我的位置 态势感知  >  漏洞态势

俄乌混合战争引爆全球“关基”网络安全危机-“关基”网安老生常谈20条你做到了几条?

来源:网空闲话 时间:2022-03-02 阅读次数:

关键信息基础设施领域的首要工作之一,就是物联网、ICS 和OT的安全,功能安全,信息安全和物理安全。这不仅仅是“关基”运营者的责任,还需要监管机构和网络安全企业的共同努力。俄乌冲突进入第7天,关基安全警报此起彼伏。美欧等国目前已处于高度戒备状态,此前4个不同机构针对3个不同国家/地区发布了联合咨询公告,针对勒索软件攻击不断上升的警告,以及CISA于2022年2月14日发出的最新警报,警告所有企业——中小企业和企业要保持警惕。而另一面,则是随着俄军事行动的推进,选边支持乌克兰的黑客组织释放大量真真假假的网络攻陷的消息。俄证券交易所中断下线、俄塔斯社受攻、俄和白俄大量政府网站下线,某油气的控制系统被攻陷,甚至支持俄方的Conti勒索组织也遭反黑等等。加之战局之外的勒索、APT趁火打劫,丰田汽车日本工厂停工,Axis遭勒索,英伟达遭黑,等等。这些事态发展进一步加剧了人们对网络战以及对“关基”网络安全的担忧。

2月26日,在俄罗斯总统正式宣布他对乌克兰的特别军事行动两天后,美国司法部DOJ 和网络安全与基础设施安全局 (CISA) 联合发布了关于两种破坏性恶意软件WhisperGate和HermeticWiper的网络安全建议,这两种恶意擦除器目前正被用于针对乌克兰和欧洲组织的攻击。而3月1日的消息称,第三种(可能)擦除器恶意软件IsaacWiper也由ESET公司发现。

长期以来,北美、中东和亚太地区的国家一直面临着持续的网络攻击,鉴于乌克兰危机和地缘政治紧张局势不断升级,网络攻击的数量继续显著增加。考虑到某些国家在俄罗斯-乌克兰危机中的额外参与,基于关键基础设施中的一些暴露的关键攻击面,这些很容易成为目标。具体手段包括:利用现有漏洞,隐蔽侦察攻击,僵尸网络的持续攻击,关键基础设施领域的复杂 APT,勒索软件对企业的攻击,等等。

俄乌危机中“关基”网络攻击会继续上升?

这是一个显而易见的问题。自冷战结束以来,一场与宿敌的旷日持久的战斗仍在继续,但这次它是在线的,一场混合战术网络战,在西方国家看来,俄罗斯已被证明拥有过去攻击所必需的技能组合的额外优势。

在过去和数字时代,俄罗斯广泛利用网络战的战术方法来增加额外压力。中断或永久性损坏可能是通过勒索软件的神秘锁,通过禁用 SIS 系统对健康和安全造成损害,甚至是能源部门和电信的关键基础设施运营中的完整系统覆盖和关闭。过去的此类尝试已被证明在影响和加速一个国家政府、军队甚至普通民众的决策方面是有效的,这符合俄罗斯的风格。

由于大多数人不想承认安全故障或缺乏安全措施,因此此类事件不会引起关注。无论工业企业的规模或隶属关系如何,攻击都会肆无忌惮地进行攻击,全球所有组织都必须意识到迫在眉睫的威胁并立即采取行动保护自己。 

3月1日,有报道称俄罗斯国家行为者可能对乌克兰的卫星和宽带互联网进行了更公开的攻击。

有支持乌克兰的黑客组织#Kelvinsecurity攻击了#nuclear 反应堆。作为行动的一部分,获得了对安全摄像头的访问权限。涉及互核设施了,这不是一个好消息。但之前的报道称,俄乌两国军方合作接管了切尔诺贝利核电站。

 

另外搅局的网络黑客组织还在持续地加入到反俄或反乌的阵营,目前这支力量已达33支。简单统计显示,支持乌克兰的黑客组织占据大多数,达到24个,而支持俄罗斯的黑客组织为9个。他们还在不停地释放一些所谓的战果,包括俄罗斯航天局也在列。

网安企业展开支援行动

最新报道称,美国网络安全公司正在免费提供产品和服务,以帮助国内外的网络防御者。截至28日,GitHub上的众包名单列出了十余位可提供安全援助的专家、非营利组织和公司。

