【編者按】隨著邁入2021年��,許多組織開始轉(zhuǎn)變業(yè)務(wù)產(chǎn)品和運(yùn)營����,以求在“新常態(tài)”經(jīng)濟(jì)中生存�。處于價(jià)值和收入創(chuàng)造核心的運(yùn)營系統(tǒng)比以往任何時(shí)候都更加重要���,保護(hù)這些系統(tǒng)不受不斷變化的威脅環(huán)境影響是一項(xiàng)新的挑戰(zhàn)����。正如從美國Oldsmar供水設(shè)施攻擊事件中看到的那樣��,隨著威脅參與者持續(xù)攻擊高價(jià)值目標(biāo)����,工業(yè)控制系統(tǒng)和關(guān)鍵基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)威脅達(dá)到了新高度。SolarWinds供應(yīng)鏈攻擊事件也提醒我們����,所依賴的關(guān)鍵基礎(chǔ)設(shè)施和其他系統(tǒng)是脆弱的,而且會(huì)不斷受到攻擊的風(fēng)險(xiǎn)�����,了解防御新出現(xiàn)的威脅和漏洞的有效性至關(guān)重要。Nozomi Networks發(fā)布了一份新的安全趨勢報(bào)告�,概述了近幾個(gè)月來最嚴(yán)重的威脅和漏洞趨勢,以及保護(hù)操作系統(tǒng)安全的可行性建議�����。
勒索軟件攻擊持續(xù)占據(jù)著威脅的主導(dǎo)地位,其復(fù)雜性和持久性不斷增長��。除了索要勒索贖金外�����,Ryuk����、Netwalker、Egregor和其他勒索軟件團(tuán)伙還竊取數(shù)據(jù)���,嚴(yán)重?fù)p害網(wǎng)絡(luò),為未來的攻擊活動(dòng)做準(zhǔn)備���。
供應(yīng)鏈威脅和漏洞沒有減緩的跡象���。SolarWinds攻擊不僅感染了包括美國政府機(jī)構(gòu)和關(guān)鍵基礎(chǔ)設(shè)施在內(nèi)的數(shù)千個(gè)組織�,而且還顯示了通過供應(yīng)鏈弱點(diǎn)進(jìn)行攻擊的巨大潛力�����。
各組織都在加速數(shù)字化�����。這就更加注重運(yùn)營系統(tǒng)�����,而運(yùn)營系統(tǒng)是價(jià)值和收入創(chuàng)造的核心�����。除此之外���,高管們還將網(wǎng)絡(luò)安全列為企業(yè)面臨的第二大風(fēng)險(xiǎn)����,世界經(jīng)濟(jì)論壇(World Economic Forum)將對關(guān)鍵基礎(chǔ)設(shè)施的攻擊列為全球第五大風(fēng)險(xiǎn)��。
縱觀威脅格局,有兩種類型的威脅尤為突出:供應(yīng)鏈和持久性勒索軟件�。
2020年最重大的威脅行動(dòng)是SolarWinds供應(yīng)鏈攻擊,導(dǎo)致數(shù)千個(gè)組織受到感染����。這次攻擊,加上最近的漏洞趨勢��,意味著現(xiàn)在是資產(chǎn)所有者重新評估OT/IoT系統(tǒng)的攻擊面��,并重新評估供應(yīng)鏈風(fēng)險(xiǎn)的時(shí)候了���。
SolarWinds攻擊涉及一個(gè)高級威脅參與者�����,危及廣泛用于管理IT基礎(chǔ)設(shè)施的SolarWinds網(wǎng)絡(luò)監(jiān)控產(chǎn)品�����。此次攻擊的受害者包括美國政府機(jī)構(gòu)以及關(guān)鍵的基礎(chǔ)設(shè)施和制造業(yè)運(yùn)營�����。該攻擊是復(fù)雜的間諜活動(dòng)���,對未來的影響目前還未知。
盡管SolarWinds威脅行為者選擇了幾個(gè)目標(biāo)來接收惡意有效載荷��,使其能夠進(jìn)一步訪問受破壞的網(wǎng)絡(luò)����,但所有受感染的組織現(xiàn)在都面臨著凈化其網(wǎng)絡(luò)的重大挑戰(zhàn)。
