我的位置 威胁预警  >  漏洞公告

美NSA和CISA发布工业控制系统网络安全咨询-网络威胁行为者如何危害OT/ICS?如何防御?

来源:网空闲话 时间:2022-09-23 阅读次数:
美国国家安全局 (NSA) 和网络安全和基础设施安全局 (CISA)当地时间9月22日发布了一份网络安全咨询(CSA),重点介绍了恶意行为者通常采取的攻击破坏操作技术 (OT)/工业控制系统 (ICS) 的步骤) 资产并提供有关如何防御它们的建议。这份题为《控制系统防御:了解对手》(Control System Defense: Know the Opponent)的咨询建议指出对运营、控制和监控日常关键基础设施和工业流程的OT和ICS资产的威胁越来越大。OT/ICS设计是公开可用的,还有大量用于利用IT和OT系统的工具。 
该咨询建议称,操作技术/工业控制系统(OT/ICS)资产操作、控制和监控日常关键基础设施和工业过程,继续成为恶意网络行为者的一个有吸引力的目标。这些网络威胁行为者,包括先进的持续威胁(APT)组织,以OT/ICS资产为目标,以实现政治收益、经济优势或破坏性影响。由于OT/ICS系统管理物理操作流程,网络威胁行为者的操作可能导致物理后果,包括生命损失、财产损失和国家关键功能的中断。OT/ICS设备和设计是公开的,通常包含易受攻击的信息技术(IT)组件,并包括增加攻击面的外部连接和远程访问。此外,大量的工具可以很容易地利用IT和OT系统。由于这些因素,恶意网络行为者给ICS网络带来了越来越大的风险。保护OT/ICS的传统方法不能充分解决当前对这些系统的威胁。然而,了解网络参与者的战术、技术和程序(TTPs)的所有者和运营商可以在优先加强OT/ICS措施时使用这些知识。
NSA指出,近年来,包括高级持续性威胁 (APT) 团体在内的网络参与者已经将 OT/ICS系统作为目标,以实现政治收益、经济优势,并可能执行破坏性影响。最近,他们开发了用于扫描、攻击和控制目标OT设备的工具。国家支持的APT行为者针对政治和/或军事目标的关键基础设施,例如破坏政治或经济格局或对人口造成心理或社会影响。”根据这些目标选择目标和预期效果——如破坏、禁用、拒绝、欺骗和/或破坏。
CSA建议指出,网络威胁行为者通常遵循以下步骤来计划和执行针对关键基础设施控制系统的攻击:
1. 建立预期效果并选择目标。
2. 收集关于目标系统的情报。
3.开发利用和操纵系统的技术和工具。
4. 获得对系统的初始访问权限。
5. 执行技术和工具来制造预期的效果。
利用特定的专业知识和网络知识,恶意行为者——尤其是国家支持的行为者——可以以协调的方式执行这些步骤,有时可以同时和重复,正如现实世界的网络活动所说明的那样。
 NSA控制系统防御专家 Michael Dransfield 说:“这些系统的所有者和运营商需要充分了解来自国家支持的参与者和网络犯罪分子的威胁,以最好地防御它们。” “我们正在公开恶意行为者的剧本,以便我们可以强化我们的系统并阻止他们的下一次尝试。”
 该联合网络安全咨询建立在先前的NSA和CISA指导之上,以阻止恶意ICS活动并减少OT暴露。注意到保护OT/ICS的传统方法并不能充分解决对这些系统的威胁,NSA和 CISA会检查网络威胁行为者采用的策略、技术和程序,以便所有者和运营商可以优先考虑加强OT/ICS的措施和行动。
 防御者应使用本公告中列出的缓解措施来限制未经授权的访问,锁定工具和数据流,并阻止恶意行为者实现其预期效果。NSA和CISA鼓励OT/ICS所有者和运营商应用本CSA中的建议。
CSA中给出的缓解措施指出,平衡网络安全与性能、特性、易用性和可用性之间的复杂性对所有者/运营商来说是难以承受的。当系统工具和脚本实现易用性并增加控制网络的可用性或功能时,或者当设备供应商需要远程访问以满足保证合规性、服务义务和财务/计费功能时,尤其如此。然而,随着恶意行为者对OT/ICS的攻击增加,业主/运营商在做出这些平衡决策时应该更多地认识到风险。所有者/运营商应该仔细考虑他们系统的哪些信息需要公开,并确定是否真正需要每个外部连接。
系统所有者和操作人员无法阻止恶意行为者攻击他们的系统。理解目标不是一个“如果”,而是一个“什么时候”是ICS安全决策的基本背景。假设系统正被攻击,并预测恶意行为者可能会造成的影响,所有者/运营商就可以确定优先级并采取缓解措施。
然而,各种可用的安全解决方案也可能令人生畏,导致选择困难。在如此多的选择中,所有者/运营商可能无法结合简单的安全和管理策略,以减轻许多常见的和现实的威胁。幸运的是,所有者/运营商可以应用一些简单的ICS安全最佳实践来对抗对手TTP。
可行的安全建议具体有:限制系统信息的暴露;识别和保护远程接入点;限制工具和脚本;定期进行安全审核;实现动态网络环境。
总之,集成的、简化的工具和远程访问的结合为目标控制系统网络创建了一个成熟的规范的环境。新的IT接入为网络威胁行为者提供了更大的攻击面进入网络物理环境。对于OT/ICS的防御者来说,预测网络威胁行为者结合IT专业知识和工程知识的TTPs至关重要。防御者可以使用本建议中列出的缓解措施来限制未经授权的访问,锁定工具和数据流,并阻止恶意行为者达到他们想要的效果。
参考资源:
1.https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3167259/nsa-cisa-how-cyber-actors-compromise-otics-and-how-to-defend-against-it/
2.https://www.darkreading.com/attacks-breaches/feds-sound-alarm-rising-ot-ics-threats
 
 

原文来源:网空闲话

“投稿联系方式:010-82992251   sunzhonghao@cert.org.cn”

8条评论