近日,Verizon公司发布2020年数据泄露调查报告(DBIR),这是该公司自2008年以来的第13份数据泄露调查报告。从数据资源、研究方法、参与机构、结论呈现等方面看,报告体现出了较高的权威性、专业性,得到了网络安全行业的较高认可。透过这份报告可以观察到与数据泄露相关活动的趋势,许多重要发现和影响不仅适用于IT安全,同时也适用于OT安全。从OT网络安全的视角,我们梳理出部分关键的发现:涉及的OT域数据泄露事件占4%;OT域的漏洞管理、资产管理等基础安全能力有缺失;对手攻击向量的简单化;制造业、采矿、采石和油气开采等垂直行业泄露多发。尽管相关OT数据泄露只是OT网络安全的一个侧面,但也足以反映出OT安全的严峻性和紧迫性。基于这些基本事实,针对OT网络安全的持续改善,就提高威胁认知、持续开展意识培训、降低OT网络复杂性、协调IT/OT团队和简化治理进行了思考。

一、报告概述

近日,Verizon公司发布2020年数据泄露调查报告(DBIR)。这是迄今为止最广泛最具权威性的数据安全专题报告,今年共有来自81个国家的81个组织参与,调研157,525起安全事件,其中32,002起事件符合其研究标准,核实为真正的数据泄露事件的为3,950起。报告中增加了新的地理位置信息,以及可视化数据的新方法。这是该公司自2008年以来的第十三份高度专业的数据泄露报告,透过这份报告可以观察到与数据泄露相关活动的趋势。

Verizon总体上认为,该分析为网络安全专业人员提供了好消息。报告特别指出,恶意软件事件有所减少,这表明当前的反恶意软件产品正在发挥积极的作用。特洛伊木马类型的恶意软件曾在2016年达到顶峰,当时它占所有泄露的50%,但今年已降至6.5%。同样,漏洞修补似乎比想象的情况要好,只有不到5%的泄露涉及漏洞利用,而只有2.5%的SIEM事件涉及漏洞利用。报告说:“这一发现表明大多数组织在修补漏洞方面都做得很好。”但是,永远不会修复的被遗忘的资产漏洞仍然可能会在防御中造成危险。

DBIR的研究结果也打消了人们常见的认知。通常认为内部人员是对安全性的最大威胁,但是DBIR显示70%的漏洞是由外部黑客造成的。同样,尽管国际间谍活动和“高级”攻击行为已成为媒体的头条新闻,追求经济利益仍然是最大的诱因:86%的漏洞是出于经济动机,而不是网络战;10%是间谍活动,只有4%被描述为高级威胁。相关的数据还有:

  • 有22%的泄露事件涉及云资产,而本地资产占报告事件的71%。

  • 45%的违规行为是黑客攻击,22%涉及社会工程攻击。22%的涉及恶意软件。

  • 在55%的违规事件和有组织犯罪相关,外部攻击者占70%。30%的为企业内部攻击者。

  • 81%的泄露是在几天或更短的时间内发现的。

  • 72%的涉及大型企业的受害者。

  • 58%的受害者的个人数据遭到泄露。

  • 43%的泄露涉及Web应用程序。

DBIR目前已成为网络安全专业人员的葵花宝典和必备资源。它优势在于它涉及对实际事件的科学分析(对事件的认定有其自身的标准),而不仅仅是对单个供应商自己的观测到数据的分析,因此没有产品或攻击类型的偏见。

二、报告中OT域的相关发现

Verizon数据泄露调查报告(DBIR)一直是IT安全从业人员的宝贵资源。新发布的2020年版DBIR的与众不同之处在于,其许多重要发现和影响不仅适用于IT域安全,同时也适用于OT域安全。从OT安全角度出发,我们对Verizon 2020 DBIR报告中最重要的发现有如下观察:

与IT侧安全事件相比,OT安全事件占比很少,但值得关注

2020年的DBIR首次审查了安全事件中信息技术(IT)与运营技术(OT)资产的关系。观察到的数据泄露中有4%与OT有关(150多起),而IT侧的则为96%。

尽管该百分比似乎相对微不足道,但该报告将其描述为拥有强大OT环境的公司值得关注的重要原因。

2 一致的修复程序是有效漏洞管理的关键

为了评估一个新发现的漏洞对整个互联网以及特定组织的总体漏洞的影响程度,DBIR的作者进行了一项实验。

首先,他们比较了托管在公共IP地址上的两组服务器:一组易受2019年Exim漏洞的攻击,另一组随机选择的服务器。作者发现,容易受到Exim攻击的服务器也更容易受到有10年历史的SSH老漏洞的攻击,攻击者可以轻松地利用这些漏洞。