SolarWinds攻擊還反映了最近最重要的漏洞趨勢����,即供應(yīng)鏈研究和利用,這是威脅行為者謹(jǐn)慎地選擇廣泛使用的服務(wù)或軟件作為供應(yīng)鏈目標(biāo)的例子�����。該攻擊突顯了對其網(wǎng)絡(luò)中使用的軟件代理有限的終端用戶的風(fēng)險(xiǎn)����。
另一種軟件供應(yīng)鏈威脅是嵌入式組件風(fēng)險(xiǎn),例如Ripple20漏洞��。Ripple20由Treck在TCP/IP堆棧中發(fā)現(xiàn)的19個(gè)漏洞組成��。
SolarWinds惡意軟件活動(dòng)的全部影響目前尚不為人所知����。更多的信息仍在被發(fā)現(xiàn)當(dāng)中���。面對如此復(fù)雜的攻擊,沒有單一的技術(shù)防御��。相反����,每個(gè)組織都應(yīng)該著眼于不斷改進(jìn)其安全態(tài)勢和流程。
勒索軟件威脅者主導(dǎo)著威脅格局��,將目標(biāo)對準(zhǔn)他們認(rèn)為可以支付豐厚贖金的組織��。這些威脅通常被貼上“贖金”的標(biāo)簽�����,因?yàn)樗鼈儾捎玫氖怯呗?。然而,從?zhàn)略上講��,它們帶來的風(fēng)險(xiǎn)遠(yuǎn)遠(yuǎn)高于單純的財(cái)務(wù)風(fēng)險(xiǎn)�����。不僅要求財(cái)務(wù)付款,而且還在泄露數(shù)據(jù)和嚴(yán)重危害網(wǎng)絡(luò)�。攻擊目標(biāo)包括為新冠肺炎研究和生產(chǎn)疫苗的醫(yī)療機(jī)構(gòu)�。
一旦觀察到惡意行為者反復(fù)表現(xiàn)出這種能力,防御者需要考慮以下幾點(diǎn)��。負(fù)責(zé)防御網(wǎng)絡(luò)的安全團(tuán)隊(duì)?wèi)?yīng)根據(jù)已知的勒索軟件TTP(戰(zhàn)術(shù)����、技術(shù)和程序)驗(yàn)證其態(tài)勢。仔細(xì)研究最近事件的細(xì)節(jié)����,尤其是2019年的挪威水電攻擊事件,可以幫助組織了解潛在后果���,并制定可采取行動(dòng)的應(yīng)急計(jì)劃�。
勒索軟件攻擊的復(fù)雜性正在增加��。一個(gè)典型的例子就是Ryuk勒索軟件組織�,據(jù)估計(jì),該組織在2020年的所有勒索軟件攻擊中占很大比例���。Ryuk的網(wǎng)絡(luò)攻擊鏈包括:
• 網(wǎng)絡(luò)釣魚電子郵件
• BazaarLoader執(zhí)行
• Cobalt打擊部署
• 域發(fā)現(xiàn)
• ZeroLogon against DC(域控制器)
• 附加資產(chǎn)發(fā)現(xiàn)
• 勒索軟件部署
根據(jù)目標(biāo)網(wǎng)絡(luò)的不同�,從最初感染到勒索軟件執(zhí)行的時(shí)間最長可達(dá)幾個(gè)小時(shí)。
在戰(zhàn)略層面上�����,防御者應(yīng)該評估網(wǎng)絡(luò)泄露的潛在危害�����。例如��,如果公司在特定的供應(yīng)鏈中扮演關(guān)鍵角色�,泄露可能會(huì)給社會(huì)帶來后果。微軟在去年10月份搗毀了Trickbot僵尸網(wǎng)絡(luò)使用的幾個(gè)關(guān)鍵基礎(chǔ)設(shè)施�,Trickbot是一個(gè)向國家和犯罪組織提供服務(wù)的僵尸網(wǎng)絡(luò)。
處理勒索軟件泄露還會(huì)對各國產(chǎn)生不同的監(jiān)管影響���。例如�,去年年底���,美國財(cái)政部外國資產(chǎn)控制辦公室(OFAC)向愿意支付贖金要求的組織發(fā)出了一項(xiàng)建議�����。他們警告稱�����,根據(jù)他們的指導(dǎo)方針����,如果收到付款的惡意行為者在OFAC制裁的個(gè)人名單中����,付款方將承擔(dān)違反美國制裁的責(zé)任。
