确保“近期出现危机时”的韧性。
美国国家安全局(NSA)本周警告称,依赖运营技术(OT)资产的公司企业面临“完美风暴”侵袭,波及范围包括16个行业的关键国家基础设施(CNI)提供商:水坝、化工、金融服务、食品、核能、国防等。
7月23日,NSA与美国计算机应急响应小组 (US-CERT)发布联合警报,称“公司企业应制定韧性计划,假设控制系统将破坏正常流程的安全可靠运行。”简而言之:公司企业应假设其控制系统会遭破坏,转而侵害自身。
这两个机构敦促相关企业立即采取一系列措施,确保基础设施“近期出现危机时”的韧性。
建议的措施包括构建重要固件、软件、梯形逻辑、服务合约、产品许可、产品密钥和配置信息的“黄金副本”,并将之保存在保险柜等上锁的防篡改环境中。(此外,建议中还提到,所有设备上严禁使用默认密码,并需设置多因子身份验证(MFA)……)
NSA称,随着公司企业“远程运营和监控的增长,员工分布的全球化,以及仪表与控制、OT资产管理/维护、过程操作与维护等关键技能领域的外包,漏洞情况也越来越严重了。”
至于让攻击者可以轻松得手的原因,NSA认为是联网OT资产、可轻易获取的设备开源信息,以及可通过Metasploit、Core Impact和Immunity Canvas等常用漏洞利用框架部署的强力攻击的激增。(警报指出,防御者能够,也应该,使用Shodan等公开可用的工具,来发现其互联网可访问的OT设备)。
公司企业需要OT韧性计划,以便:
立即断开无需互联网连接的系统,确保安全可靠运行。
做好持续手动过程操作计划,应对因控制权被夺而工业控制系统(ICS)不可用或需禁用的情况。
移除可能引发风险和增加攻击界面的额外功能。
确定系统依赖和操作依赖。
及时恢复OT设备和服务。明确OT网络和设备恢复职责与人员。
备份“黄金副本”资源,例如固件、软件、梯形逻辑、服务合约、产品许可、产品密钥和配置信息。
确认所有“黄金副本”资源都已离线存储,并在保险箱等上锁的防篡改环境中保存至少一个副本。
测试和验证数据备份及流程,准备应对恶意网络活动导致数据丢失的情况。
NSA指出,资源贫乏的公司企业可以利用Wireshark、NetworkMiner和NSA自己的GRASSMARLIN等公开可用的工具,帮助记录和验证准确“按需运营”的OT网络拓扑图,从而为防御者指明最佳实践,例如网络分隔、受MFA保护的VPN,利用隔离区(DMZ)的安全网络架构、防火墙、跳转服务器和/或单向通信二极管,当然,还有定期打补丁。
以以色列供水设施遭攻击的媒体报道为例,NSA警告称:“近几个月来,网络黑客表现出了他们利用互联网可访问的OT资产,继续针对关键基础设施进行恶意网络活动的意愿。”
“由于对手能力和活动的增长、对美国国家安全和美国生活方式的重要性,以及OT系统漏洞,民用基础设施成为了企图危害美国利益或报复美国攻击的外国势力眼中诱人的目标。”
NSA与US-CERT联合发布的警报:(点击阅读原文直接打开链接)
https://us-cert.cisa.gov/ncas/alerts/aa20-205a
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
