勒索软件攻击Westrock和其他产业组织
自爆发以来Wannacry&Notpetya在2017年的勒索软件攻击中,我们每天都能看到来自IT端的攻击对OT网络产生影响。美国国家安全局(NSA)也是强调这个问题为了这个非常简单的原因。有用。
勒索软件如何工作
这是解释为什么勒索软件攻击事件在去年急剧增加的最简单的方法,而且还没有结束的迹象。在过去的两年里,勒索软件攻击的数量增加了97%,平均赎金支付在过去的六年里增加了超过66%,宕机时间增加了200%,每次事件的平均成本也在上升。
具有以下名称的威胁参与者组琉克,egregor,conti,ragnar储物柜,许多其他人都是无情,资助的,并且愿意瞄准任何人;来自Covid-19疫苗制造商,汽车制造商关键的基础设施、政府和医院都能拿到薪水。事实上,是第一个勒索省软件相关的死亡发生在去年9月,当时德国一家医院感染了勒索软件,在Covid-19爆发期间无法治疗患者。
作为保护平民的生命和安全性的喀土齐使命的一部分,我们将本指南放在一起帮助您防止工业组织中的赎金软件。
勒索软件加密过程
让我们回到开头,首先讨论这些攻击是如何加密系统的。
从之前的赎金软件攻击我们已经研究过,我们了解到,从攻击者获得初步访问的分钟,他们可以在几小时内加密整个网络。在其他情况下,攻击者将花费更多时间评估他们想要加密的资产,并他们确保他们到达存储和应用程序服务器等关键服务器。
最近近期的赎金软件攻击您正在阅读新闻中的读取尝试终止防病毒流程以确保其加密过程将不间断地进行。最近的赎金软件变体如蛇,doppelpaymer,和洛克吉哥甚至通过终止与Siemens Simatic WinCC,Beckhoff Twincat,Kepware Kepserverex和OPC通信协议等相关的流程进一步进一步进一步。这使得工业过程中断,这增加了受害者支付了赎金的机会。最近的攻击中看到了这些类型的赎金软件攻击本田和ExecuPharm。
图#1 - OT安全挑战:暴露于加密的工业组件
据我们所知,勒索软件通常对Windows和Linux机器进行加密。我们还没看到任何可编程控制器被加密。然而,许多工业服务都运行在Windows / Linux机器上——例如历史记录、人机界面、存储、应用服务器、管理门户和OPC客户端/服务器。
在许多情况下,Ransomware操作不会在IT网络中停止,并且还将攻击OT段。更多加密设备意味着攻击者的更高的货币赎金需求。
组织必须能够监控和检测IT / OT边界的威胁,以便在达到过程关键端点之前有效地识别风险。
图2 - Ransomware Prevention:如何防止勒索软件对您的工业网络攻击
一些工具和技术,赎金软件运算符正在使用的是与目标间谍活动在目标间谍活动中使用的相同级别。
图3 - 策略,技术和程序最常用于赎金软件攻击
我们建议组织练习这些常见的安全程序,以最大限度地减少杀戮链中每一步中的赎金软件感染的风险:
最初的访问:
- RDP.