在歐盟���,通用數(shù)據(jù)保護(hù)條例規(guī)定了在數(shù)據(jù)泄露后必須完成的一系列行動(dòng)��,如果違反這些規(guī)則���,組織將面臨嚴(yán)重的經(jīng)濟(jì)后果。因此��,法規(guī)遵從性是勒索軟件攻擊的另一個(gè)復(fù)雜影響�����,需要仔細(xì)和提前的計(jì)劃才能避免危機(jī)。
考慮到正在進(jìn)行的COVID-19疫情��,醫(yī)療保健仍然是勒索軟件高度攻擊的領(lǐng)域之一�,直接參與研究和生產(chǎn)COVID-19疫苗和治療方法的組織正處于攻擊的中心。
1.3醫(yī)療保健成為國家威脅組織及勒索軟件的攻擊目標(biāo)
在其他值得注意的威脅方面�,社會(huì)工程攻擊仍在繼續(xù)。例如�,在2020年下半年,威脅行為者利用社會(huì)對COVID-19���、美國總統(tǒng)選舉的廣泛興趣�����,欺騙受害者執(zhí)行惡意軟件或泄露證件�����。通常�����,社會(huì)工程攻擊的內(nèi)容與新聞周期有關(guān)�����,這一事實(shí)應(yīng)在終端用戶網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃中予以重視��。
國家支持的威脅組織的和勒索軟件組織的攻擊目標(biāo)都是醫(yī)療保健��,特別是COVID-19研究機(jī)構(gòu)�,他們還使用現(xiàn)成的紅隊(duì)工具來有效地開展攻擊。
去年11月�,美國國會(huì)通過了《物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》,這是為物聯(lián)網(wǎng)設(shè)備的開發(fā)和部署規(guī)定基線安全實(shí)踐的重要第一步�。該法案特別指派NIST為政府擁有或控制的物聯(lián)網(wǎng)設(shè)備的適當(dāng)使用和管理發(fā)布指導(dǎo)方針和建議。NIST與管理和預(yù)算辦公室將為影響物聯(lián)網(wǎng)設(shè)備的安全漏洞披露過程提供指導(dǎo)����。2020年����,美國政府立法在四個(gè)領(lǐng)域制定了基本安全做法,分別為安全發(fā)展�、身份管理、補(bǔ)丁����、和配置管理?�!?020年美國物聯(lián)網(wǎng)網(wǎng)絡(luò)安全改進(jìn)法案》已簽署成為法律。
歐盟網(wǎng)絡(luò)安全機(jī)構(gòu)ENISA也發(fā)布了一份《物聯(lián)網(wǎng)安全指南》��,特別關(guān)注物聯(lián)網(wǎng)資產(chǎn)的供應(yīng)鏈���。
去年12月��,安全公司火眼(FireEye)公開報(bào)告稱����,其網(wǎng)絡(luò)被一名老練的民族國家行為者成功入侵����。這次有針對性的攻擊成功地滲入了FireEye用來評估客戶安全態(tài)勢的自定義紅色團(tuán)隊(duì)工具。
FireEye對首次訪問的根本原因進(jìn)行了徹底的調(diào)查����,并意識到他們的公司只是眾多遭到攻擊的組織之一。訪問是通過Orion提供的�,Orion是由SolarWinds公司開發(fā)的網(wǎng)絡(luò)監(jiān)控產(chǎn)品,廣泛用于管理IT基礎(chǔ)設(shè)施�����。
2.2SolarWinds(SUNSPOT、SUNBURST���、SUPERNOVA)
這是一次供應(yīng)鏈攻擊���,一個(gè)SolarWinds Orion軟件更新被劫持,向數(shù)千個(gè)組織分發(fā)惡意軟件����。SUNBURST后門是在2020年2月發(fā)布的Orion 平臺上部署的。SUNBURST在部署后休眠長達(dá)兩周��,然后聯(lián)系指揮與控制中心(Command AndControl)接受進(jìn)一步的指令。與C&C的通信依賴于Orion使用的網(wǎng)絡(luò)協(xié)議,并存儲在合法的插件文件中,這給檢測帶來了挑戰(zhàn)。
