當前,新冠疫情正影響著世界政治、經濟、社會秩序和格局。工業基礎設施作為國家經濟發展的戰略支柱,業已成為國家之間地緣政治競爭的重要領域。“新基建”戰略激發新興安全需求、合規驅動推進安全升級需求、工業行業IT與OT的融合引領融合的安全需求、現實威脅加速推動直面安全需求,工業網絡安全迎來巨大發展空間和機遇。
《新一代工業網絡安全白皮書》試圖立足工業網絡空間泛在化、數字化、智能化的時代背景,深入理解工業網絡安全跨域、復雜、融合、動態、協同的本質特征,把握其在虛擬空間和物理空間相互作用的影響后果,突出網絡彈性、供應鏈安全、人為因素等復雜安全需求和目標,以有效達成工業網絡安全保障業務連續性的本真價值,實現對信息流和物質流的全時域安全治理。最后提出以安全設計、密碼應用、可信計算、自主可控、工業免疫為核心的技術發展思路以及以網絡安全文化培育為核心的安全治理思路。
《白皮書》共分四個部分。
第一部分,背景概述;簡要介紹當前“新基建”戰略、合規發展、現實威脅、IT與OT融合等推動的網絡安全需求。
第二部分,工業網絡安全的內涵,介紹工業網絡安全的相關方、基本概念、演進階段、融合發展趨勢及新一代工業網絡安全的特點。
第三部分,新一代工業網絡安全的總體架構,介紹設計的原則、總體架構、能力體系、成熟度級別。
第四部分,未來展望,提出設計安全、密碼應用、可信計算、自主可控、工業免疫、安全文化六個方面的發展方向。
天地和興作為新一代工業網絡安全領航者,始終如一的追求為“打造可信控制環境、助力網絡強國戰略”的企業使命。立足當下,天地和興專注價值創造,志于工業網絡安全;面向未來,天地和興將致力與用戶建立新型伙伴關系,賦能用戶構筑全面覆蓋、深度結合的工業網絡安全防御體系,有效達成客戶安全價值,滿足數字化轉型和持續創新發展的全方位需求,為國家工業網絡安全建設貢獻力量。
36氪自創立以來始終堅持對未來科技潛力企業的研究,本次重磅推出的“2020中國最具登陸科創板潛力企業TOP 50評選”,旨在尋找新一代信息技術、高端裝備、新材料、新能源、節能環保以及生物醫藥等六大主題行業里最具潛力的科創公司。此次研究評選主要從參與公司創新能力、研發能力、營收水平、業務前景等維度進行評比,經過初篩、調研、評定三個步驟,最終挖掘出最具登陸科創板潛力企業。此次天地和興榮登36氪2020年度中國最具登陸科創板潛力企業TOP50榜單企業服務板塊,是對企業產品、服務、發展模式的認可,更是對公司不斷為工業企業創造安全價值,做好數字化轉型的認可。
天地和興是國內引領工業網絡安全的高新技術企業。多年來,深刻領悟工業網絡安全的數字基礎設施特征,落地上千項目,形成“天墀”、“地盾”、“和睿”、“興邦”等自主創新產品、技術和服務的體系化領先優勢。積極探索工業網絡場景應用和集成創新,全面提升工業互聯網、物聯網等領域的安全能力,成為關鍵信息基礎設施行業安全建設的主要賦能方。天地和興仍會始終如一的秉承“打造可信控制環境,助力網絡強國戰略”的追求。
面向未來,天地和興將致力與用戶建立新型伙伴關系,賦能用戶構筑全面覆蓋、深度結合的工業網絡安全防御體系,有效達成安全價值,滿足數字化轉型和持續創新發展的全方位需求,實現與用戶、投資方、合作伙伴以及企業的共同成長與飛躍,為我國建設成為網絡強國貢獻卓越力量。
詳情榜單請見:https://mp.weixin.qq.com/s/HG_D8O5G5mmR6fQ_ixiUJQ
工業互聯網作為制造業和互聯網深度融合的產物,已經成為工業革命的關鍵支撐和智能制造的重要基石,而峰會及大賽以“新基建 新安全”為主題,旨在深入貫徹網絡強國和制造強國的戰略思想,響應及落實“網絡安全為人民,網絡安全靠人民”的號召,促進行業企業與地方政府全方位對接,促進行業與地區融合發展,促進南通市網絡安全產業的發展。
天地和興作為會議承辦方及大賽技術總指揮方,首席執行官江炳思接受峰會專訪,副總裁孫高嶺在峰會上做了《工業網絡安全融合發展的思考》的主題演講。公司與南通市簽署工業互聯網安全服務中心項目,落地南通崇川經濟開發區。并作為工業互聯網安全產業聯盟發起單位之一,參與聯盟籌備啟動儀式,聯盟以“聚合多方力量,構建生態環境,服務工業安全”為宗旨,力爭成為等保測評機構、高等院校、行業單位和安全廠商之間的工業互聯網安全的交流平臺,推進國家關鍵信息基礎設施網絡安全的健康發展,鼓勵網絡安全人才和產業界形成互相促進、良性發展的產業生態。
做為大賽技術總指揮,天地和興從技術方案到整體組織各設備系統廠家適配測試,選最優比賽環境;從賽題的設計思路到比賽規則的設定,全方位的支撐了大賽。此次大賽內容緊密結合實際場景和工業互聯網安全技術應用發展狀況,重點考察參賽選手在工業互聯網網絡、安全、應用等方面的安全測試、評估、運維、保障能力以及完成指定任務的理論和技術水平。采用線下5G環境半實物仿真環境決賽的方式,通過競賽驗證5G+工業互聯網安全防御方案的效果,同時演練工控安全及工業互聯網安全應急預案,提高工業互聯網安全運維保障能力。
大賽共吸引了來自全國各地36支參賽隊,參賽選手及專業裁判團隊共200余人。本次大賽涉及測評機構、公安、工業企業、安全企業、科研院所五個領域。參賽團隊通過逐步滲透,完成題目闖關,重點考察參賽選手在工業互聯網網絡、設備、控制、平臺、應用、數據等方面的安全測試、評估、運維、保障能力以及完成指定任務的理論和技術水平。
北京2020年10月22日 /美通社/ -- 當前,新型基礎設施建設已納入國家戰略,直接關系國計民生,是名副其實的國之重器。“新基建”涉及5G、大數據、云計算、人工智能等新型信息技術,在推動工業企業網絡化、數字化、智能化發展的同時,也帶來了全新的網絡安全挑戰。由南通市人民政府、公安部第三研究所主辦,中共南通市委網信辦、南通市工業和信息化局、南通市公安局、南通市崇川區人民政府、北京天地和興科技有限公司、江蘇智慧安全可信技術研究院共同承辦的“首屆中國I²S峰會暨工業互聯網安全大賽”將于10月30-31日在南通舉行。本次活動以“新基建,新安全”為主題,將邀請有關政府主管部門、行業主管部門,以及工業網絡安全產業等領域的領導和專家齊聚一堂,共同探討新時代下應對工業網絡安全新挑戰的對策和建議,共同推進工業網絡安全核心新能力建設。
誠摯地邀請您參與本次活動,在新基建時代下,與工業網絡安全“產、學、研、用”各界領導及專家共話共享工業網絡安全的新解讀、新趨勢、新挑戰以及新機遇,貢獻工業網絡安全的新思考和新思路。
數字新時代,工業互聯,安全智行!
01 活動亮點
全國首屆城市名片級的工業互聯網安全峰會
全國首家工業互聯網安全產業聯盟(I²S聯盟)成立
全國首次在5G環境下開展的工業互聯網安全大賽
全國首創由城市網絡安全運營中心進行全方位防護的大賽
全國首期以工業互聯網安全等級保護測評和自查能力驗證為主題的大賽
02 組織結構
主辦單位
南通市人民政府
公安部第三研究所
承辦單位
中共南通市委網信辦
南通市工業和信息化局
南通市公安局
南通市崇川區人民政府
北京天地和興科技有限公司
江蘇智慧安全可信技術研究院
協辦單位
公安部信息安全等級保護評估中心
信息安全等級保護關鍵技術國家工程實驗室
《信息網絡安全》雜志
中共崇川區委網信辦
中關村可信計算產業聯盟
中關村信息安全測評聯盟
中關村網絡安全與信息化產業聯盟
工業互聯網安全產業聯盟(I²S聯盟)
北京知道創宇信息技術股份有限公司
北京安帝科技有限公司
03 大賽時間及地點
- 10月30日 09:00-18:00 至 10月31日 09:00-12:30
- 長三角網絡安全產業園關基安全防護能力驗證基地(江蘇省南通市崇川區人民中路255號信息技術應用創新產業園9#樓2層)
04 峰會時間及地點
- 10月31日 14:00-17:00
- 南通國際會議中心二樓宴會廳CD廳(江蘇省南通市崇川區興通路99號)
05 報到時間及地點
- 大賽:10月29日16:00-18:00;全季酒店(東景國際店)(江蘇省南通市崇川區人民東路885號)
- 峰會:10月30日10:00-20:00至10月31日09:00-12:00;南通金石國際大酒店一樓大廳(江蘇省南通市崇川區崇川路85號)
06 議程
07 報名通道
大賽與峰會已全面開啟免費報名,可復制鏈接https://a2.rabbitpre.com/m2/aUe1ZjX1pJ?lc=2&sui=obGcFty20rLhxQ3L_8rqmLufTT7c#160329242188880,在活動H5邀請函報名通道頁面進行報名,趕快行動起來吧,我們在南通等你!
