随着几乎所有垂直行业的企业都越来越多地将 OT 设备连接到 IT 网络,OT技术威胁已不再仅仅是工业 CISO 的专利。
为了更好地利用数据和数字服务的力量,企业正在越来越多地融合OT技术和 IT 网络,以追求效率和业务价值。
但是,将以前孤立的 OT 系统连接到 IT 网络,会使它们面临更广泛的网络威胁,包括拒绝服务中断和勒索软件攻击,而且 OT 系统通常已经过时,最初是为在空气封闭的环境中运行而设计的,可能会给企业网络带来新的漏洞。
因此,随着 OT 与 IT 网络的日益融合,OT技术系统的安全性日益成为主流 CISO 关注的问题,而不仅仅是那些在石化、公用事业或其他传统工业领域工作的 CISO。这是因为,从数据中心到办公楼,越来越多的场所都越来越依赖于 OT 系统,从 HVAC(供暖、通风和空调)控制到楼宇访问,以及 OT 的其他用途。
工业设施 SaaS 提供商 Sharecat 的网络安全专家 Arne Helgesen 表示,OT 安全威胁已成为主流问题。
"传统的 OT 系统是在网络安全出现之前设计的,现在它们暴露在现代 IT 威胁之下,"Helgesen 表示。"现在已经不仅仅是保证石化厂或发电站的安全了,任何使用 OT(如 HVAC 或门禁系统)的企业都面临着风险。同时,一旦将这些系统连接到 IT 网络,就会为攻击者敞开大门,他们可以利用薄弱的 OT 设备在环境中横向移动,从而可能造成严重破坏。”
01 不断上升的威胁
今年 5 月,微软公司警告说,攻击的重点是暴露在互联网上、安全性差的 OT 设备,该公司在最近发布的数字防御报告中进一步阐述了这一主题。
微软公司警告说:"现在,黑客正在利用 OT 设备做各种事情,从访问关键网络和运营网络,到实现横向移动、在供应链中建立立足点,或者破坏目标的 OT 运营,"微软公司的数据中心(与许多企业的数据中心一样)严重依赖 OT 设备(如传感器和执行器)来管理电源和冷却系统。
根据 Palo Alto Networks 最近的研究,76% 的组织报告了在过去 12 个月中针对其 OT 环境的网络攻击。四分之三(72%)针对 OT 系统的攻击始于 IT 环境。
同时,恶意软件、勒索软件和内部攻击是三种最可怕的攻击类型。DarkSide(2021 年臭名昭著的Colonial Pipeline 攻击事件的罪魁祸首)、BlackCat 和 Ryuk 等勒索软件集团已成功突破 IT-OT 漏洞,将目标锁定在 OT 环境上。
安全厂商 Fortinet 另一份关于运营技术和网络安全的报告也指出,攻击的频率在增加。报告发现,近 30% 的组织在上一年报告了六次或六次以上的入侵,而 2023 年这一比例仅为 11%。
02 令人头痛的修补问题
国家安全机构最近敦促 IT 界优先考虑 OT 安全,而这绝非一项简单的任务。
许多 OT 系统在传统平台上运行,缺乏加密和身份验证等现代安全功能,也没有定期更新或打补丁,因此在与 IT 网络连接时更容易受到攻击。
漏洞赏金平台 Bugcrowd 运营副总裁、YouTuber 和前黑客 Michael Skelton 表示:"OT系统]通常缺乏关键的安全功能,如现代身份验证和详细的访问控制,使其容易受到利用这些漏洞的攻击。此外,这些系统通常优先考虑安全性和可用性,而不是安全性,因此很难采用传统的 IT 防御措施。
OT 环境通常是任务关键型的,而且在设置时不允许有任何停机时间。这就给 OT 系统打补丁带来了挑战,因为定期更新后重启系统并不是一种选择。
给 ICS/OT 系统打补丁可能非常复杂,需要详细的规划和评估,包括区分离线/应急系统和实时系统,以及测试和验证补丁,国内工控安全厂商主要采取“藏”漏洞方式。
较旧的、不受支持的系统可能存在可被利用的已知漏洞,但却没有补丁。这是一个重大问题,因为工业控制系统的使用寿命通常长达 20 年,供应商有足够的时间停止产品线或倒闭。
对于无法打补丁的遗留系统,应实施补偿控制,如更严格的访问控制、额外监控或网络分段。网络分段,包括微分段,可有效隔离老化或其他易受攻击的系统,同时使其保持功能。
03 文化冲突
OT 和 IT 支持团队之间缺乏跨领域专业知识和文化冲突也可能是一个问题。
趋势科技的现场首席技术官 Bharat Mistry 表示:"IT安全团队往往对OT系统的独特协议和要求缺乏了解,而OT人员可能没有很好的装备来应对复杂的IT安全威胁,从而导致安全漏洞"。
最近SANS 研究所的一项调查显示,在对 OT 资产的攻击载体中,近 50% 最终归因于 IT 网络漏洞。OT 网络中的物联网设备也会带来额外的漏洞。
04 降低 OT 风险
首席信息安全官应重点实施隔离策略,如网络分段;量身定制的补丁管理,包括这些系统所依赖的任何依赖关系;以及对 OT 和 IT 基础设施的全面可见性,以检测和减轻跨域风险。
"Black Duck 高级安全咨询经理 Akhil Mittal 说:"自动资产发现工具可以绘制出 IT 和 OT 环境中的设备、通信流和漏洞,为 CISO 提供了解其风险暴露所需的洞察力。
行业标准和框架也为 CISO 提供了 OT 安全的最佳实践指南。
例如,普渡企业参考架构 (PERA) 模型概述了如何管理工业部门网络的企业和工业网段之间的分段。
基础设施还应向零信任模式发展,在这种模式下,每个连接都需要经过验证和授权。
"威胁情报公司 ReliaQuest 的检测研究员 Antonio Maini 表示:"资产和设备清单在支持 ICS/OT 的零信任和适当分段方面发挥着至关重要的作用。"这需要映射设备、用户、应用程序和数据存储之间所有形式的网络连接。它应该识别本地局域网、广域网和远程访问,并识别正在使用的协议"。Maini 补充说:"工作流程和相互依存关系也应记录在案"。
除了关键通信协议的安全标准外,国际标准 IEC 62351还为在系统和操作中设计安全提供了指导,而不是在系统实施后才应用安全措施。
"国际电工委员会(IEC)副秘书长 Gilles Thonet 说:"对于仍在使用的无数传统系统,该标准为管理向基于安全的设计过渡提供了实用建议,包括所有系统改造和升级中的应对措施。
热门跟贴