受影響的客戶名單包括世界各地的政府機(jī)構(gòu)�、關(guān)鍵基礎(chǔ)設(shè)施和私營部門組織��。根據(jù)到目前為止的調(diào)查�,似乎只有一小部分接受后門更新的客戶在其基礎(chǔ)設(shè)施中部署了額外的第二階段惡意軟件。這表明�����,這次攻擊的目的是秘密滲透到目標(biāo)��,同時(shí)盡量減少被發(fā)現(xiàn)的可能性。
目前所知道的情況表明了與供應(yīng)鏈攻擊相關(guān)的重大風(fēng)險(xiǎn)�����。它們?yōu)楣粽咛峁┝艘粋€(gè)單一的弱點(diǎn)來集中攻擊�����,從而獲得對大量不同系統(tǒng)的訪問����。
MuddyWater是一種APT,以前與利用社會(huì)工程技術(shù)的間諜活動(dòng)有關(guān)����。2020年9月,ClearSky 網(wǎng)絡(luò)安全報(bào)告了針對以色列和其他國家組織的幾次攻擊���。攻擊利用了與Muddywater集團(tuán)相關(guān)的TTP��,并使用了兩種類型的攻擊向量進(jìn)行初始訪問:
• 社會(huì)工程
• 利用CVE-2020-0688 Microsoft Exchange漏洞
下面顯示的是使用MITRE攻擊與ck框架描述的威脅參與者所使用的技術(shù)���。
10月初,一份關(guān)于APT組織針對講俄語的目標(biāo)進(jìn)行重點(diǎn)工業(yè)間諜活動(dòng)的報(bào)告發(fā)表����。雖然這些攻擊可以追溯到2018年��,但使用的一些技術(shù)和程序是最近使用惡意軟件所獨(dú)有的��。該惡意軟件使用合法的公共云服務(wù)�����,如Dropbox和谷歌進(jìn)行C&C����,而且它大量使用隱寫術(shù)����。持久性是通過修改用于合法應(yīng)用程序的現(xiàn)有.lnk文件來實(shí)現(xiàn)的。
2.5針對俄羅斯工業(yè)企業(yè)的無名活動(dòng)
去年11月發(fā)表了一份關(guān)于一個(gè)組織對俄羅斯工業(yè)組織進(jìn)行網(wǎng)絡(luò)釣魚活動(dòng)的報(bào)告�����。根據(jù)這份報(bào)告��,大部分目標(biāo)都在采礦��、物流��、能源���、建筑和石油天然氣等行業(yè)�。所采用的社會(huì)工程方法針對每個(gè)目標(biāo)進(jìn)行了高度定制�����。電子郵件被精心設(shè)計(jì)成似乎來自目標(biāo)組織內(nèi)部或業(yè)務(wù)伙伴���。
有效載荷安裝了過時(shí)版本的TeamViewer�,然后對其進(jìn)行修改���,以通過惡意DLL向使用機(jī)器的人完全隱藏其界面�����。攻擊者使用TeamViewer客戶端連接到目標(biāo)��,然后開始在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)并竊取數(shù)據(jù)�����。這一特殊的威脅行為體似乎主要是出于金融欺詐的動(dòng)機(jī)���。
美國聯(lián)邦調(diào)查局(FBI)和美國國家安全局(NSA)在8月份聯(lián)合發(fā)布了一份報(bào)告��,描述了Drovorub Linux惡意軟件工具包是由俄羅斯的GRU提供的�。此外�����,施耐德電氣11月10日發(fā)布安全公告�����,建議采取縱深防御的方式�����,保護(hù)其兩款產(chǎn)品免受惡意軟件的攻擊����。通過內(nèi)存分析、基于主機(jī)的探測和網(wǎng)絡(luò)流量來檢測Drovorub的細(xì)節(jié)方法����。
WebSockets上的JSON用于不同組件之間的通信�。由于kernalrootkit使用反取證技術(shù)來隱藏Drovorub在文件系統(tǒng)��、網(wǎng)絡(luò)和進(jìn)程列表中的存在���,因此檢測Drovorub的存在具有挑戰(zhàn)性。