- 如果可能,将RDP替换为a远程访问解决方案这需要双重身份验证,许多vpn现在都支持这一点。这将要求攻击者通过验证,例如,通过短信发送的代码。
- 如果您选择仍然使用RDP,请确保其Windows更新已启用并正在工作。
- 电子邮件网络钓鱼
- 教育组织的员工了解网络钓鱼攻击。员工应该怀疑似乎对的电子邮件,而不是点击可疑链接。
- 安装防护型解决方案。
- 面向互联网服务器的软件漏洞
- 从网络外部扫描组织的IP范围。验证所有暴露的IP /端口是否是您希望它们的目标。
- 确保已为公开的服务启用了自动安全更新。如果你的某个服务(例如web服务器)不具备该功能,考虑将其更改为具有该功能的类似服务。
横向运动:
1。防火墙和Windows更新在所有工作站和服务器上启用防火墙。确保已启用Windows Update。这将确保您的机器将为最新漏洞修补,并且也可能不太容易发生横向运动技术。Microsoft不断更新其安全策略及其防火墙规则。一个很好的例子是他们禁用了使用任务调度程序'处的进程的远程创建进程。
2。端点保护
端点保护工作。除了阻止经典黑客的技术之外,有些人也有防御赎金软件,并保护您的资产免受加密。
3.网络市场细分
理想情况下,您希望在遭受赎金软件攻击时最小化您的工业网络受到影响的风险。
- 尽可能将IT网络与OT网络部分分开。监视和限制段之间的访问。
- 对OT和IT网络(Windows域等)使用不同的管理服务器。通过这样做,妥协IT域不会妥协OT域。
4.恒定网络监控
恒定的网络监控平台(我们碰巧知道一个非常好的人),将帮助您在分析网络流量的同时识别威胁,并将帮助您看到网络中发生的事情的更大图像。
5。数据漏出
监控您的网络以获取不寻常的出站流量。日常用户活动不应生成每个用户每天高于约200MB /每日的上行活动。
更多可见性=更少的漏洞
优化的安全性和性能策略从100%的网络流量的可见性开始,可见性从数据包开始。要做到这一点,你需要消除网络中的盲点,这样ICS安全工具如SCADAfence可以检测威胁和异常,并进行持续监控。毕竟,这些工具只有在能够对包数据可见性进行完整分析的情况下才能发挥作用——为此,您需要部署网络tap、气隙虚拟tap和具有安全性和基础设施策略的数据二极管。
行业最佳实践的数据包可见性是网络水龙头(测试接入点)。网络抽头是目的构建的硬件设备,可在不损害网络完整性的情况下,连续地,连续地创建交通流量的精确全双工副本。
可见性解决方案需要在可见性体系结构中实现基本的最佳实践。要做到这一点,你需要消除网络中的盲点,这样ICS安全工具能够检测威胁和异常,并进行持续监控。毕竟,这些工具只有在能够进行全面分析的情况下才能发挥作用数据包数据可见性-为此,您需要部署网络水龙头,气隙虚拟水龙头和数据二极管与您的安全和基础设施策略。
巩扰如何帮助你
我们提供全面的解决方案-斯科达韦的平台它是用来保护像你们这样的工业组织免受工业网络攻击(包括勒索软件)的。它还帮助您在其内置特性中实现更好的安全实践。其中包括:
- 资产管理
- 网络地图
- 交通分析仪
这些工具将帮助您的组织实现更好的网络分段,以确保您的防火墙正常运行,OT网络中的每个设备只与它们应该与之通信的设备通信。您还可以发现那些不在它们应该在的地方的资产,例如,在DMZ中被遗忘的资产。
该平台,这也是最高的OT和物联网安全平台,还监控任何威胁的网络流量,包括在典型的赎金软件攻击中找到的威胁;如:
- 安全漏洞在网络上发送。
- 使用最新技术尝试横向运动。
- 网络扫描与网络侦察。
一旦出现安全漏洞,SCADAfence的详细警报将帮助您尽快遏制这些威胁。最终,我们构建了这个工具,以帮助行业组织了解他们的攻击面,实现有效的分割和持续的网络监控任何恶意或异常活动。
视频:目标赎金软件攻击的解剖学:
我们想与你分享一个真实的故事我们最近对工业赎金软件网络攻击的反应。Scadafence的事件反应团队协助公司在网络安全紧急情况下。在此视频中,我们将审查最近的事件响应活动,我们参加了其中。本研究已发表于协助组织计划此类活动并减少目标工业赎金软件在其网络中的影响。
希望添加网络可见性和勒索软件安全性,但不确定在哪里开始?加入我们的简短网络设计 - IT咨询或演示。没有义务——这是我们喜欢做的事