接下来,在对组织的总体安全状况评估上,作者将系统上存在抢眼的“永恒之蓝”漏洞的组织与没有该漏洞的组织进行了比较。与他们先前的发现相似,带有“永恒之蓝”的系统在过去一两年中也更容易受到较旧漏洞的攻击。

这项调查的主要结论是,随着时间的推移,能够保持优先级较高的补丁程序管理制度的组织受漏洞利用的可能性要小得多。而且,该报告还发现,在发布后三个月内未应用的补丁通常就不再会应用,因此一致性和及时性对于有效的补丁管理至关重要。

这些发现表明,选择供应商时,是否能够解决在OT环境中识别漏洞和对补丁进行优先排序,是一个关键指标。

3 资产管理经常被忽视,而这点恰恰是造成漏洞的常见原因

报告发现,一个组织平均将其面向互联网的IP的43%保留在一个网络中。但是,所有观察到的组织中有一半存在于7个或更多网络上。对于90%以上的组织,只有不到10%的暴露于互联网的主机具有严重漏洞。所有组织中的50%,只有不到1%的主机易受攻击。

这表明资产管理不足(在OT环境中普遍存在)通常归咎于漏洞,而不是始终如一但缓慢应用的漏洞管理。资产管理挑战在OT环境中尤为常见,但是可以与安全供应商合作解决这些挑战,供应商可以提供对OT资产的及时细致的掌握或可见性。

4 攻击对手极喜欢简单的攻击向量

分析观察到的泄露事件中的攻击路径,发现绝大多数泄露事件涉及不到五个步骤。这表明攻击者倾向于寻找容易得手的目标或果实,从而使他们能够进行相对简单的攻击来危害高价值目标。

因此,为使组织成为一个吸引力较小的目标而对环境进行设置所进行的各种努力,会使攻击变得更加复杂或耗时,达到迟滞或阻碍攻击的目的,这可能会大有帮助。例如,虽然双因素身份验证是一种不完善的安全机制,但它确实有效地向攻击路径增加了额外的步骤。正如该报告所指出的,就增强安全状况而言,两个步骤和三个步骤或三个步骤和四个步骤之间的差异可能会很大。这同样适用于IT和OT环境。

5 与OT相关的安全事件主要集中在特定的垂直领域

在为DBIR跟踪的与OT相关的事件中,大多数涉及以下两个行业领域的公司:制造业和采矿、采石业以及油气提取和公用事业的合并行业。

制造业

与DBIR中详细说明的所有部门一样,观察到的影响制造业的事件背后的最常见动机是经济收益(73%)。话虽如此,很大一部分(27%)是由网络间谍活动引起的。出于对监视和保护内部威胁的解决方案的强烈需求,内部威胁行为体占制造泄露事件的25%,而13%的违规行为涉及员工特权滥用或数据处理不当。

民族国家的对手占针对制造商的外部威胁行为体的38%,这表明该行业的组织应做好准备,以防范热衷于窃取知识产权和其他敏感数据的复杂、资源丰富的威胁行为体。正如该报告简要指出的那样,“偷东西要比自己设计要便宜和简单。”

犯罪软件和Web应用程序是针对制造商的两个最常见的攻击向量,占观察到的泄露事件总和的51%。对于涉及犯罪软件的泄露事件,报告指出了一种常见的模式:

(1)获取口令;

(2)渗透网络;

(3)下载软件;

(4)获取针对制造商的事件数据。

根据DBIR报告,攻击制造业公司的Web应用程序的主要方式,是通过网络钓鱼活动和桌面共享等各种方式获得的被盗凭证的使用。

DBIR针对制造业的主要建议如下:

  • 边界防御(CSC(关键安全控制) 12);

  • 实施安全意识和培训计划(CSC 17);

  • 数据保护(CSC 13)。

采矿、采石和油气开采和公用事业

为了对影响采矿、采石和油气开采(NAICS(北美工业分类系统) 21)和公用事业(NAICS 22)行业的事件和违规行为进行联合调查,已将它们合并到2020 DBIR报告中。合并后的部门所面临的涉及内部威胁行为体的攻击比例甚至更高(28%)。

