OT 系統(tǒng)是勒索軟件的既定目標(biāo)，其中的關(guān)鍵設(shè)備也是如此。公共和私營(yíng)部門(mén)必須采取更全面的方法來(lái)保護(hù)這一層。

2021 年發(fā)生的大量引人注目的事件應(yīng)該可以消除惡意行為者使用勒索軟件以工業(yè)控制系統(tǒng) (ICS) 為目標(biāo)的任何懷疑。

對(duì)這些系統(tǒng)的攻擊起源于數(shù)據(jù)密集型企業(yè)/IT 級(jí)別以及運(yùn)營(yíng)核心的控制室。隨著全球沖突在 2022 年提高世界各國(guó)政府和行業(yè)的威脅水平，威脅可能已經(jīng)升高。

不幸的是，在 ICS 中提供足夠的安全控制方面，我們?nèi)栽谧汾s。現(xiàn)有最關(guān)鍵的差距在于設(shè)備級(jí)別：使我們的電網(wǎng)保持在線的執(zhí)行器、傳感器、安全設(shè)備和電子控制單元 (ECU)、快速和安全的電信網(wǎng)絡(luò)以及在安全狀態(tài)下運(yùn)行的制造工廠。

缺乏設(shè)備上的勒索軟件保護(hù)可能會(huì)導(dǎo)致單個(gè)設(shè)備受到威脅——或通過(guò)網(wǎng)絡(luò)橫向傳播導(dǎo)致多個(gè)設(shè)備鎖定。雖然我們尚未在現(xiàn)場(chǎng)看到此類(lèi)攻擊的可靠證據(jù)，但很明顯，活動(dòng)增加和揮之不去的安全漏洞使我們處于轉(zhuǎn)折點(diǎn)。嵌入式設(shè)備現(xiàn)在需要更多的勒索軟件保護(hù)。然而，將足夠的安全性提高到這個(gè)級(jí)別需要大量的時(shí)間和投資——遠(yuǎn)遠(yuǎn)超過(guò)開(kāi)發(fā)和部署在這個(gè)級(jí)別有效的勒索軟件所需的時(shí)間。

去年的行政命令等指令是在多次備受矚目的攻擊之后發(fā)布的，有助于提高對(duì) ICS 勒索軟件威脅的認(rèn)識(shí)。但我審查過(guò)的任何指令或安全標(biāo)準(zhǔn)都遠(yuǎn)遠(yuǎn)不夠。勒索軟件和 ICS、固件和嵌入式設(shè)備安全性經(jīng)常被討論。但到目前為止，政府和行業(yè)領(lǐng)導(dǎo)者尚未將這些部分整合成有效的指導(dǎo)或行動(dòng)計(jì)劃。

在攻擊者通過(guò)將勒索軟件降低到 ICS 技術(shù)并降低到設(shè)備級(jí)別來(lái)破壞基本系統(tǒng)之前，我們可能還有時(shí)間。在攻擊者為我們提出理由之前，這三個(gè)事實(shí)應(yīng)該提供改善保護(hù)的動(dòng)力：

事實(shí) 1：固件不安全是一個(gè)嚴(yán)重的問(wèn)題，尤其是對(duì)于嵌入式設(shè)備

在企業(yè)和控制室級(jí)別為設(shè)備和網(wǎng)絡(luò)帶來(lái)強(qiáng)大的安全控制已經(jīng)花費(fèi)了 20 年的大部分時(shí)間。我們還沒(méi)有將類(lèi)似的控制擴(kuò)展到直接在 ICS 物理過(guò)程中工作的嵌入式設(shè)備。

許多這些設(shè)備的固件是一個(gè)特別值得關(guān)注的問(wèn)題。固件由直接與設(shè)備硬件交互的程序和數(shù)據(jù)組成，對(duì)設(shè)備的功能至關(guān)重要，但通常缺乏強(qiáng)大的保護(hù)。

事實(shí) 2：嵌入式設(shè)備是合法的勒索軟件目標(biāo)

由于嵌入式設(shè)備通常包含有限的數(shù)據(jù)，因此勒索軟件攻擊似乎違反直覺(jué)。但有證據(jù)表明，攻擊者已將固件本身作為勒索軟件負(fù)載的目標(biāo)，并且還將固件用作將勒索軟件傳播到其他敏感系統(tǒng)的手段。