天地和興是國內引領工業網絡安全發展的高新技術企業。直面“新基建”網絡安全挑戰,天地和興聯合多方信創生態伙伴,共同打造更加穩定、高效的工業網絡安全產品、解決方案及技術服務。
近日,天地和興主機安全防護系統軟件與華為技術有限公司TaiShan200系列、Kunpeng920芯片完成雙料兼容認證,獲得華為鯤鵬計算領域授予的HUAWEI COMPATIBLE證書及認證徽標,為工業網絡安全領域信創產業生態新添擎天柱石。
為保證此次與華為兼容認證的驗證結果,雙方共同編寫了詳細的測試方案,對產品在兼容性、功能、性能、可靠性、功耗、安全六個維度進行了Compatible聯合測試,最終結論:天地和興主機安全防護系統 HX-HPS/V2.0與TaiShan 200服務器兼容。
除與華為完成的產品兼容互認證外,近幾月天地和興不斷深耕,分別與百信、凝思、統信均完成了產品兼容互認證,踏出了工業網絡安全領域信創產業的重要步伐,為我國工業網絡安全信創產業落地提供了強大支撐。
天地和興主機安全防護系統HX-HPS,是天地和興專門為工業主機打造的一款安全防護管理軟件。它采用分布式架構,安裝在工業上位機和工業服務器上,基于白名單智能匹配、智能殺毒、主機加固等技術,有效地防止病毒和惡意程序入侵攻擊、控制移動儲存的非法接入和集中管理工業主機,解決了工業主機安全威脅問題,提高了工業主機系統安全防護能力。
產品兼容互認證是加速信創生態建設、促進關鍵領域國產化的重要方式。天地和興與華為、百信、信統多方伙伴的產品兼容性互認證,是國產工業網絡安全信息化服務和國產服務器的強強聯合。目前,天地和興將正在與相關生態合作伙伴展開深度合作開發測試,共同攜手在信創領域進行創新與發展,為用戶提供更加完整、優質、安全穩定的產品解決方案與服務體系,為自研系統在關鍵信息基礎設施行業的深度發展提供新動能,保障工業網絡信息可靠安全,共筑中國工業控制領域信創產業生態,引領傳統工業信息安全產業轉型升級。
]]>
國家現行的關于工業控制系統專用防火墻的標準是在今年三月份正式才開始實施。在此之前,國家標準化管理委員會未曾發布任何有關工業控制系統專用防火墻的標準。盡管市面上的工控防火墻層出不窮,但大多都是在通用防火墻的基礎上增加工業控制協議解析的相關功能包裝而來。品種繁多,花樣百出的工控防火墻已經讓想要購買此類安全產品的企業挑花了眼,如今《GB/T 37933——2019信息安全技術 工業控制系統專用防火墻技術要求》標準已經發布,什么樣的墻最適合工控企業,相信你已經有了答案。
今天,天地和興將通過比較兩個現行的防火墻相關標準GB/T 28201—2015和GB/T 37933—2019的部分內容,帶你深入了解工業控制系統專用防火墻。
1、包過濾安全技術要求對比
安全技術要求 |
20281-2015增強級 |
37933-2019基本級 |
37933-2019增強級 |
|
網 絡 層 控 制 — — 包 過濾 |
1.安全策略應使用默認禁止原則,即處非明確允許,否則就禁止 |
√ |
√ |
√ |
2.安全策略應包含基于源IP地址、目的IP地址的訪問控制 |
√ |
√ |
√ |
|
3.安全策略應包含基于源端口、目的端口的得訪問控制 |
√ |
√ |
√ |
|
4.安全策略應包含基于協議類型的訪問控制 |
√ |
√ |
√ |
|
5.安全策略可包含基于MAC的訪問控制 |
√ |
√ |
√ |
|
6.安全策略可包含基于時間的訪問控制 |
√ |
無 |
√ |
|
7.應支持用戶自定義策略,安全策略可以是MAC地址、IP地址、端口、協議類型和時間的部分或全部組合 |
√ |
√ |
√ |
|
基本級工控防火墻最多支持包括源/目的IP、源/目的端口、源/目的MAC及協議類型的七元組包過濾策略,而增強級工控防火墻聚力升級,在原有基礎上又增加了基于時間的訪問控制,與通用防火墻的包過濾策略持平,更加細粒度化工業網絡中流量包的策略管理。
2、NAT安全技術要求對比
安全技術要求 |
20281-2015增強級 |
37933-2019基本級 |
37933-2019增強級 |
|
網絡 層控制— —NAT |
1.應支持雙向NAT:SNAT和DNAT |
√ |
√ |
√ |
2.SNAT應至少可實現“多對一”地址轉換,使得內部網絡主機訪問外部網絡時,其原IP地址被轉換 |
√ |
√ |
√ |
|
3.DNAT應至少可實現“一對多”地址轉換,將DMZ的IP地址/端口映射為外部網絡合法IP地址/端口,使外部網絡主機通過訪問映射地址和端口實現對DMZ服務器的訪問 |
√ |
無 |
√ |
|
4.應支持動態SNAT技術,實現“多對多”的SNAT |
√ |
無 |
無 |
|
NAT即網絡地址轉換,該功能最初出現是為了通過使用少量的公有IP地址代替私有IP地址,從而達到減緩可用IP地址枯竭的目的,而與此同時也衍生出了它的其它功能:隱藏局域網內部IP,保護內部主機免受攻擊;平衡負載;端口轉發等。相較基本級工控防火墻只能實現內網地址的隱藏功能,增強級工控防火墻為了滿足工控系統內部服務器需要對外網用戶提供服務的業務場景,在此基礎上增加對DNAT實現一對多轉換功能。而相對于通用防火墻需要應對大量主機同時上網的情況,工控防火墻并沒有要求支持多對多SNAT的要求。
3、流量監測安全技術要求對比
安全技術要求 |
20281-2015增強級 |
37933-2019基本級 |
37933-2019增強級 |
|
網絡層 控制— —流量監測 |
1.能夠通過IP地址、網絡服務、時間和協議類型等參數或他們的組合對流量進行正確的統計 |
√ |
無 |
√ |
2.能夠實時或者以報表形式輸出流量統計結果 |
√ |
√ |
||
3.能夠對流量超過預警值的行為進行告警 |
√ |
|||
增強級工控防火墻要求可對防火墻監控區域內的網絡總流量、并發連接數、設備流量排名、協議流量排名、接口流量等進行統計,并基于正常的流量基線及時對異常流量行為進行告警。流量監測不僅能夠發現、預防網絡流量中的瓶頸,還為網絡性能優化提供依據,更能幫助用戶排查出各種病毒感染的主機風險。
4、應用協議控制安全技術要求對比
安全技術要求 |
20281-2015增強級 |
37933-2019基本級 |
37933-2019增強級 |
|
應用層 控制— —應用 協議控制 |
1.http、FTP、Telnet、SMTP和POP3等常見應用 |
√ |
√ |
√ |
2.及時聊天類應用、P2P流媒體類應用、網絡流媒體類應用、網絡游戲、股票軟件 |
√ |
無 |
無 |
|
3.逃逸或隧道加密特點的應用 |
√ |
無 |
無 |
|
3.自定義應用類型 |
√ |
無 |
√ |
|
4.支持常用工業控制協議、如OPC、Modbus TCP、Profinet、BACnet、DNP3、IEC104等 |
無 |
√ |
√ |
|
增強級工控防火墻除配有常見的預定義服務方便用戶引用,另增加了自定義服務功能可對私有協議進行識別,更能靈活地適應多種工業生產控制場景。而相對于通用防火墻,減少了對一些工業控制環境中并不需要的第三方應用的識別控制。
5、工業協議深度內容檢測安全技術要求對比
安全技術要求 |
20281-2015增強級 |
37933-2019基本級 |
37933-2019增強級 |
|
應用層 控制— —工業 協議深 度內容 檢測 |
1.工控協議格式規約檢查,禁止不符合協議規約的通信 |
無 |
√ |
√ |
2.對工業協議的操作類型、操作對象、操作范圍等參數進行控制 |
√ |
√ |
||
3.至少支持三種主流工控協議 |
無 |
√ |
||
這是工控防火墻最核心的功能。GB/T 37933-2019規定了增強級工控防火墻至少應支持三種以上的常用工控協議,并且對工控協議內容檢測的細節問題也進行了明確要求。深度檢測過程大致如下:對流入的網絡流量首先進行協議格式檢查,發現不符合協議標準的訪問數據包時及時阻斷,之后對請求的數據包內容進行檢查。以Modbus為例,增強級工控防火墻支持對Modbus的幾十位功能碼進行細粒度解析,對讀寫操作,地址范圍及操作值進行檢查,此外還可對功能碼進行自定義。
除了以上技術要求對比外,應用于工業控制環境的防火墻與通用防火墻還有以下應用差異:
1. 用于工業控制環境的防火墻比通用防火墻具有更高的環境適應能力,如:低功耗、寬溫、防護等級等要求;
2. 工業控制環境中,通常流量相對較小,但對控制命令的執行要求具有實時性。因此,工業控制防火墻的吞吐量性能要求可相對低一些,而對實時性要求更高;
3. 工業控制環境下的防火墻比通用防火墻具有更高的可靠性、穩定性要求,如:硬件bypass設計、標配冗余電源等。
天地和興工控防火墻采用工業級的專用硬件平臺,支持DIN導軌式和機架式安裝,采用了低功耗、寬溫等工業設計,支持IP40防護等級;擁有全面的攻擊防護能力,具有自學習白名單、全適應IPV6、與平臺類設備聯動等一系列功能,完全符合《GB/T 37933——2019信息安全技術 工業控制系統專用防火墻技術要求》標準要求。天地和興工控防火墻現已廣泛應用于電力、軌道交通、鋼鐵冶金、石油石化、智能制造等工業領域,時刻保障國家關鍵信息基礎設施安全運行。
圖片- https://photos.prnasia.com/prnh/20200924/2927914-1-a?lang=1
圖片- https://photos.prnasia.com/prnh/20200924/2927914-1-b?lang=1
圖片- https://photos.prnasia.com/prnh/20200924/2927914-1-c?lang=1
圖片- https://photos.prnasia.com/prnh/20200924/2927914-1-d?lang=1
]]>
9+3=12,天地和興擴增嘶吼網絡安全產業鏈圖譜能力矩陣
5月,嘶吼產業安全研究院首次推出發布《2020網絡安全產業鏈圖譜》并得到了行業的熱烈反響。而后,嘶吼產業安全研究院希望通過調研網絡安全產品之間的關系,繪制成一張更為完整且涵蓋網絡安全行業中各細分領域的產業鏈圖譜,于8月底進行了圖譜更新并正式發布。天地和興積蓄實力,不斷前行,由上榜上半年圖譜9個細分領域的好成績擴增至12個,以工業網絡安全、身份安全、審計、端點防護、滲透測試、合規檢查、安全意識安全培訓、重保支持、安全管理運維、咨詢與安全架構規劃、演練保障、安全集成的能力矩陣持續霸屏。
5次獲“能力者”稱號,天地和興超群上榜數世咨詢《中國網絡安全能力圖譜》工業互聯網安全業務應用篇
9月初,國內數字化領域第三方調研機構數世咨詢推出了《中國網絡安全能力圖譜》之業務應用篇,其中工業互聯網安全因其較強的行業屬性和多維度行業場景,將其劃分為三層,分別為工控系統安全、工控安全態勢感知和工業互聯網平臺安全。天地和興在工控系統安全層之防火墻、IDS/IPS、流量分析/審計、安全運營服務以及工控安全態勢感知層均獲“能力者”稱號,進一步印證了天地和興工業網絡安全領航者實力。
全景圖之工控安全先鋒進階2020年中國網絡安全成長之星,天地和興不斷力爭上游
9月初同期,行業知名媒體數說安全發布了《2020年中國網絡安全市場全景圖》,本次以遵循產品和市場成熟度為基調,以國家權威機構評測結果為依據,以品牌口碑和美譽度為參考,以著眼市場未來發展為原則,對目前我國網絡安全市場中的產品及服務進行了分類和匯總,力圖為我國網絡安全行業主管部門、從業者、網絡安全產品及服務的使用者和購買單位提供借鑒和參考。天地和興經過榮譽資質、業務方向、產品成熟度、品牌知名度等因素從415家國內優秀網絡安全廠商脫穎而出,在工控安全領域名列前茅。
