勒索软件攻击韦斯特洛克和其他工业组织
自从爆发Wannacry & NotPetya在2017年的勒索软件攻击中,我们每天都能看到来自IT方面的攻击影响到OT网络。美国国家安全局(NSA)也是如此强调这个问题原因很简单。它的工作原理。
Ransomware是如何工作的
这是解释为什么勒索软件攻击事件在过去一年中急剧增加的最简单的方式——而且还没有结束的迹象。在过去两年中,勒索软件攻击的数量增加了97%,平均赎金支付在过去六年中增加了超过600%,停机时间增加了200%,每起事件的平均成本也在上升。
以诸如琉克, eggregor, Conti, Ragnar Locker,和许多其他人是无情的,资金充足,并愿意针对任何人;来自COVID-19疫苗制造商汽车制造商重要的基础设施、政府和医院来获得他们的报酬。事实上,是第一个ransomware-related死亡事件发生在今年9月,当时德国一家医院感染了勒索软件,无法在Covid-19疫情期间治疗患者。
作为SCADAfence保护平民生命和安全的使命的一部分,我们整合了这个指南来帮助你在你的行业组织中防止勒索软件。
勒索软件加密过程
让我们回到最开始,讨论这些攻击首先是如何加密系统的。
从我们之前研究的勒索软件攻击中,我们了解到,从攻击者获得初始访问权限的那一刻起,他们可以在数小时内加密整个网络。在其他情况下,攻击者会花更多的时间来评估他们想要加密哪些资产,并确保他们到达了关键服务器,如存储和应用服务器。
最近你在新闻中读到的大多数勒索软件攻击都试图终止杀毒程序,以确保他们的加密过程不会中断。最近的勒索软件变种,如蛇、DoppelPaymer和LockerGoga甚至还终止了与ot相关的进程,如Siemens SIMATIC WinCC、Beckhoff TwinCAT、Kepware KEPServerEX和OPC通信协议。这确保了工业过程被中断,也增加了受害者支付赎金的几率。这些类型的勒索软件攻击在最近的攻击本田和ExecuPharm。
图#1 - OT安全挑战:暴露于加密的工业组件
据我们所知,勒索软件通常会加密Windows和Linux的机器。我们还没看到任何plc被加密。然而,许多工业服务运行在Windows / Linux机器上——例如历史记录、人机界面、存储、应用服务器、管理门户和OPC客户端/服务器。
在很多情况下,勒索软件的操作不会在IT网络中停止,而且还会攻击OT部分。更多的加密设备意味着攻击者要求更高的赎金。
组织必须能够监控和检测跨IT/OT边界的威胁,以便在到达流程关键的端点之前有效地识别风险。
图2 -防止勒索软件:如何防止工业网络上的勒索软件攻击
勒索软件操作者使用的一些工具和技术与国家威胁行动者在有针对性的间谍活动中使用的是同一水平。
图#3 -勒索软件攻击中最常用的战术、技术和程序
我们建议各组织在杀死链的每一个步骤上实施以下常见的安全程序,以最大限度地降低被勒索软件感染的风险:
最初的访问:
- RDP
- 如果可能的话,用a代替RDP远程访问解决方案这需要双因素认证,现在很多vpn都支持这一点。这将要求攻击者通过诸如通过SMS发送的代码进行验证。
- 如果您选择仍然使用RDP,请确保其Windows更新已启用并正在工作。
- 网络钓鱼邮件
- 教育该组织的员工关于网络钓鱼攻击。员工应该怀疑那些看起来不正确的电子邮件,不要去点击可疑的链接。
- 安装反网络钓鱼解决方案。
- 面向互联网的服务器的软件漏洞
- 从网络外部扫描组织的IP范围。确认所有暴露的IP/端口都是您所期望的。