許多關(guān)鍵的 ICS 設(shè)備在公開(kāi)市場(chǎng)上出售，通常標(biāo)有四位數(shù)的價(jià)格標(biāo)簽。雖然需要高級(jí)技能來(lái)對(duì)它們進(jìn)行逆向工程以發(fā)現(xiàn)可利用的漏洞，但惡意行為者已經(jīng)證明他們有時(shí)間和資源來(lái)做到這一點(diǎn)，特別是當(dāng) ICS 勒索軟件攻擊的支出達(dá)到八位數(shù)時(shí)。

事實(shí) 3：已建立的保護(hù)措施不會(huì)阻止設(shè)備上的勒索軟件

大多數(shù)嵌入式設(shè)備都位于外圍防御和訪問(wèn)控制之后，這導(dǎo)致人們?cè)跒樗鼈兲峁┗谥鳈C(jī)的保護(hù)方面有些自滿。但這些設(shè)備的功能和與用戶交互的方式之間存在重要差異。

與對(duì)單個(gè) PC 的攻擊不同，勒索軟件不會(huì)在嵌入式設(shè)備上激活，因?yàn)橛腥它c(diǎn)擊了惡意鏈接或下載了勒索軟件有效負(fù)載。嵌入式設(shè)備入侵很可能是通過(guò)針對(duì)服務(wù)器和策略系統(tǒng)對(duì)企業(yè)采取大規(guī)模方法的攻擊的結(jié)果 - 這可以允許攻擊者直接向端點(diǎn)發(fā)送惡意命令而無(wú)需任何人工交互。

在最可能的情況下，這些命令將源自受感染的工程工作站或通過(guò)供應(yīng)商監(jiān)控/更新渠道，然后直接傳播，設(shè)備到設(shè)備，就像蠕蟲(chóng)在 90 年代和 2000 年代所做的那樣。

如果勒索軟件在授權(quán)的通信路徑和協(xié)議上傳播，防火墻、基于角色的訪問(wèn)控制和其他保護(hù)措施將無(wú)效。一旦設(shè)備遭到入侵，他們也無(wú)法阻止東/西勒索軟件的傳播，因?yàn)榇嘶顒?dòng)將發(fā)生在受保護(hù)的范圍內(nèi)。

為了提高安全標(biāo)準(zhǔn)，我們必須突出對(duì)嵌入式設(shè)備的勒索軟件威脅

我擔(dān)心一年后我們會(huì)處于同樣的境地，或者更糟的是，為了應(yīng)對(duì)勒索軟件攻擊，我們將爭(zhēng)先恐后地升級(jí)設(shè)備上的安全性，這些攻擊會(huì)劫持我們的關(guān)鍵基礎(chǔ)設(shè)施或使其嚴(yán)重受損。為了避免這種情況，我們需要采取以下步驟：

認(rèn)識(shí)到嵌入式設(shè)備面臨的更高威脅。在當(dāng)前的全球動(dòng)蕩中，威脅行為者被鼓勵(lì)在基本基礎(chǔ)設(shè)施中發(fā)現(xiàn)可利用的弱點(diǎn)。嵌入式設(shè)備通常是關(guān)鍵任務(wù)，因此是勒索軟件和其他網(wǎng)絡(luò)攻擊的合法目標(biāo)。

在固件工程和安全方面投入更多資金。盡管達(dá)到此級(jí)別的攻擊的潛在嚴(yán)重性，許多行業(yè)仍然不愿意對(duì)固件的安全化進(jìn)行深入投資。ICS 運(yùn)營(yíng)商必須為更高的安全性提出要求和預(yù)算，制造商必須為其產(chǎn)品帶來(lái)更多的原生保護(hù)。

確保供應(yīng)鏈?zhǔn)诸^有足夠的替換設(shè)備。在此級(jí)別的勒索軟件攻擊后，設(shè)備更換很容易成為恢復(fù)操作的唯一選擇。目前，如果許多設(shè)備在一次攻擊中失敗，供應(yīng)鏈不太可能產(chǎn)生足夠的替代品。

備份設(shè)備配置。并非所有勒索軟件攻擊都會(huì)導(dǎo)致設(shè)備完全丟失。最終用戶應(yīng)確保所有設(shè)備備份都是最新且可訪問(wèn)的。

審核編輯 黃昊宇