9月15日,中國網絡安全產業聯盟(CCIA)聯合數說安全在“2020年國家網絡安全宣傳周 -- 網絡安全產業創新發展主題論壇”上首次發布了“2020年中國網絡安全成長之星”(CCIA成長之星)榜單,天地和興又憑借自身過硬的工業網絡安全實力成功入選。本次 “CCIA成長之星”評價指標要素覆蓋較廣,主要包括管理團隊、外部資源、技術能力、產品競爭力、銷售網絡、經營數據等。天地和興能夠成為CCIA成長30星之一,無疑是行業媒體及產業聯盟機構對天地和興多年來致力于工業網絡安全產業服務的最佳肯定。
天道酬勤 地負海涵 和舟共濟 興邦立事
天地和興自2007年成立以來,始終以“天道酬勤、地負海涵、和舟共濟、興邦立事”作為一貫的企業文化,天地和興人矢志將天地和興打造成為中國最具價值和影響力的工業網絡安全企業。作為CNCERT、CNNVD、CICSVD等機構的技術支撐單位,先后為進博會、上合峰會、數字中國建設峰會等重大社會活動提供網絡安全保障服務,受到廣泛贊譽和好評。
面向未來,天地和興將深度賦能用戶,構筑全面覆蓋、深度結合的工業網絡安全防御體系,有效達成用戶安全價值。“打造可信控制環境,助力網絡強國戰略”,初心不改,砥礪前行。
]]>一、制造業
物聯網實現了智能制造,提高了安全性,改善了性能和服務,并減少了時間和成本。它一直是工業4.0運動的推動力。借助IoT,高效的數據收集,增強的自動化和分析都是可能的。利用各種各樣的物聯網設備,制造單位能夠更有效,更準確地利用其工作流程。例如,公司使用放置在設備中的IoT傳感器跟蹤資產、收集數據和執行分析。這些傳感器監控設備的功能,以實現自動恢復并縮短維護的停機時間。根據The Atlantic的統計,預計到2020年底,國際公司在IoT解決方案上的投資將超過700億美元。IoT技術在制造業中具有巨大潛力,制造業是過去幾年受物聯網影響最大的行業之一。物聯網在制造業中很重要,因為它使操作自動化。智能工廠中的操作技術包括可編程邏輯控制器、工業物聯網設備(IIoT)、分布式控制系統、嵌入式系統等。總的來說,這些系統會增加潛在的網絡威脅的風險。例如,網絡安全和基礎設施安全局(CISA)列出了1200多個與OT系統相關的漏洞。這些問題來自300多個OEM(原始設備制造商)。這些網絡威脅激增的根本原因是,OT和IT等領域往往沒有與安全策略同步。以下是建立健全制造業網絡安全計劃的關鍵安全策略:
- 進行網絡安全成熟度評估
網絡安全評估模型提供了一條前進的道路,可以幫助組織更好地了解他們在這道路上所處的位置。它可以幫助組織改善網絡安全工作,并與高層管理人員進行溝通以獲得所需的支持。根據《福布斯》上發表的一篇文章,網絡安全能力成熟度模型(C2M2)和美國國家標準技術研究所網絡安全框架(NIST CSF)是眾多推薦選擇的模型中的兩種,每種模型都提供了涵蓋網絡安全所有方面的更廣泛方法。
- 根據風險概況確定操作的優先級
對于組織而言,使用CSRF分析(網絡安全風險框架)來識別風險非常重要。有幾種CSRF,例如OCTAVE、NIST、ISO等。組織可以采用不同的方法進行風險評估,其中最好的模型之一是由Radanlive創建的。旨在捕獲物聯網網絡風險。
- 內置安全性
考慮購買具有內置安全性的設備,防止網絡攻擊。在沒有任何安全保證的情況下,有大量的設備可用。例如,一個燈泡的背面有一個基于星級的能效評級系統,它的內置安全措施也應該有相同的評級系統。電子安全組織Underwriter laboratory已經為物聯網設備引入了安全評級。
二、農業
物聯網技術正在推動農業產業邁向新的革命。它提供有關土壤水分、品施用、牲畜健康等方面的信息。這些信息使農民可以實時跟蹤農場的運營,并在提高農場生產力和執行預防性維護方面做出更明智的決策。基于物聯網的農業可幫助全球農民提高生產力并較大限度地利用其資源。借助物聯網技術,農業的發展將幫助農民使他們的生產與不斷增長的糧食需求相匹配。在農業產業中,不安全的物聯網設備已經大量集成。在大多數情況下,減輕網絡安全風險并不是農民的主要利益所在。為了降低網絡安全風險,每件聯網的農業設備都必須經過認證程序。農業中使用的物聯網設備與醫療保健和制造業等其他行業使用的設備沒有區別,智能農業設備中的網絡威脅同樣危險。認證將阻止合同的障礙和侵犯隱私的行為。由于精準農業文化的廣泛采用,農業中物聯網設備的數量激增。農民和種植者被要求將重點轉移到緩解可能的網絡攻擊上,而這從來不是他們的首要目標。
三、衛生保健
物聯網通過在醫院、家庭、辦公室和旅行中提供醫療服務,消除了作為護理人員和患者障礙的復雜性。根據醫療行業46%的受訪者表示,音頻設備和移動電話是提供更好醫療服務的最基本設備。根據這項研究,57%的護理者利用視覺分析來提高個性化治療和醫療服務的水平。例如,借助實時遠程健康監控設備、可穿戴智能藥丸、糖尿病管理系統等物聯網解決方案,監控患者的健康狀況并制定治療決策變得更加容易和高效。從健康管理、智能手表到癌癥后期護理,物聯網正在全方位影響醫療保健。由于先進技術和設備的使用,網絡攻擊的脆弱性和風險增加,這意味著醫療行業面臨更多網絡風險。以下是NIST(美國國家標準與技術研究所)推薦的針對物聯網設備的四種網絡安全風險緩解策略:
- 對于醫療保健提供商而言,重要的是在設備的整個生命周期中保持IoT設備的準確清單;
- 醫療機構應該投資于審查軟件和固件,以發現漏洞;
- 為了防止未經授權的訪問,采用訪問管理策略來使用或管理IoT設備至關重要;
- IoT設備需要受到持續監控,以跟蹤潛在的安全事件和異常活動。
四、運輸
物聯網技術具有獨特的定位,可提供有助于交通運輸行業的解決方案。例如,通過基于物聯網的安全解決方案,車輛可以傳達即將發生的事故和惡劣的天氣情況。
美國交通部(USDOT)的目標是使用IoT安全解決方案將車禍減少80%。物聯網解決方案可以幫助跟蹤當前路線中的傳入交通延誤,并建議更好的路線。同時,車輛維護解決方案可以幫助實時跟蹤車輛的健康狀況,以確保其正常運行。地理圍欄有助于圍繞特定興趣點創建虛擬圍欄和參數;它幫助物流經理接收貨運更新。許多物聯網解決方案有助于運輸行業更高效,更準確地運行。對此,美國運輸安全管理局、運輸部、美國海岸警衛隊和運輸系統部門(TSS)利益相關者制定了一份與TSS最相關的實施指南。目的是為運輸系統部門提供指導、資源指導和選項目錄,以幫助TSS組織努力采用NIST框架。運輸系統中的網絡攻擊和數據泄露可能導致更大的損失,組織應該考慮在支持物聯網的智能交通生態系統中部署網絡安全,盡管意識到工業物聯網帶來的安全威脅的增加,但只有38%的人投資了新的安全技術,有39%的人與安全專家合作以尋求幫助。造成這種反應的一個原因是缺乏相關技能,有59%的受訪者表示他們缺乏具備網絡安全技能的人員來交付其工業物聯網部署。隨著工業物聯網增加了網絡攻擊的潛在攻擊面,企業并沒有為這些風險做好準備。運輸企業必須確保其強化物聯網部署的每個要素。如果沒有安全的工業IoT網絡,企業可能會遭受旨在破壞運輸和物流基礎設施,勒索軟件或工業間諜活動的網絡攻擊的影響。真正安全的工業IoT部署必須從頭開始內置安全性。這必須包括安全訪問管理、安全執行環境、增強的數據加密以及傳感器,網關和軟件編排平臺之間的智能驗證和身份驗證。
五、能源產業
物聯網幫助能源行業利用綠色能源。與物聯網相連的綠色能源設備在很大程度上消除了人為干預。此外,能源供應商正在使用智能電表來跟蹤有關綠色和不可再生能源使用情況的信息。這使得不可再生和綠色能源的生產和交付變得更加容易。隨著物聯網在能源和公用事業行業中的發展,它增加了系統中網絡攻擊的風險。行業領導者將網絡威脅視為行業中的主要威脅之一。如果有1000個智能電表,則有1000個入侵系統的潛在入口。第三方服務提供商的使用打開了更大的大門。最突出的是,物聯網數據和基于物聯網的見解對于現代資產績效管理至關重要。預計會有75%的公用事業單位采用此數據,從而將運營績效提高多達10%。許多上游采礦和開采公司或石油和天然氣生產商也已將其工業資產連接到物聯網。他們在工廠級別監視機器的性能,以滿足組織的KPI指標,并確保機器的最佳生產率。基于物聯網數據和基準測試,對設備進行微調或進行預測性維護,以避免計劃外停機。液化天然氣廠、管道和存儲的中游運營商以及多式聯運的提供商可以將其移動和固定的工業資產都帶入物聯網。當涉及海洋和陸基艦隊和特種車輛時,物聯網數據使管理人員能夠了解這些資產的性能、有效載荷和位置。通過分析性地檢查IoT數據,分銷經理可以隨時了解管道完整性和工作負載的潛在惡化。在消費者分布、公用事業、發電、石油和天然氣精煉以及風能和太陽能發電的下游領域,物聯網數據分析還有更多獨特、有價值的應用程序。公用事業正在以越來越快的速度采用物聯網解決方案,分析師預計,到2025年該細分市場的物聯網采用率將增長20%以上。能源行業中的物聯網場景再次包括預測性維護和資產績效管理。此外,物聯網分析可以幫助公用事業公司確保其網格的可靠性,并執行切實可行的需求計劃。物聯網在保持對環境、質量、財務、消費者保護和其他法規的合規性方面的潛在利益是巨大的,但是大多數公司尚未在此用例上取得重大進展。在金融、環境、市場和其他數據集的背景下收集和分析來自提取、生產、分配和消費的實時物聯網數據,使公司更容易遵守法規要求和企業標準以確保生產的質量和一致性輸出。它還可以確保工廠、設施、管道、車隊和配電基礎設施的無害環境和安全運行。
六、針對物聯網網絡攻擊采取的建議
- 更改默認設置
通常,IoT設備帶有默認設置,包括標準用戶名、密碼等。在大多數情況下,設備默認設置使黑客能夠訪問設備。對于黑客設備,黑客會嘗試猜測默認名稱、ID和設備內部設置,自定義設置并防止輕易被猜中很重要。
- 通過雙重身份驗證(2FA)保護密碼
使用雙重身份驗證訪問設備非常重要,因為它可以充當額外的安全層。由于2FA流程要求用戶提交OTP(一次性密碼)以授予對設備的訪問權限,該設備是由系統生成并以保密方式呈現給用戶的。它可以保護系統免受未經授權的訪問,并降低其遭受網絡攻擊的脆弱性。建議設置一個由數字、符號、大寫字母和小寫字母組成的唯一強密碼。
- 禁用UPnP功能
UPnP(通用即插即用)功能允許任何IoT設備與其他設備連接。例如,智能燈泡可以連接到基于語音命令的設備,如GoogleHome和Alexa。禁用UPnP功能非常重要,這樣攻擊者如果成功入侵一臺設備,就無法訪問其他系統。
- 定期更新設備
許多物聯網設備制造商發布了安全功能,以保護用戶的隱私免受網絡攻擊。用戶需要定期更新設備,以保護他們的數據免受不斷演變的網絡攻擊模式的侵害。
- 避免使用公共WiFi網絡
如果是通過智能手機或其他設備遠程管理IoT設備,則建議避免使用公共WiFi網絡。為避免使用公共WiFi網絡可能造成的網絡攻擊漏洞,可以使用VPN。有一些VPN服務提供商可以為公共和家庭WiFi網絡提供多種安全功能。
隨著技術的成熟和供應商的競爭,解決方案變得更加完善。物聯網技術將在未來十年繼續推動各行各業的變革。對物聯網潛力有了更好理解的企業將很好地在未來獲得收益。根據統計,預計到2025年,全球物聯網市場規模將超過12500億美元,高于2019年的6900億美元,2020年至2025年的復合年增長率(CAGR)為10.53%。由于采用這些變化是強制性的,因此每個行業都必須專注于利用物聯網技術的潛力,以保持與其業務的相關性。
