钓鱼在初始访问(攻击)技术中一直占据着最简单、最成功的地位。钓鱼已经发展到包括电子邮件、在线、短信/文本消息和语音/电话等多个领域,使其成为网络犯罪分子的强大武器。
外部远程服务在IT和OT事件的初始访问方法中排名第二。虽然其意图是为合法用户提供远程访问权限,但自2020年以来,这已成为攻击者的入口。
智能目标:随着攻击者的技术水平提升,网络上的任何“智能”设备都可能成为攻击目标。使用实时网络资产清单、全天候威胁检测以及有关可移动媒体的适当策略和程序等最佳实践,有助于防止IT攻击转向OT,从而有可能关闭组织的供应链、流程,甚至整个物理工厂。
关键发现(8)
根据MITRE的说法,“ATT&CK for ICS侧重于那些以攻击工业控制系统为主要目标,试图干扰工业控制流程、破坏财产或通过攻击工业控制系统来对人类造成临时或永久伤害或死亡的对手。”
在IT环境中,攻击通常从网络发现开始,这用于帮助攻击者了解资产的位置以及如何访问它们。
在OT领域,攻击者通常试图直接影响工业流程。许多人试图以获取金钱为目的,比如赎金,或是追求其他涉及经济或军事优势的结果。2022年,美国境内威胁行为者攻击工业组织的数量增长了35%,导致同一时期内数据泄露事件增加了87%。
- 攻击者使用横向工具传输,利用远程服务和标准应用层协议来操纵操作员的视图,并且在许多情况下接管特定的OT进程。
关键发现(9)
数据泄露对企业的影响最大。
当发生破坏业务的攻击时,影响是广泛的。即使没有wannacry式的事件,组织也会受到负面影响。
让我们来看看这些ATT&CK分类的影响——首先,我们从MITRE企业框架进行比较。在“通过C2通道外传”的攻击中,攻击者窃取数据,然后使用现有的命令和控制通道将数据外传,这是此类事件影响企业运营的主要方式。
另外两种攻击类型,“数据加密影响”和“数据破坏技术”,是网络攻击影响企业的前三种方式。总的来说,下图中显示的前三种MITRE攻击和攻击技术最常与勒索软件攻击相关联。
关键发现(10)
“操纵视图”和“操纵控制”是影响ICS环境的前两种主要方法。
进一步看,排名前三的ICS ATT&CK分类之一是“生产力和收入损失”。当我们将这种方法与先前提到的“操纵视图”和“操纵控制”的攻击类型联系起来,可以清楚地看到在这些事件中供应链可能会受到影响。如果恶意用户操纵了负责生产的OT/ICS系统的视图和控制,他们还可能渗透并影响组织合作伙伴、供应商和客户的整个产品供应链。
当我们回顾在非能源领域使用的技术时,供应链影响是最常见的三个结果之一。这种深远的影响,远远超出了组织的边界,因此对于各行各业的组织来说,保护自身免受网络攻击极其重要。
写在最后
随着越来越多的系统、网络和设备连接到OT/ICS环境中,建立强大的现代OT/ICS安全计划必须成为每个工业组织维护安全、可靠运营和持续可用性的责任的一部分。
报告的最后,罗克韦尔自动化也给出了一些加强OT安全的建议:
- 专注于纵深防御,包括借鉴零信任(Zero Trust)和NIST网络安全框架等。
- 通过更强的密码和多因素身份验证来确保远程访问的安全性。
- 24/7 全天候监控威胁。
- 将IT和OT网络进行分隔,充分利用防火墙配置,以防止IT攻击渗透到OT环境中。
- 持续培训内部员工,使其了解最新的网络钓鱼诈骗,并学会如何避免它们。