- 确保为您公开的服务启用了自动安全更新。如果您的某个服务(例如web服务器)没有该特性,请考虑将其更改为具有该特性的类似服务。
横向运动:
1.防火墙和Windows更新在所有工作站和服务器上启用防火墙。确保Windows更新已启用。这将确保您的机器将为最新的漏洞打补丁,也将不太容易受到横向移动技术。微软不断更新他们的安全策略和防火墙规则。一个很好的例子是,他们禁用了使用任务调度程序' at '命令远程创建进程。
2.端点保护
端点保护工作。除了阻止经典的黑客技术,有些还能抵御勒索软件,保护你的资产不受加密。
3.网络市场细分
理想情况下,您应该尽量减少您的工业网络在遭受勒索软件攻击时受到影响的风险。
- 尽量将IT网与OT网分开。监视和限制段之间的访问。
- 对OT和IT网络使用不同的管理服务器(Windows域等)。通过这样做,损害IT域不会损害OT域。
4.持续的网络监控
一个恒定的网络监控平台(我们碰巧认识一个很好的人),将帮助您在分析网络流量时识别威胁,并帮助您更全面地了解网络中正在发生的事情。
5.数据漏出
监视您的网络,查看不正常的出站流量。每天用户活动产生的上行活动不应高于每用户每天约200MB。
更多的可见性=更少的脆弱性
优化的安全和性能策略从网络流量的100%可见性开始,可见性从数据包开始。要做到这一点,你需要消除网络中的盲点,这样ICS安全工具例如SCADAfence可以检测威胁和异常,并进行持续监控。毕竟,这些工具只有在能够完成数据包数据可见性的完整分析时才能发挥作用——为此,您需要在您的安全和基础设施策略中部署网络tap、气隙虚拟tap和数据二极管。
数据包可见性的行业最佳实践是网络tap(测试接入点)。网络龙头是专门建造的硬件设备,可以创建流量的精确的全双工副本,连续,24/7,不损害网络完整性。
可见性解决方案需要在可见性体系结构中实现基本的最佳实践。要做到这一点,你需要消除网络中的盲点,这样ICS安全工具可以检测威胁和异常,并进行连续监控。毕竟,这些工具只有在能够进行全面分析的情况下才能发挥作用分组数据的可见性-为此,你需要在你的安全和基础设施策略中部署网络龙头、气隙虚拟龙头和数据二极管。
SCADAfence如何帮助你
我们提供全面的解决方案-SCADAfence的平台它是为了保护像你们这样的工业组织免受工业网络攻击(包括勒索软件)。它还帮助您在其内置特性中实现更好的安全性实践。其中包括:
- 资产管理
- 网络地图
- 交通分析
这些工具将帮助您的组织实现更好的网络分割,以确保您的防火墙正常工作,并且OT网络中的每个设备只与它们应该通信的设备通信。您还将能够发现不在它们应该在的位置上的资产,例如,DMZ中被遗忘的资产。
的平台,哪个也是评分最高的OT和物联网安全平台,也监视网络流量的任何威胁,包括在典型的勒索软件攻击中发现的威胁;如:
- 通过网络发送安全漏洞。
- 尝试使用最新技术进行横向移动。
- 网络扫描和网络侦察。
在发生安全漏洞时,SCADAfence的详细警报将帮助您尽快控制这些威胁。最终,我们建立了这个工具来帮助行业组织了解他们的攻击表面,实现有效的分割和持续的网络监控任何恶意或异常活动。
视频:有针对性的勒索软件攻击的剖析:
我们想和你分享一个真实的故事我们最近的事件是对工业勒索软件网络攻击的回应。SCADAfence的事件响应团队协助公司应对网络安全紧急情况。在这段视频中,我们将回顾我们最近参与的一个事件响应活动。这项研究的目的是帮助组织计划此类事件,并减少目标工业勒索软件在其网络中的影响。
希望增加网络可见性和勒索软件安全性,但不确定从哪里开始?加入我们一个简短的网络设计- it咨询或演示。没有义务,这是我们喜欢做的