參考資料 |
[1] https://www.tripwire.com/state-of-security/featured/iot-devices-industry-secure/ |
[5] https://agilethought.com/white-papers/industry-outlook-powering-energy-industry-iot-analytics/ |
]]>
引言
2019年12月1日,《網絡安全等級保護基本要求》的正式實施標志著等級保護制度整體進入 2.0 時代,等級保護對象范圍從傳統的網絡和信息系統,向“云移物工大”上進行了擴展。GB/T22239由單獨的基本要求演變為通用安全要求+新技術安全擴展要求,且技術要求和管理要求都做了調整。而關鍵信息基礎設施也在定級要求上明確指出“定級原則上不低于三級”的要求。在本文中,天地和興將從關鍵信息基礎設施保護的實踐出發,梳理并提供2.0時代等保安全建設的整體解決方案,旨在助力關鍵信息基礎設施運營者網絡安全防護能力和信息安全管理能力的提升,應對各類網絡風險和挑戰。
一、安全現狀
隨著“一帶一路”倡議的提出,交通運輸部聯合國家發展改革委、財政部、自然資源部、生態環境部、應急部、海關總署、市場監管總局和國家鐵路集團聯合印發了《關于建設世界一流港口的指導意見》,明確指出加快平安港口、綠色港口、智慧港口建設。中國經濟與世界經濟的關聯度越來越密切,中國的開放進程進一步加快,作為改革開放窗口的港口企業,逐步從數字化向“智慧港口”轉型。“智慧港口”是以現代化基礎設施設備為基礎,以云計算、大數據、物聯網、移動互聯網、智能控制等新一代信息技術與港口運輸業務的深度融合為核心。隨著信息化不斷融合,保障工業網絡安全也是確保國家戰略安全的一項重要內容。如何建設一套穩定、先進、高效、可靠的工業網絡安全集中監測管理系統,提升港口企業整體工業網絡安全監管水平和防御能力,已成為港口企業的重要任務之一。
當前港口企業生產控制系統普遍存在以下網絡安全風險:
- 網絡的互聯互通是工控系統實現信息化的基礎條件,但這給生產監控系統帶來諸多網絡層面的安全風險,來自辦公管理層網絡的入侵、病毒等風險很容易向生產網蔓延;
- “兩化”融合促進了港口生產系統與IT系統的互聯需求,港口生產系統也逐步采用通用協議或已廣泛應用的工業協議傳輸數據,使得攻擊者通過數據監聽、協議解析與劫持技術篡改通信數據、控制命令,可直接威脅港口生產系統的正常運行;
- 邊界越來越多、越來越模糊,防護難度也越來越大。一旦局部控制網絡被病毒感染,容易迅速蔓延到整個生產控制網絡,造成“一點突破,全網皆失”的,嚴重威脅系統的運行安全;
- 工程師站、操作員站等大部分上位機為Windows/Linux平臺。為保證過程控制系統的相對獨立性,同時考慮到系統的穩定運行,通常在系統運行后不會安裝殺毒軟件、安全更新補丁,以及策略配置變更,從而埋下巨大的安全隱患。一旦感染惡意代碼,極易傳播擴散,從而導致非計劃停機;
- 由于應用軟件和操作系統多種多樣,很難形成統一的防護規范,以應對軟件和操作系統等漏洞造成的安全問題;
- 由于缺乏對管理和技術人員操作行為的有效安全監管和審計,誤操作或惡意操作安全風險較大;
- 各個網絡安全設備自成一體,形成網絡安全的系列孤島,管理員無法清晰獲知安全事件,管理維護難度較大。從等保2.0的要求及構建整體工業網絡安全防護體系的需求來看,大部分相關企業并無統一的信息安全管理策略,亦并未配置獨立的安全管理中心;
- 管理制度是國家各項安全法律、法規、規范、標準在企業的延伸和細化。盡管目前已設置專人專管的措施,但在管理制度方面還是非常薄弱,包括對人員、設備、考核等方面不夠細化;
- 發生網絡安全事件后人員通常依靠經驗判斷,甚至以逐個斷網等方式來確定網絡安全事件發生的設備和影響范圍,對于被攻擊程度,工藝是否受影響等問題無法快速給出評估結論。
二、解決方案
通過以上分析,港口行業企業生產控制系統在實際運營中面臨多種安全隱患。結合國家網絡安全等級保護2.0的建設要求,從“一個中心、三重防護”的思路出發,綜合考慮當前港口行業生產控制系統的物理環境、通信網絡、區域邊界、計算環境、管理中心與安全管理方面的建設需求,天地和興可提供全生命周期安全解決方案,為港口企業生產構建安全防御體系。
01風險評估方案
風險評估是全面了解與驗證在實際應用中存在各種風險的一種必要手段,亦是安全防護體系建設的前提。天地和興通過科學運用網絡安全風險評估的方法,參照相關國家、行業標準對物理環境、通信網絡、區域邊界、計算環境、管理中心以及管理體系等方面進行全面的安全評估。最大限度地提升港口企業生產監控系統的安全保障能力,為企業全面掌握安全風險,為后續網絡安全建設提供數據支撐。
基于表現形式的資產分類
02安全防護方案
遵照國家網絡安全等級保護及行業標準相關要求,天地和興以“一個中心、三重防護”為指導思想,設計構建港口企業生產系統網絡安全防護技術體系,幫助企業完善安全管理體系,滿足等保合規性要求的基礎上,對港口企業生產系統安全運行提供必要的安全防護。通過部署工控防火墻、工控安全審計平臺、入侵檢測系統、信息安全監管與分析系統等安全防護產品,提升生產控制系統網絡整體防護能力,部署示意圖如下:
港口企業生產系統網絡安全防護技術體系
- 安全通信網絡:對港口ICS系統網絡進行優化,根據網絡中資產屬性和訪問邏輯來劃分安全域,并對港口ICS系統網絡與辦公網互聯的網絡邊界進行邊界隔離與安全防護,在數采網邊界處部署工業安全隔離與信息交換系統(工業網閘系統),保護港口行業企業生產控制系統網絡免受來自上層辦公網及互聯網的入侵攻擊風險。
- 安全區域邊界:針對港口ICS系統網絡中劃分的安全域,根據系統的重要程度、部門等屬性,針對性的對區域采取技術隔離手段,保護各區域的運行安全,如:在裝船機、堆料機、抓斗卸船機、篩分、泵房等系統邊界處串行部署工控防火墻,保護各層級或各安全域間的運行安全;在中控室核心交換機上選擇旁路部署入侵檢測系統、威脅檢測系統,實時監測工控系統網絡中、核心數據服務安全域的異常行為并分析告警;在裝船機、堆料機、抓斗卸船機、篩分、泵房等系統的交換機上部署工控安全審計系統,對通信數據進行監聽和分析,對異常行為、違規操作行為進行識別、審計告警,輔助安全運維人員進行處置。
- 安全計算環境:針對在港口ICS系統中的關鍵計算設備進行安全加固,包括各種相關的應用服務器、操作員站、工程師站等,通過檢查工具對其安全漏洞與脆弱性進行發現和管理,對可修復的漏洞進行可行性驗證與修復,關閉不需要的默認賬號、服務,進行主機系統必要的安全加固,提升主機系統抗攻擊能力。具體措施為:在HMI、工程師站、歷史站、操作員站等主機系統上部署主機防護系統,并有針對性的進行人工加固服務。
- 安全管理中心: 在港口ICS系統網絡中組建安全管理專網,并建立安全管理中心,整體提高企業的全網的安全風險管理、關聯分析、安全可視化與聯動處置等能力。具體措施為:部署工控安全監管平臺、運維審計系統、日志審計與分析系統、工控漏洞掃描管理系統等產品,實現全網關鍵計算設備、關鍵網絡設備以及關鍵網絡安全設備的運行監控、安全日志收集與分析、安全事件集中處置,全網系統賬戶的統一管理與操作審計等功能。
03安全檢查方案
建立ICS系統定期安全檢查和整改工作機制,每年至少自行開展一次安全檢查,發現問題需制定整改計劃及措施,并將整改情況上報主管單位和集團公司,協助開展網絡安全專項檢查,最終對檢查結果進行通報。
04應急演練方案
建立健全網絡安全運行應急工作機制,當ICS系統內發生變化時,及時組織對應急處置預案進行評估,根據實際情況適時修改并進行演練,形成快速反應、快速處置的能力。確保當ICS系統出現安全事件,尤其是遭到黑客、惡意代碼攻擊和其他人為破壞時,立即向應急響應辦公室、上級主管部門、當地政府相應部門及集團公司報告,同時按應急處理預案采取安全應急措施。處理安全事件過程中應注意保護現場,以便進行調查取證和分析。最后將制定安全防護事件通報制度,將有關安全問題做好記錄。定期向主管部門報送當前系統安全防護情況,并及時上報安全防護過程中出現的異常現象。
05安全服務方案
天地和興專業化的安全服務團隊可為用戶提供安全咨詢、安全評估、運維管理、安全檢查、等保差距分析、安全保障等專業級安全服務,幫助企業解決項目前期調研、評估、規劃、后期安全培訓、運維、應急保障等一系列安全服務內容,提升工業網絡安全專業技能與運維管理能力。
06安全運營方案
安全運營的好壞直接影響ICS系統網絡安全防護體系的防護效能。結合法律法規,通過建立企業安全戰略規劃、安全體系建設、安全監測評估、安全人才培養、業務創新運營服務的各項標準、整合來自人員、流程和技術方面的信息,提供相關的信息和工具,幫助港口企業快速做出決策,實現產品、服務、制度的能力集約化、可視化管理。通過建設運維、安全、應急、運營體系打破產品和服務相互獨立的現狀,將技術和管理全面實行數字化,達成智能化安全運營的目標。
三、總結
本方案以港口企業生產監控系統應用為場景,構建整體工業網絡安全防護方案,包括網絡安全評估方案、網絡安全建設方案、網絡安全服務方案、網絡安全運營方案,落實國家等級保護“一個中心、三重防護”的安全理念與安全架構要求,以解決港口企業監控系統在聯網運行中所面臨的網絡安全建設與運營困擾,系統地為企業提供包括安全服務、安全建設、安全運營在內的工業網絡安全全生命周期解決方案,為業務系統安全運行保駕護航。
]]>早年間,美國聯邦政府花費了巨大精力,在各部門不同網絡安全專家間達成共識,以確定現代計算機和網絡環境中有效的網絡安全控制,形成了20項最重要的持續網絡安全執法控制措施,即共同審計指南。與此同時,美國聯邦政府也鼓勵網絡安全專業人員對該指南進行改編及思考。2009年,美國網絡安全公司MicroSolved發布了其80/20網絡安全法則,旨在為中小型組織提供最實惠的安全控制項目,只需花費通常組織20%的開銷,就能獲得80%的安全效果。隨著網絡安全態勢的快速變化,原有13條安全法則難以適應新的形勢發展。對此,MicroSolved更新了其80/20法則,該最新版本的法則包含:維護完整的當前網絡資產清單、實施全面的配置控制程序、實施全面的安全維護計劃、實施全面的變更控制程序、實施基本的內部威脅建模和風險評估、持續安全評估、實施日志記錄和監視、實施網絡分段、執行和維護書面的網絡安全計劃、實施安全意識和培訓計劃、招聘、培訓和實施事件響應團隊、在網絡上盡可能使用MFA、部署合理的加密技術。
80/20法則又稱帕累托法則、二八定律,由意大利經濟學家維爾弗雷多·帕累托在19世紀末20世紀初發現的。他認為,在任何一組東西中,最重要的只占其中一小部分,約20%,其余80%盡管是多數,卻是次要的,因此又稱二八定律,被廣泛應用于社會學及企業管理學等。該法則認為,原因和結果、投入和產出、努力和報酬之間存在著無法解釋的不平衡,如80%的結論源自20%的起因、80%的產出源自20%的投入、80%的收獲源自20%的努力。該法則說明少量的原因、投入和努力會有大量的收獲、產出或回報,只有幾件事情是重要的,大部分都微不足道。該法則的主要用途是去發現該80/20關系的關鍵原因,如20%的投入就有80%的產出,并在取得最佳業績的同時減少資源損耗。當將該法則應用于網絡安全領域時,又會有什么結果呢?