在采矿与公用事业行业,很难确定威胁因素的动机,据估计有63%–95%的事件是出于经济动机,而8%–43%的是间谍活动。尽管很难准确地解释间谍活动的范围,但最重要的一点是,实际百分比可能比DBIR整个数据集中10%的平均值高得多。

由于针对此垂直领域的攻击方式千差万别,而且经常重叠,因此DBIR得出结论,从统计上无法确定哪一个最普遍,从而将报告建议的特异性限制为“所有CISO注意:确保所有事物安全!”。话虽如此,该报告承认网络钓鱼等社会工程策略和利用Web应用程序基础结构中未修补的漏洞是常见的攻击模式。

DBIR针对采矿和公用事业领域的主要建议如下:

  • 安全配置(CSC(关键安全控制) 5,CSC 11);

  • 边界防御(CSC 12);

  • 实施安全意识和培训计划(CSC 17)。

三、对OT网络安全的启示

强大的OT安全性带来了更强的OT可用性和IT安全性。通过在IT域建立强大的网络安全基础并将该基础扩展到OT域,形成IT/OT安全融合态势,这对安全团队赢得管理层的支持非常有益。DBIR报告中涉及的OT域数据泄露事件占比很小,反应出OT域的漏洞管理、资产管理等基础安全能力缺失,制造业、采矿、采石和油气开采等垂直行业泄露多发,但不容忽视的是OT域数据泄露完全具备“量小事大”的特征,而且这也是可能造成生产事故(计划外当机、停产)的“最后一公里”。

提高对网络威胁的认知

关键信息基础设施的安全的重要性不容多说,目前媒体也将重点放在对工业网络和关键基础设施的攻击事件的披露上。及时分享相关情报和信息,以继续证明这些攻击的频率和影响在不断升级,影响着关基行业。这对影响和提升关基运营方和监管方对网络威胁的认识是有益的,媒体的呼吁和合规的压力也有助于唤醒运营方的内在动力。

2 安全意识教育培训永无止境

由于历史的原因,OT网络安全的状况,无论是技术、控制、设备,还是流程、人员、意识,都明显落后于IT安全。其脆弱性人尽皆知,相反其改善却是缓慢甚至遥遥无期。固有的隔离思维、专属专用思想,根深蒂固,持续的培训、宣贯、教育加上反复的督促检查,是落实现有制度规范和杜绝大部分高风险行为的有效办法。

3 降低OT复杂性

意识、教育和沟通可以帮助安全团队从管理层和预算中获得支持,以增强OT网络的安全性。如何迅速采取行动,缩小IT安全与OT安全之间巨大的差距,更为关键。OT网络缺乏现代化的安全控制措施,缺乏足够的资产、网络、流程的可见性,不能迷失和困扰在众多问题之中,从可以快速实施资产可见性和持续威胁监测的解决方案开始。

4 协调IT和OT团队

运行OT网络的团队会优先考虑可用性。实施新的安全控制、补丁程序或系统升级所带来的中断和停机风险有时对他们而言是巨大挑战。更不用说篡改这些价值数昂贵的控制系统、设备通常会使保修无效。共同确定最重要的用例,并实施无代理和被动的解决方案,这意味着可以在不破坏生产效率或导致停机的情况下进行安装。这需要IT和OT团队的高效协同,不仅仅是技术层面,更需要在人员、流程、管理、资源、知识等层面的协同。

5 简化治理

IT和OT分而治之的情况即将不在,试图为OT安全创建单独的治理流程和安全运营中心(SOC),可能也不现实。OT安全解决方案也应该采用一种全局的系统性方法,这意味着它应该与OT、IT系统和工作流生态系统完美地集成在一起。确保安全解决方案可无缝集成到现有的安全解决方案中-包括安全信息和事件管理(SIEM)工具、安全协调、自动化和响应(SOAR)解决方案、分析平台、边界防护等,并且可以由IT团队、OT团队或两者共同操作。

天地和兴工控安全研究院编译

参考资源

[1]2020 Data Breach Investigations Report,www.Verizon.com 2020.05.19

[2]The Global State of Industrial Cybersecurity,www.claroty.com

[3]https://blog.claroty.com/research/verizon-2020-dbir-ot-security

声明:本文来自天地和兴,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。