安全專業人員像攻擊者一樣思考,並設計出最有用的安全防禦流程,以應對攻擊者常用的攻擊策略,Kolasky 繼續說。「該指南還鼓勵網安專業人員更努力地繪製和瞭解他們系統中最具風險之所在,並專注地在這些領域建立應對攻擊的彈性。將該指南作為檢查現有安全計畫的準則,應該對關鍵基礎設施的操作人員有所幫助。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)