2009年,由于人們認為《聯邦網絡安全管理法》(FISMA)過于繁瑣,且無法有效保護私人信息的機密性、完整性和可用性,為此美國聯邦政府做出了巨大的努力,在來自各個部門的不同網絡安全專家組之間達成共識,以確定在現代計算和網絡環境中哪些網絡安全控制最有效。這項工作的成果是,發布了20個最重要的持續網絡安全執法控制措施:共識審計指南(Consensus Audit Guidelines)。同時,還激發了組織和網絡安全專業人員對本指南的可能變化和改編的思考,其中之一,就是由美國網絡安全公司MicroSolved發布的80/20網絡安全法則(2009)。
雖然該法則與共識審計指南非常相似,但該80/20法則的重點是建立一組安全控制項目,為沒有聯邦政府或其他大型組織資源的中小型組織提供最“實惠”的安全控制項目。該法則的靈感來自于帕累托原理,當應用于網絡安全控制時,意味著一個組織可以僅花費通常消耗的20%的資源,就可以實現80%的安全結果。
該2009版本的80/20法則包含以下13個安全項目:資產、數據流和信任關系映射;進行基本的風險評估和威脅建模;對所有網絡攻擊面的持續評估;最小化攻擊面;實施出口過濾;實施隔離計算;創建異常檢測功能;定義正式的策略和過程;進行安全意識計劃;加強資產和新系統;招聘、培訓和實施事件響應團隊;識別安全技能差距并培訓員工;部署合理的密碼學。
然而自2009年以來,網絡安全形勢發生了變化,情況有所改變。因此,MicroSolved更新了其80/20法則,以更好地符合當前環境,盡管新版本中許多安全項目仍保持相同。MicroSolved 80/20網絡安全法則(2019)的安全項目列表如下:
1、維護完整的當前網絡資產清單
與以前的80/20法則版本中的第一個項目幾乎相同。研究人員認為清單控制是20大建議中的第一控制措施。完整的清單不僅可以幫助避免遺留未維護的遺留系統的危險,更重要的是,它還可以實現其他重要的安全項目,例如安全維護、配置控制、訪問控制等。
2、實施全面的配置控制程序
為了適當地增強網絡抵抗攻擊能力,必須安全地配置所有網絡資產(軟件/固件應用程序、操作系統和設備)。這應該根據通用的基線配置策略來完成。為了確保正確配置所有網絡資產,需要完整且最新的清單。
3、實施全面的安全維護計劃
安全維護需要監視安全和供應商站點是否存在影響網絡資產的漏洞,然后確保必要時對其進行修補、更新或替換。有必要將此過程與庫存控制聯系起來,以確保包括所有資產。
4、實施全面的變更控制程序
安全漏洞通常是由于對網絡安全設置未進行維護或進行考慮不周的更改而引起的。例如,將與內部網絡的直接連接授予第三方,以允許進行必要的工作,但是在完成工作后不會將其刪除。攻擊者經常使用這種攻擊載體來獲得專用網絡的訪問權限。變更應完全記錄在案,并應計劃還原到以前的狀態,以防出現無法預料的問題。如前所述,變更控制過程應與庫存控制、配置控制和安全維護聯系相聯系。人員和流程之間的這種通信對于防止可能導致安全錯誤的混亂是必要的。
5、實施基本的內部威脅建模和風險評估
基本的威脅建模和風險評估不必是一個復雜或耗時的過程。在對網絡進行重大更改或添加時,只需考慮攻擊者可能會對這些更改(可能的漏洞)進行不利操作(威脅)的方式,以及這種操作可能對業務造成的影響(風險)。在具有代表性的技術、安全、法律和管理人員中使用此簡單過程將提高風險確定的準確性。
6、持續安全評估
外部網絡和內部網絡的漏洞評估可以由內部或第三方服務提供商執行。建議使用這些評估,因為它們可能會暴露由于錯誤或惡意意圖而潛入網絡的漏洞。自定義編碼的軟件應用程序的安全性評估可能會使漏洞暴露于跨站點腳本之類的情況。其他可能使組織受益的安全評估包括滲透測試和網絡工程測試,例如網絡釣魚測試。
7、實施日志記錄和監視
實施此項目需要打開網絡上所有支持該功能的系統的日志記錄。建議使用工具匯總日志和進行基本日志分析。記錄和監視應連續進行。應指派有能力的員工來監視、調查和增強自動化和第三方安全監視結果。
8、實施網絡分段
實施此項目需要在邏輯上或物理上對網絡進行分段。正確的網絡分段可以幫助阻止獲得非法內部訪問權限的攻擊者在網絡上橫向移動,并將其特權提升到域管理員級別。至少應將“用戶空間”與“服務器空間”分開。
9、執行和維護書面的網絡安全計劃
書面的網絡安全策略和程序對于任何有效的網絡安全計劃都是必需的。沒有他們,組織人員將永遠無法確保他們正確地協調自己的工作,而且只有在將它們無縫集成在一起的情況下,網絡安全計劃才真正有效。此外,書面安全和操作程序對于業務連續性/災難恢復至關重要。
10、實施安全意識和培訓計劃
僅擁有良好的書面政策和程序文件還不夠。組織人員還必須了解這些政策及其執行這些政策的責任。此外,組織人員可以是安全資產也可以是安全缺陷。培訓和意識是確保它們成為安全資產的關鍵。除安全培訓外,還應向人員提供安全提醒和更新。另外,應該為從事高風險工作的人員(例如網絡管理,服務臺等)提供安全技能差距培訓。
11、招聘、培訓和實施事件響應團隊
實施此控制措施需要制定事件響應策略和方法,招募事件響應團隊,并練習執行任務所需的技能。沒有完美的安全。任何組織都可能遭受安全事件。事件響應程序可以極大地減少安全事件的負面影響,例如數據泄露對組織及其客戶的影響。
12、在網絡上盡可能使用MFA
使用有效的多因素身份驗證(MFA)來訪問網絡資產可以解決許多安全隱患。實施該項目確實需要花費大量的時間,因為用戶和客戶總是會認為獲得訪問權會帶來額外麻煩。至少,應該對系統進行高風險訪問使用MFA,例如管理、遠程或無線訪問。
13、部署合理的加密技術
加密數據以進行傳輸和存儲可最大程度地減少使用敏感或私有信息所固有的風險。這個項目并不容易全面實施,但是如果正確完成,可以幫助挫敗那些成功訪問私有系統的攻擊者。密碼學的警告是,隨著項目的成熟,還必須實施安全密鑰管理。如果沒有正確的制作、注銷和保護這些密鑰,則加密實際上可能成為一種負擔而不是資產。
關于MicroSolved
MicroSolved是一家專注于提供最有效、合理和全面的網絡安全產品和服務的小型公司。該公司總部位于美國,成立超過25年來,幫助客戶保護自己的數字資產并安全地開展業務。該公司在保護知識產權、金融系統、零售環境和大小企業方面具有世界一流的經驗。MicroSolved的企業經驗從小型關鍵基礎設施組織到財富500強企業,其重點是制造業、工業控制、高科技、快餐銷售以及負責保護一些最重要研究的科學/智庫團隊。
]]>
相較32家領軍企業及22家潛力企業,競爭者點陣圖共有企業46家,在百強中數量最多,是目前網絡安全市場的中堅力量。該領域企業為近年來在各自安全細分領域上升趨勢較快,以及在各自細分領域表現突出或至少五年以上行業資源和技術經驗積累,展現出了向領軍企業發展的勢頭和實力。尤其是位于點陣圖右半區域的企業,是沖擊科創板和創業板的有生力量代表。
在企業評價指標中,以綜合影響力、市場執行力、技術與創新力三大維度力圖清晰客觀反映國內網絡安全企業的真實狀況,為國家主管部門、研究機構、行業用戶,以及廣大網絡安全企業及相關從業者提供有價值的參考。
- 綜合影響力包括:業界知名度、友商口碑、是否上市公司、融資規模、企業人員規模、媒體曝光率、出席業內會議次數、安保工作參與度、企業估值、標準政策制定參與度等。
- 市場執行力包括:年收入規模、收入增長率、客戶數量與規模、行業與區域分布、用戶口碑、產品化能力、產品線豐富度、產品成熟度、產品迭代頻率、證書資質數量等。
- 技術與創新力包括:重大攻防演練或比賽活動成果、第三方調研報告入選頻率及位置、知識產權及專利數量、技術人員比例、技術討論會演講受歡迎度、技術文章輸出數量、新技術/新產品跟蹤能力、有無攻防實驗室、定位是否差異化、技術前瞻力等。
實力領航,天地和興全方位守護工業網絡安全
北京天地和興科技有限公司(簡稱天地和興)成立于2007年,是國內較早從事工業網絡安全的專業廠商。公司總部位于北京,在全國設有10多個分支機構。用戶遍布全國29個省級行政區,覆蓋電力、石油石化、軌道交通、智能制造、鋼鐵冶金等多個國家關鍵信息基礎設施行業。
天地和興高度重視研發投入和核心能力建設,打造“天墀”、“地盾”、“和睿”、“興邦”等覆蓋資產管控、隔離防護、威脅檢測、終端防護類的安全產品,培育安全風險管理、滲透測試、攻防演練、安全培訓、安全測評、應急響應等全方位的專業服務能力,已成為關鍵信息基礎設施部分行業體系化工業網絡安全建設的主要賦能方。
天地和興直面“新基建”網絡安全挑戰,準確把握工業網絡安全的數字基礎設施特征,堅持同步規劃、同步建設、同步運行,堅持體系對抗和能力導向,超前布局工業控制系統安全、工業互聯網安全、工業物聯網安全、車聯網安全、工業云平臺安全、工業網絡系統安全集成、工業網絡安全教育實訓和工業網絡安全服務輸出八大安全能力提升工程。目前已覆蓋工業網絡業務流程保障、關鍵資產管控、威脅情報共享、安全威脅檢測、安全態勢分析、安全威脅預警、協同響應處置、追蹤溯源反制,形成了體系化的產品、技術和服務領先優勢,具備工業網絡安全行業領航者的潛質和特色。
立足當下,天地和興著力構建“產、學、研、用”協作平臺,聚焦工業網絡安全重點新興技術,組建工業網絡安全研究院,依托浙江大學、華北電力大學等重點高校開展校企深度合作,共建多個工業網絡安全聯合實驗室。
天地和興先后為進博會、上合峰會、**、數字中國建設峰會等重大社會活動提供網絡安全保障服務。作為“CNCERT網絡安全應急服務支撐單位”、“國家信息安全漏洞庫(CNNVD)技術支撐單位”、“工業信息安全應急服務支撐單位”,高標準高質量履職盡責,為我國工業網絡安全建設也做出積極貢獻。