2.7Trickbot僵尸網(wǎng)絡(luò)
自2016年以來�,Trickbot僵尸網(wǎng)絡(luò)一直活躍,通常通過電子郵件傳播�����。通過有效地運(yùn)營“惡意軟件即服務(wù)”平臺�,其運(yùn)營商可以出售對受感染機(jī)器的訪問權(quán)限?����?蛻艨赡苁菍で筮M(jìn)入可貨幣化目標(biāo)的普通罪犯��,甚至可能是尋找特定資產(chǎn)的民族國家行為者����。
由微軟牽頭的協(xié)調(diào)行動(dòng)中斷了依賴于美國服務(wù)器的Trickbot C&C連接。然而��,惡意軟件運(yùn)營商很快就在歐洲、南美和亞洲使用受感染的Mikrotik消費(fèi)者路由器建立了新的C&C基礎(chǔ)設(shè)施��。新節(jié)點(diǎn)的地理分布�����,再加上配置它們的方便性���,使得新的C&C服務(wù)器更難關(guān)閉�。
Bazar是一個(gè)模塊化的惡意軟件平臺�,它有兩個(gè)功能:一個(gè)是在成功攻擊(如釣魚電子郵件)后部署的加載程序,另一個(gè)是用于在目標(biāo)內(nèi)建立持久性的后門��。一旦后門被成功激活���,它通常被用來部署額外的有效負(fù)載�����。
Bazar因使用.bazar域名而得名�����,.bazar域名是基于EmerCoin區(qū)塊鏈的DNS的替代命名方案��。
Ryuk是一個(gè)臭名昭著的勒索軟件�����,在2020年一直活躍��,據(jù)信它是由一個(gè)專業(yè)犯罪集團(tuán)運(yùn)營的�����,該集團(tuán)賺取了超過1.5億美元的比特幣��。Ryuk攻擊的目標(biāo)還包括應(yīng)對COVID-19大流行時(shí)的醫(yī)療機(jī)構(gòu)�����。Ryuk也因其攻擊速度而脫穎而出���。根據(jù)目標(biāo)網(wǎng)絡(luò)的不同,從最初感染到勒索軟件執(zhí)行的時(shí)間可能短至幾個(gè)小時(shí)��。
CobaltStrike是一個(gè)付費(fèi)軟件套件��,用于模擬威脅和執(zhí)行有針對性的攻擊�����。它包括用于偵察、后利用�����、秘密通信和實(shí)時(shí)團(tuán)隊(duì)協(xié)作的模塊�。雖然主要由公司用于滲透測試,但威脅參與者在對公司網(wǎng)絡(luò)進(jìn)行攻擊時(shí)已經(jīng)使用該工具包��。許多實(shí)施勒索軟件攻擊的組織會(huì)利用泄露的Cobalt Strike版本進(jìn)行橫向移動(dòng)和C&C通信�����。
RagnarLocker是一款勒索軟件�。它用來逃避檢測的新方法之一是部署一個(gè)虛擬機(jī),其中包含執(zhí)行加密所需的實(shí)用程序�����。這將阻止基于主機(jī)的安全軟件對其進(jìn)行監(jiān)控��。Ragnar Locker運(yùn)營商����,會(huì)在加密之前執(zhí)行數(shù)據(jù)盜竊���。他們利用竊取的數(shù)據(jù)作為籌碼,通過公布文件樣本或聯(lián)系媒體�,迫使受害者支付贖金。
在2020年下半年���,Netwalker勒索軟件運(yùn)營商攻擊了包括阿根廷官方移民機(jī)構(gòu)�、大學(xué)�����、政府機(jī)構(gòu)和網(wǎng)絡(luò)安全�、能源和衛(wèi)生部門的公司在內(nèi)的知名攻擊目標(biāo)�����。
這個(gè)威脅團(tuán)伙依靠電子郵件���、弱RDP憑據(jù)或攻擊虛擬專用網(wǎng)設(shè)備來獲得對目標(biāo)網(wǎng)絡(luò)的初始訪問權(quán)限���。在執(zhí)行橫向移動(dòng)之后,數(shù)據(jù)會(huì)使用Mega等流行的云服務(wù)進(jìn)行滲透�����,然后進(jìn)行加密。NetWalker組織會(huì)以數(shù)據(jù)泄露來威脅受害者以支付贖金�����。