大型科技公司也已采取措施提高个人用户和企业的安全性。该公司25日在推特上说,谷歌欧洲自动为该地区的账户启用了增强的账户安全保护,并将安全浏览设为默认设置。这些保护措施包括将SafeBrowsing(一种阻止有害文件并扫描网络钓鱼和恶意软件的Chrome功能)设为用户的默认设置。此外,根据推文,乌克兰的“一些网站”选择了谷歌的免费、无限制的 DDoS 保护。Facebook、Twitter和微软也发表声明,将增加资源用于乌克兰的网络威胁,包括错误信息。

工业控制系统安全公司Dragos于2月24日为回应对乌克兰以外报复性网络响应的担忧,为美国、英国和新西兰的合作和市政公用事业提供免费的网络安全支持和事件响应。新用户将自动注册到Dragos的Neighborhood Keeper,这是一个将NSA和CISA视为合作伙伴的实时威胁检测和信息共享平台。Dragos 席执行官兼创始人 Rob Lee 表示,该服务将在未来两年内保持免费。

Lee 预计他的团队最多可以容纳30家公司。但到了一天结束时,已经有60家申请支援。他说,Dragos 的员工立即加入进来,自愿抽出时间来扩大工作范围。Lee还收到了来自其他专业人士甚至大型业主运营商的信息,询问他们如何提供帮助。

应对网络攻击的老生常谈20条

关键信息基础设施运营者可以采取以下几个步骤来防范网络攻击:

1.在组织范围内启用多重身份验证 (MFA) 并确保经常重置口令

2.确保使用可用的最新安全补丁更新组织范围内使用的软件。这样做可以防止恶意软件横向移动。

3.进行严格和定期的漏洞审核和演习,以清楚掌握安全漏洞状况。

4.提高直接客户和合作伙伴的意识,以加强安全措施,因为过去已经目睹了连锁攻击的风险。比如臭名昭著的SolarWinds供应链攻击。

5.全面梳理网络资产,记录已连接并正在积极使用网络的设备。

6.监控连接到网络的设备的任何异常功能,并立即发出危险信号以立即进行调查。 

7.对网络实施严格的隔离措施,遵守行业的合规要求。

8.重新检查/修改您的补救和缓解措施手册,以确保发生安全事件时能够采取最可行且最新的方法。 

9.加强深度监控,从未经验证的来源中分离出任何可疑的流量,以进行深入解析。

10.为安全事件响应团队构建和分配资源。确保SOC 团队不会因过度工作或缺乏资源而失去战斗力。

11.如果安全运营团队和事件响应团队能力不足,无法达到最佳水平,寻找替代团队。 

12.确保您遵守合规性法规,例如关保条例、IEC62443、零信任框架和其他适用的合规性要求。

13.适当评估网络安全应对事件的准备情况,比如进行模拟演练。

14.使用有助于评估网络威胁形势的可操作威胁情报。

15.如果没有可靠的威胁情报源,请不要轻易相信OSINT,因为它们通常会误导团队。需要寻找可靠和值得信赖的来源。

16.网络安全预算通常都是不足的,少花钱多办事可能非常困难。不同行业之间网络安全预算差异会很大。利用威胁态势报告让组织意识到更高的网络安全预算。

17.了解组织动态并为安全环境调整目标。

18.了解IT-IoT和OT技术集成所涉及的复杂性,因为它们各自带来了挑战。

19.进行数字化转型的组织必须采取额外的预防措施,并且通常最好选择一种安全工具,该工具可以为您提供必要的可见性和详细分析。

20.保持良好的日志和记录对系统的更改,这将帮助取证分析和识别差距的关键。

这20多点既是老生常谈,但是最佳实践。提高网络警惕性和网络弹性,从而确保关基的业务弹性。既是需求,也是目标。

预计,在这样的一介混合战的特殊时期,新兴的APT集群会在各国出现越来越多的威胁,并增加多管齐下的战争的更多战线。匿名者黑客组织网罗了一批小黑客团队,对俄罗斯政府、新闻、关键基础设施进行了大规模网络攻击且攻陷了一批网站,这将是极其危险的。另外,新的漏洞预计将批量出现在暗网上,以供新兴的网络战士集群广泛使用。除此之外,恶意组织团伙也有望在这种漏洞利用中发挥作用。因此,标志着新兴和成熟的 APT参与者的新前沿。敦促所有相关方在未来的日子里保持高度警惕和谨慎。

参考资源:

1.https://securityboulevard.com/2022/02/rising-threats-on-critical-infrastructure-amidst-the-ukraine-crisis/

2.https://cyberknow.medium.com/2022-russia-ukraine-war-cyber-group-tracker-update-2-e62239184510

3.https://www.cyberscoop.com/ukraine-russia-us-cybersecurity-companies/

 

 

原文来源:网空闲话

“投稿联系方式:孙中豪 010-82992251   sunzhonghao@cert.org.cn”

8条评论