“打造可信控制環境,助力網絡強國戰略”是天地和興始終如一的追求。面向未來,天地和興將致力與用戶建立新型伙伴關系,賦能用戶構筑全面覆蓋、深度結合的工業網絡安全防御體系,有效達成安全價值,滿足數字化轉型和持續創新發展的全方位需求,實現與用戶、投資方、合作伙伴以及企業的共同成長與飛躍。
]]>天地和興總結梳理的上半年工業企業10起典型攻擊事件中,有7起是勒索攻擊。2月,勒索攻擊殃及美國天然氣管道公司,CISA未透露勒索軟件名稱。勒索軟件Nefilim攻擊澳大利亞Toll集團;3月,勒索軟件Ryuk攻擊鋼鐵制造商EVRAZ公司及其北美分支機構,包括加拿大和美國的鋼鐵生產廠;4月,Ragnar Locker勒索軟件襲擊了葡萄牙跨國能源公司EDP(Energias de Portugal),并且索要1580個比特幣贖金(折合約1090萬美元/990萬歐元);5月,勒索軟件Nefilim襲擊了臺灣石油、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司(FPCC)。另有未透露名稱的勒索軟件攻擊了瑞士鐵路機車制造商Stadler;6月,勒索軟件EKANS/Snake攻擊了本田汽車制造商。
天地和興工業網絡安全研究院對所監測到的眾多勒索軟件攻擊事件進行梳理,注意到勒索攻擊的目標正向石油、天燃氣、能源、制造等關鍵基礎設施行業發展。本文篩選10個典型的、比較活躍的勒索軟件,通過簡要分析其攻擊的目標、路徑、手段及主要特征,以此警示關鍵信息基礎設施利益相關方,警鐘常鳴,防患未然。
典型勒索軟件
1、勒索軟件Maze
Maze勒索軟件是ChaCha的一個變種,最早出現于2019年5月。最初,Maze是使用如Fallout EK和Spelevo EK之類的漏洞利用工具包通過網站進行傳播,該工具包利用Flash Player漏洞。后續Maze勒索軟件增加了利用Windows VBScript Engine遠程代碼執行漏洞等能力。
Maze(迷宮)通過大量混淆代碼來對抗靜態分析,使用ChaCha20和RSA兩種算法加密文件,被加密的文檔在未得到密鑰時暫無法解密。加密完成后對文件添加隨機擴展后綴,并留下名為DECRYPT-FILES.html的勒索說明文檔,并修改桌面壁紙。值得一提的是,該病毒聲稱,解密贖金額度取決于被感染電腦的重要程度,包括個人電腦、辦公電腦、服務器,這意味著高價值目標受攻擊后解密付出的代價也會相應的更高。
2、勒索軟件Ryuk
Ryuk勒索病毒最早于2018年8月被首次發現,它是由俄羅斯黑客團伙GrimSpider幕后操作運營。GrimSpider是一個網絡犯罪集團,使用Ryuk勒索軟件對大型企業及組織進行針對性攻擊。Ryuk勒索軟件主要是通過網絡攻擊手段利用其他惡意軟件如Emotet或TrickBot等銀行木馬進行傳播,因為TrickBot銀行木馬傳播渠道的運營者是俄羅斯黑客團伙WIZARD SPIDER,GRIM SPIDER是俄羅斯黑客團伙WIZARD SPIDER的部門之一。Emotet和TrickBot銀行木馬主要用于盜取受害者銀行網站登錄憑據,同時充當下載器功能,提供下載其它勒索病毒服務。這款勒索病在國外比較流行,主要針對一些大型企業進行定向攻擊勒索。Ryuk特別狡詐的一個功能是可以禁用被感染電腦上的Windows系統還原Windows System Restore選項,令受害者更難以在不支付贖金的情況下找回被加密的數據。鑒于攻擊者針對的是高價值受害者,贖金目標也轉為大型企業。
安全分析師認為,Ryuk源代碼很大程度上出自朝鮮Lazarus黑客團伙的Hermes惡意軟件。但這并不表明Ryuk攻擊本身是朝鮮發起的,邁克菲認為其代碼基礎由俄語區供應商提供,因為該勒索軟件不會在系統語言設置為俄語、白俄羅斯語和烏克蘭語的計算機上執行。
3、勒索軟件Sodinokibi/ REvil
Sodinokibi勒索病毒(也稱REvil),2019年5月24日首次在意大利被發現。在意大利被發現使用RDP攻擊的方式進行傳播感染,這款病毒被稱為GandCrab勒索病毒的接班人,在短短幾個月的時間內,已經在全球大范圍傳播,這款勒索病毒與GandCrab勒索軟件存在很多關聯,Sodinokibi勒索病毒是一種勒索即服務(RAAS)的模式進行分發和營銷的,并采用了一些免殺技術避免安全軟件檢測。主要通過Oracle WebLogic漏洞、Flash UAF漏洞、網絡釣魚郵件、RDP端口、漏洞利用工具包以及攻擊一些托管服務提供商MSP等方式發起攻擊,這款勒索病毒最新的版本為2.2,增加了自啟動注冊表項等,同時還發現一批最新的采用PowerShell腳本進行無文件攻擊的變種樣本。
該勒索軟件最特別的一點就是,不僅告訴人們“不付贖金就拿不回數據”,還會威脅稱“將在網上公開或在地下論壇競拍這些機密數據”。這種新的勒索方式將此商業模式推升到了新的高度。高針對性、強定制化的勒索軟件新時代似乎正走向危險新深淵。
4、勒索軟件DoppelPaymer
DoppelPaymer代表了勒索軟件攻擊的新趨勢—勒索文件加密和數據竊取雙管齊下。根據安全研究人員的說法,此類惡意軟件首先會竊取數據,然后向受害者發送贖金勒索消息,而不是像傳統勒索軟件一樣就地加密鎖死數據。2019年中期以來一直活躍,今年3月美國精密零件制造商Visser遭此勒索軟件攻擊,意外泄漏特斯拉、波音、SpaceX等公司有關的敏感文件。DoppelPaymer 勒索軟件最早于2019年6月被發現,主要通過RDP暴力破解和垃圾郵件進行傳播,郵件附件中帶有一個自解壓文件,運行后釋放勒索軟件程序并執行。公開資料顯示,DoppelPaymer是BitPaymer 勒索軟件的一類新變種。DoppelPaymer至少有8種變體,它們逐漸擴展各自的特征集。
自解壓文件運行后在%Users%目錄下創建gratemin文件夾,釋放名為p1q135no. exe的勒索軟件程序并執行,加密文件后,在原文件名后追加名為“.locked”的后綴,并在每個被加密文件的目錄中創建名為原文件名后追加“.readme2unlock.txt”格式的勒索信,勒索信中包含勒索說明、TOR下載地址、支付地址、DATA 數據信息和郵箱聯系方式等。DoppelPaymer勒索軟件變種使用“RSA+AES”算法加密文件,利用多線程快速加密文件,使用命令ARP–A以解析受害系統的地址解析協議(ARP)表,具體操作為刪除卷影副本、禁用修復、刪除本地計算機的備份目錄等。目前被加密的文件在未得到密鑰前暫時無法解密。
5、勒索軟件NetWalker
NetWalker(又名Mailto)勒索軟件最早于2019年8月首次發現,Mailto是基于加密文件名格式的勒索軟件的名稱,Netwalker是基于勒索軟件的勒索信內容給出的名稱,目前針對的目標是企業和政府機構,近期開始活躍。Netwalker活動背后的攻擊者使用常見的實用程序、開發后工具包和living-off-The-land,LOTL策略來探索一個受到破壞的環境,并盡可能多地獲取數據。這些工具可以包括mimikatz(及其變體)、各種PSTools、AnyDesk、TeamViewer、NLBrute等。勒索軟件利用PowerShell編寫,直接在內存中執行,沒有將實際的勒索軟件二進制文件存儲到磁盤中。惡意軟件利用了反射動態鏈接庫(DLL)注入的技術,也稱reflective DLL加載,可以從內存注入DLL,不需要實際DLL文件,也不需要任何Windows加載程序即可注入。這讓此勒索病毒成為了無檔案病毒(fileless malware),能夠保持持續性,并利用系統內的工具來進行攻擊而不被偵測到和殺軟查殺。
在加密完成后,進程退出前最后會彈出勒索信,勒索提示信息文件[加密后綴]-Readme.txt,加密后的文件后綴名為隨機字符串。
6、勒索軟件CLOP
Clop勒索軟件于2019年2月出現在公眾視野中,Clop背后團隊的主要目標是加密企業的文件,收到贖金后再發送解密器。目前Clop仍處于快速發展階段。該惡意軟件暫無有效的解密工具,致受害企業大量數據被加密而損失嚴重。
與其他勒索病毒不同的是,Clop勒索軟件部分情況下攜帶了有效的數字簽名,數字簽名濫用和冒用在以往情況下多數發生在流氓軟件和竊密類木馬程序中。勒索軟件攜帶有效簽名的情況極為少見,這意味著該軟件在部分攔截場景下更容易獲取到安全軟件的信任,進而感染成功,造成無法逆轉的損失。
Clop勒索軟件通過多種途徑感染受害者的計算機設備。主感染文件會利用隨機腳本提取惡意可執行文件,惡意Java腳本被設置為通過誘使受害者訪問或被重定向至惡意站點將惡意可執行文件下載并安裝至受害者計算機上。另一種分發傳播Clop勒索軟件的途徑是利用插入到文檔中的惡意宏代碼。這些文檔常以垃圾郵件附件的形式發送給受害者。
此惡意軟件旨在通過附加“.Clop ”擴展名來加密受害計算機上的數據并重命名每個文件。例如,“sample.jpg”被重命名為“sample.jpg.Clop”。成功加密后,Clop會生成一個文本文件“ClopReadMe.txt”并在每個現有文件夾中放置一個副本,文本文件包含贖金通知消息。
7、勒索軟件EKANS
EKANS勒索軟件(也稱Snake),于2020年1月首次被發現,是一種新的勒索軟件,專門針對工業控制系統。EKANS代碼中包含一系列特定用于工業控制系統功能相關的命令與過程,可導致與工業控制操作相關的諸多流程應用程序停滯。EKANS勒索軟件是用Golang編寫的,將整個網絡作為目標,并且存在大量混淆。其中,包含了一種常規混淆,這種混淆在以前并不常見,通常是與目標方法結合使用。
EKANS在執行時會刪除計算機的卷影副本,還會停止與SCADA系統、虛擬機、工業控制系統、遠程管理工具、網絡管理軟件等相關的眾多進程。然后,EKANS還會加密系統上的文件,從而跳過Windows系統文件和文件夾。在文件擴展名后面還會附加一個勒索5字符字符串(即名為invoice.doc的文件被加密并重命名為invoice.docIksrt)。該惡意軟件在每個加密文件后附加了“EKANS”文件標記。加密過程完成后,勒索軟件將在C:\Users\Public\Desktop文件夾中創建一個勒索記錄(名為“Fix Your Files.txt”),其中包含要聯系以接收付款指示的電子郵件地址。EKANS目前的主要感染媒介似乎是釣魚附件。
8、勒索軟件Nefilim
Nefilim出現于2020年3月,可能是通過公開的RDP(遠程桌面服務)進行分發。Nefilim與Nemty共享許多相同的代碼,主要的不同之處在于,Nefilim移除了勒索軟件即服務(RaaS)的組件,依靠電子郵件進行支付,而不是Tor支付網站。Nefilim使用AES-128加密文件,每個加密的文件都將附加.NEFILIM擴展名,加密完成后,調用cmd命令進行自我刪除。釋放的勒索信中包含不同的聯系電子郵件,并且威脅如果在7天內未支付贖金,將會泄漏數據。
從技術上講,Nefilim目前主要的傳播方法是利用易受攻擊的RDP服務。一旦攻擊者通過RDP進入了網絡,他們就會繼續建立持久化,在可能的情況下查找和竊取其他憑證,然后將勒索軟件的payload傳播給潛在目標。
9、勒索軟件Ragnar Locker
RagnarLocker勒索軟件在2019年12月底首次出現,是一種新的勒索軟件,將惡意軟件部署為虛擬機(VM),以逃避傳統防御。勒索軟件的代碼較小,在刪除其自定義加殼程序后僅有48KB,并且使用高級編程語言(C/C++)進行編碼。
RagnarLocke是使用GPO任務執行Microsoft Installer(msiexec.exe),傳遞參數從遠程Web服務器下載并以靜默方式安裝制作的122 MB未經簽名的MSI軟件包。MSI軟件包包含一個Oracle VirtualBox虛擬機管理程序和一個名為micro.vdi的虛擬磁盤映像文件(VDI),該文件是Windows XP SP3操作系統的精簡版本映像。由于vrun.exe勒索軟件應用程序在虛擬客戶機內部運行,因此其過程和行為可以不受阻礙地運行,物理主機上的安全軟件是無能為力的。
RagnarLocker在選擇受害者時是很有選擇性的。目標往往是公司,而不是個人用戶。該惡意軟件的目標是對可以加密的所有文件進行加密,并提出勒索,要求用戶支付贖金以進行解密。
10、勒索軟件PonyFinal
一種新型的人工勒索軟件“PonyFinal”,通過手動啟動有效載荷來部署攻擊。它對目標公司的系統管理服務器使用“暴力手段”,無需依靠誘騙用戶通過網絡釣魚鏈接或電子郵件來啟動有效負載。主要針對在COVID-19危機中的醫療衛生機構。
PonyFinal的入侵點通常是公司系統管理服務器上的一個賬戶,PonyFinal的黑客們使用猜測弱密碼的暴力攻擊來攻擊該帳戶。一旦黑客進入內部系統后,他們會部署Visual Basic腳本,該腳本會運行PowerShell反向外殼程序以轉儲和竊取本地數據。
此外,PonyFinal勒索軟件還會部署遠程操縱器系統以繞過事件日志記錄。一旦PonyFinal的黑客們牢牢地掌握了目標網絡,他們便會傳播到其他本地系統并部署實際的PonyFinal勒索軟件。PonyFinal是用Java語言編寫的,攻擊者還會將目標鎖定在安裝了Java Runtime Environment(JRE)的工作站上。攻擊者使用從系統管理服務器竊取的信息來鎖定已安裝JRE的端點。勒索軟件是通過包含兩個批處理文件的MSI文件交付的,其中包括將由攻擊者激活的有效負載。通常會在每個加密文件的末尾會被添加一個“.enc”文件擴展名。而贖金記錄通常名為README_files.txt,會包含贖金付款說明的簡單文本文件。
2020上半年典型勒索軟件一覽表 |
|||||||||
序號 |
勒索軟件 名稱 |
首次發現 時間 |
所屬家族 |
編寫語言 |
攻擊方式 |
攻擊目標 |
幕后運營者 |
攻擊事件 |
備注 |
1 |
MAZE |
2019年5月29日 |
ChaCha |
極其復雜的代碼,反逆向 |
利用漏洞、網絡釣魚、RDP |
技術提供商和公共服務(政府機構、教育、衛生) |
屬于俄羅斯聯邦的所有C2域 |
4月1日,石油公司 Berkine 遭受勒索攻擊 |
數據泄露 |
2 |
Ryuk |
2018年8月 |
Hermes |
未知 |
通過垃圾郵件傳播Emotet銀行木馬 |
大型工控企業、組織、機構等 |
俄羅斯黑客團伙GrimSpider |
3月鋼鐵制造商EVRAZ遭受勒索攻擊 |
導致大多數工廠都已停止生產 |
3 |
Sodinokibi/REvil |
2019年5月24日 |
GandCrab |
未知 |
通過 RDP爆破進行傳播、社會工程 |
MSP和其他組織(例如地方政府) |
未知 |
巴西電力公司Light S.A.遭受勒索攻擊 |
Salsa20流密碼加密;索要1400萬美元贖金 |
4 |
DoppelPaymer |
2019 年 6 月 |
BitPaymer |
未知 |
RDP、惡意附件、漏洞利用等 |
大型企業、組織 |
朝鮮 |
3月美國精密零件制造商Visser遭此勒索攻擊 |
數據泄露 |
5 |
NetWalker |
2019年8月 |
NEMTY |
PowerShell |
無文件勒索軟件 |
醫療和教育機構 |
未知 |
6月,美國醫療系統Crozer-Keystone最近遭受勒索攻擊 |
因未支付比特幣贖金,其數據在暗網上被拍賣 |
6 |
CLOP |
2019年2月 |
CryptoMix |
未知 |
以垃圾郵件附件的形式 |
大型企業 |
未知 |
3月美國生物制藥公司ExecuPharm遭受勒索攻擊 |
數據泄露 |
7 |
EKANS/SNAKE |
2020年1月 |
未知 |
Golang |
利用釣魚附件 |
針對工業控制系統環境 |
未知 |
6月本田汽車Honda遭受勒索攻擊 |
造成部分工廠停工,損失十分嚴重 |
8 |
Nefilim |
2020年3月 |
未知 |
未知 |
利用RDP服務 |
企業、組織等 |
未知 |
5月臺灣石油、汽油和天然氣公司CPC公司及其競爭對手臺塑石化公司(FPCC)遭受勒索攻擊 |
導致服務中斷,其IT和計算機系統關閉 |
9 |
RagnarLocker |
2019年12月 |
未知 |
C/C++ |
惡意軟件部署為虛擬機(VM) |
針對托管服務提供商的常用軟件 |
未知 |
4月葡萄牙跨國能源公司EDP遭受攻擊 |
索要1580的比特幣贖金(折合約1090萬美元) |
10 |
PonyFinal |
2020年4月 |
未知 |
Java |
人為操縱,使用暴力攻擊 |
醫療衛生、教育 |
未知 |
4月美國最大ATM 供應商 Diebold Nixdorf遭受勒索攻擊 |
未支付贖金 |
思考及建議
2020年,熱度飆升的勒索軟件已經成為與APT并列的最危險的網絡安全威脅。針對性、復雜化和高傷害成本是2020年勒索軟件加速“進化”的三大特征。勒索軟件不僅數量增幅快,而且危害日益嚴重,特別是針對關鍵基礎設施和重要信息系統的勒索攻擊,影響更為廣泛。被勒索機構既有巨額經濟損失,又有數據無法恢復甚至被惡意泄露的風險,雙重勒索的陰影揮之不去。勒索攻擊的危害遠不止贖金造成的經濟損失,更嚴重的是會給企業和組織機構帶來額外的復雜性,造成數據損毀或遺失、生產力破壞、正常業務中斷、企業聲譽損害等多方面的損失。比如3月初,美國精密零件制造商Visser Precision遭受勒索軟件DoppelPayment攻擊,攻擊者入侵了Visser的電腦對其文件進行加密,并要求Visser在3月底支付贖金,否則將把機密文件內容公開到網絡上。由于沒有收到勒索款項,DoppelPaymer在網上公開了關于SpaceX、Lockheed-Martin、特斯拉、波音等公司的機密信息,被泄露的資訊包括Lockheed-Martin設計的軍事裝備的細節,比如反迫擊炮防御系統中的天線規格、賬單和付款表格、供應商資訊、數據分析報告以及法律文書等。此外,Visser與特斯拉 SpaceX之間的保密協議也在泄露文件中。
毫無疑問,勒索軟件攻擊在今后很長一段時間內仍然是政府、企業、個人共同面對的主要安全威脅。勒索軟件的攻擊方式隨著新技術的應用發展不斷變化,有針對性的勒索軟件事件給不同行業和地區的企業帶來了破壞性攻擊威脅,勒索攻擊產業化、場景多樣化、平臺多元化的特征會更加突出。在工業企業場景中,勒索軟件慣用的攻擊向量主要是弱口令、被盜憑據、RDP服務、USB設備、釣魚郵件等,有效防范勒索軟件攻擊,仍需要針對性做好基礎防御工作,構建和擴張深度防御,從而保障企業數據安全,促進業務良性發展。
1、強化端點防護
及時加固終端、服務器,所有服務器、終端應強行實施復雜口令策略,杜絕弱口令;安裝殺毒軟件、終端安全管理軟件并及時更新病毒庫;及時安裝漏洞補丁;服務器開啟關鍵日志收集功能,為安全事件的追溯提供基礎。
2、關閉不需要的端口和服務
嚴格控制端口管理,盡量關閉不必要的文件共享權限以及關閉不必要的端口(RDP服務的3389端口),同時使用適用的防惡意代碼軟件進行安全防護。
3、采用多因素認證
利用被盜的員工憑據來進入網絡并分發勒索軟件是一種常見的攻擊方式。這些憑據通常是通過網絡釣魚收集的,或者是從過去的入侵活動中獲取的。為了減少攻擊的可能性,務必在所有技術解決方案中采用多因素身份驗證(MFA)。
4、全面強化資產細粒度訪問
增強資產可見性,細化資產訪問控制。員工、合作伙伴和客戶均遵循身份和訪問管理為中心。合理劃分安全域,采取必要的微隔離。落實好最小權限原則。
5、深入掌控威脅態勢
持續加強威脅監測和檢測能力,依托資產可見能力、威脅情報共享和態勢感知能力,形成有效的威脅早發現、早隔離、早處置的機制。
6、制定業務連續性計劃
強化業務數據備份,對業務系統及數據進行及時備份,并驗證備份系統及備份數據的可用性;建立安全災備預案。同時,做好備份系統與主系統的安全隔離,避免主系統和備份系統同時被攻擊,影響業務連續性。業務連續性和災難恢復(BCDR)解決方案應成為在發生攻擊時維持運營的策略的一部分。
7、加強安全意識培訓和教育
員工安全意識淡漠,是一個重要問題。必須經常提供網絡安全培訓,以確保員工可以發現并避免潛在的網絡釣魚電子郵件,這是勒索軟件的主要入口之一。將該培訓與網絡釣魚演練結合使用,以掌握員工的脆弱點。確定最脆弱的員工,并為他們提供更多的支持或安全措施,以降低風險。
8、定期檢查
每三到六個月對網絡衛生習慣、威脅狀況、業務連續性計劃以及關鍵資產訪問日志進行一次審核。通過這些措施不斷改善安全計劃。及時了解風險,主動防御勒索軟件攻擊并減輕其影響。
此外,無論是企業還是個人受害者,都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為,而且解密的過程還可能會帶來新的安全風險。
]]>今年2月,美國網絡安全和基礎設施安全局(CISA)公告稱,一家未公開名字的天然氣公司因遭受勒索軟件攻擊后被迫關閉設施兩天。4月24日至25日兩天,以色列的供水命令和控制系統遭受攻擊,5月9日,伊朗在位于霍爾木茲海峽附近的重要港口朗沙希德·拉賈伊也遭受“高度精準”網絡攻擊,致使該港口發生嚴重混亂。在冠狀病毒大流行期間,有10多個醫療機構遭受了以冠狀病毒為主題的網絡攻擊。美國CISA發布通告警醒,跡象表明,高持續威脅(APT)團體正在利用COVD-19大流行實施更加廣泛的網絡攻擊。各種玩家粉墨登場。
天地和興對所監測到的工業領域的網絡安全事件進行梳理,篩選10起比較典型的攻擊事件,代表典型的行業、典型的手段,以此警示關鍵信息基礎設施相關利益方,警鐘常鳴,防患未然。
1、美國天然氣管道遭受勒索軟件攻擊
2月,美國網絡安全和基礎設施安全局(CISA)發布公告,稱一家未公開名字的天然氣公司因遭受勒索軟件攻擊后被迫關閉設施兩天。
攻擊從釣魚郵件內的惡意鏈接發起,從其IT網絡滲透到OT網絡, 勒索軟件對IT和OT資產都造成了影響。攻擊發生在該公司的天然氣壓縮設施,沒有擴散到控制壓縮設備的可編程邏輯控制器,因此該公司沒有失去對執行部件的控制權。
根據CISA報告中提供的有限細節,攻擊者最初使用包含惡意鏈接的魚叉式網絡釣魚郵件攻擊未公開名字的美國天然氣管道運營商。安全意識不足的運維人員訪問鏈接后使得身份不明的攻擊者能夠訪問企業的IT網絡,隨后以IT網絡為跳板攻擊到OT網絡的ICS資產。
為了排查問題并恢復運營,工作人員關閉了壓縮設施兩天,盡管勒索病毒僅直接鎖定了一個控制設備的網絡數據,但由于天然氣傳輸對管道的依賴性,一個控制設備的停擺最終導致這家企業關閉運營持續了兩天時間。而作為下游能源供應商,受天然氣供應關閉影響的上游企業雖未公布,但波及范圍可想而知。
2、澳大利亞一航運及物流公司持續遭受勒索軟件攻擊
2月,澳大利亞一航運及物流公司遭到勒索軟件攻擊,隨后該公司便清理服務器,防止數據被盜。據悉,該公司四個月內已遭受二次勒索軟件攻擊。
經調查發現,被攻擊系統中存在Nefilim勒索軟件(由Nemty演變而來的新一代勒索軟件),該勒索軟件會利用暴露在外的遠端桌面(RDP)連接端口進行傳播,并使用AES-128算法來加加密文件。在盜走企業資料后,不法分子會以公布機密資料作為理由來勒索企業。
3、鋼鐵制造商遭受勒索軟件攻擊
3月,一家鋼鐵制造商在北美分支機構,包括加拿大和美國的鋼鐵生產廠均遭受了勒索軟件Ryuk攻擊,導致其在北美的分支機構癱瘓,大多數工廠都已停止生產。該公司是全球最大的跨國垂直整合煉鋼和采礦公司之一,主要在俄羅斯運營,但在烏克蘭、哈薩克斯坦、意大利、捷克共和國、美國、加拿大和南非也有業務。
4、以色列水利基礎設施遭受重大網絡攻擊
4月,黑客攻擊了以色列的水利設施。該國的廢水處理廠、泵站、污水處理設施的SCADA系統多次遭受了網絡攻擊,以色列國家網絡局發布公告稱,各能源和水行業企業需要緊急更改所有聯網系統的口令,以應對網絡攻擊的威脅。以色列計算機緊急響應團隊(CERT)和以色列政府水利局也發布了類似的安全警告,水利局告知企業“重點更改運營系統和液氯控制設備”的口令,因為這兩類系統遭受的攻擊最多。
5、歐洲能源巨頭遭勒索軟件攻擊
4月,葡萄牙一跨國能源公司遭到勒索軟件攻擊。攻擊者聲稱,已獲取該公司10TB的敏感數據文件,并且索要1580的比特幣贖金(折合約1090萬美元/990萬歐元)。
在反病毒系統檢測到勒索軟件后,該公司內部IT網絡出現中斷。為了預防起見,暫時隔離了公司網絡,以便實施可消除殘余風險的所有干預措施。這些連接已在第二天清晨安全恢復。電力資產和發電廠的遠程控制系統沒有發生重大問題,客戶數據也沒有暴露給第三方。由于內部IT網絡暫時堵塞,客戶服務活動可能會在有限的時間內暫時中斷。
6、伊朗霍爾木茲海峽的重要港口遭受網絡攻擊
5月9日,伊朗霍爾木茲海峽的重要港口沙希德·拉賈伊遭遇網絡攻擊。調節船只、卡車、貨物流通的計算機系統一度崩潰,致使該港口水路和道路運行發生嚴重混亂。
伊朗港口和海事組織總干事穆罕默德·拉斯塔德也就此事表示:不明身份的外國黑客令其港口計算機發生短暫性“停工”。但表示,網絡攻擊并沒有滲透到核心計算機。據《以色列時報》報道,5月9日通往沙希德·拉賈伊港的高速公路上出現了長達數公里的交通擁堵,甚至一連幾天,大量船只仍無法入港進行卸載。
7、臺灣兩大煉油廠遭受勒索軟件攻擊
5月,臺灣兩大煉油廠在兩天內都受到了網絡攻擊。
一家公司首先受到攻擊,而另一家在第二天也遭受攻擊。5月4日,對前者的攻擊使其IT和計算機系統關閉,加油站無法訪問用于管理收入記錄的數字平臺。
盡管仍接受信用卡和現金,但客戶無法在加油站使用VIP支付卡或電子支付應用程序。其中一家公司高管聲稱,破壞是由勒索軟件引起的。
8、瑞士鐵路機車制造商遭勒索攻擊
5月,瑞士一鐵路機車制造商對外披露,其近期遭受了網絡攻擊,攻擊者設法滲透其IT網絡,并用惡意軟件感染了部分計算機,很可能已經竊取到部分數據。未知攻擊者試圖勒索該公司巨額贖金,否則將會公開所盜取的數據。
該公司聲稱已針對該事件展開調查,并拒絕支付贖金,通過重新啟動受影響系統,運行備份系統恢復運營。
9、汽車制造商遭受勒索軟件Snake攻擊
6月7日,某汽車制造商位于美國、歐洲及日本分公司的服務器,遭勒索軟件攻擊。BBC的報道顯示該公司過去48小時遭遇了極為慘烈的勒索軟件攻擊:勒索軟件已經傳播到其整個網絡,影響了該公司的計算機服務器、電子郵件以及其他內網功能,目前企業正在努力將影響降到最低,并恢復生產、銷售和開發活動的全部功能。
該攻擊事件影響了公司在全球的業務,導致電腦和其他裝置無法作業,造成部分工廠停工,損失十分嚴重。
10、阿塞拜疆政府和能源部門遭受黑客攻擊
思科Talos威脅情報和研究小組的報告顯示,已經發現有針對阿塞拜疆能源領域的威脅攻擊,特別是與風力渦輪機相關的SCADA系統。
這些攻擊針對的目標是阿塞拜疆政府和公用事業公司,惡意代碼旨在感染廣泛用于能源和制造業的監督控制和數據采集(SCADA)系統,在這些攻擊中使用的新的基于Python的遠程訪問木馬(RAT),稱其為惡意軟件PoetRAT。一旦它被投送到設備并執行,其操作員就可以指示它列出文件,獲取有關系統的信息、下載和上傳文件、截屏、復制和移動文件、在注冊表中進行更改、隱藏和取消隱藏文件、查看和終止進程,以及執行操作系統命令。
除PoetRAT之外,攻擊者還被發現將其他工具傳送到被入侵的系統中,包括那些通過電子郵件或FTP竊取數據的工具,通過他們的網絡攝像頭記錄受害者、記錄鍵盤點擊、從瀏覽器中竊取憑證、以及升級特權。
目前尚不清楚有多少次攻擊成功。
僅僅過去半年,年初關于工業網絡安全的種種預測正在逐步變為現實。網絡空間威脅行為體仍然會將關鍵基礎設施、非PC目標、SCADA/ICS/IoT、車聯網、無人機甚至衛星基礎設施作為攻擊目標;復合手段的攻擊仍然會持續,比如威脅行為體會將攻陷的IoT、IT節點組織為僵尸網絡,成為后續勒索和間諜行動的支點或跳板;網絡攻擊會成為國家級威脅行為體在外交對抗與軍事沖突之間的更為折衷的選項;網絡戰的陰霾持續加劇等等。
新基建浪潮的推動下,工業網絡安全產業將迎來新一輪發展機遇和巨大的發展空間。不可否認的是,工業行業普遍存在歷史性、系統性存量網絡安全問題(如先天的協議和設計缺陷、技術防護措施不到位、威脅感知能力不足、安全制度落實不力、應急處置能力不足等)與5G、云計算、大數據、物聯網等新興技術應用帶來的新風險新問題(平臺安全、數據安全、應用安全、設備安全、控制安全)的疊加,形成更為復雜嚴峻的網絡安全挑戰和現實威脅。面對這種系統性、全局性現實威脅以及可能產生災難性的后果和影響,需要網絡安全能力供給方、行業監管部門和工業企業精誠團結,密切協作,全面把握“危”與“機”,以變應變、以變求變,立足大局,把握大勢,謀求網絡安全對抗新優勢。
]]>