Egregor是一種新興的勒索軟件����,顯示類似于Sekhmet勒索軟件。已經(jīng)成功的攻擊了一家南美零售巨頭�,在攻擊期間,數(shù)據(jù)被泄露�����,打印機(jī)被濫用來打印贖金紙條�。Egregor運(yùn)營商維護(hù)著一個(gè)作為Tor隱藏服務(wù)運(yùn)行的網(wǎng)站,該網(wǎng)站顯示了其最新受害者的信息���。
根據(jù)Check Point Research發(fā)布的警報(bào)��,許多以色列公司報(bào)告稱���,一種未知的惡意軟件發(fā)動(dòng)了勒索軟件攻擊����,后來被確認(rèn)為Pay2Key�。Pay2Key運(yùn)營商表現(xiàn)出了在獲得初始立足點(diǎn)后迅速通過目標(biāo)網(wǎng)絡(luò)傳播的技能。此外���,贖金紙條是為每個(gè)目標(biāo)定制的����。Pay2Key組織擁有一個(gè)網(wǎng)站����,以隱藏服務(wù)的形式運(yùn)行���,發(fā)布被泄露的數(shù)據(jù)�����,以此作為“合作”的激勵(lì)�。
Emotet最初是一個(gè)銀行特洛伊木馬程序��,但現(xiàn)在它的主要功能是加載程序�����,在受感染的計(jì)算機(jī)上添加額外的惡意有效負(fù)載。為了感染受害者�,emotet利用帶有惡意鏈接或附件的電子郵件。
Emotet最近引入的一種技術(shù)是通過使用密碼將惡意附件存檔來加密它們���。當(dāng)受害者被騙提取附件時(shí)����,電子郵件網(wǎng)關(guān)的惡意軟件過濾器就會(huì)被繞過��。進(jìn)入受感染計(jì)算機(jī)的權(quán)限被出租給其他惡意組織����,然后他們繼續(xù)安裝勒索軟件(如Ryuk)或工具來獲取財(cái)務(wù)信息
SDBbot是一個(gè)用c++編寫的遠(yuǎn)程訪問工具,通常用于在網(wǎng)絡(luò)中橫向移動(dòng)和竊取數(shù)據(jù)��。它與TA505威脅actor和另外的Clop勒索軟件有關(guān)��。
Mozi(也稱為Mozi.m)是一個(gè)大型僵尸網(wǎng)絡(luò)�,主要由路由器和物聯(lián)網(wǎng)設(shè)備組成。這些所謂的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)通常用于隧道傳輸或發(fā)起DDoS攻擊��。Mozi的節(jié)點(diǎn)不斷地掃描互聯(lián)網(wǎng),尋找使用弱telnet憑據(jù)的設(shè)備��,或容易受到僵尸網(wǎng)絡(luò)可以利用的幾個(gè)漏洞的設(shè)備�。
Mozi使用基于DHT協(xié)議的P2P架構(gòu),并依賴于用于BitTorrent的現(xiàn)有DHT基礎(chǔ)設(shè)施�����。該惡意軟件一旦部署在易受攻擊的設(shè)備上����,就會(huì)支持多個(gè)DoS攻擊-這是典型的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)策略。
Moobot是一種自傳播僵尸網(wǎng)絡(luò)��,它以暴露的物聯(lián)網(wǎng)設(shè)備為目標(biāo)����,并將其用于DDoS等惡意活動(dòng)。僵尸網(wǎng)絡(luò)通過利用弱telnet憑證進(jìn)行傳播�����,并利用路由器��、NVR���、DVR和IP攝像機(jī)等在線消費(fèi)設(shè)備進(jìn)行攻擊��。
Moobot在公開之前使用了兩個(gè)漏洞攻擊-NetlinkGPON Router 1.0.11 RCE漏洞攻擊和另一個(gè)針對CCTV NVR/DVR設(shè)備的漏洞攻擊���。這表明僵尸網(wǎng)絡(luò)的開發(fā)者要么擁有從市場上獲得零日漏洞攻擊的資源,要么擁有執(zhí)行獨(dú)立漏洞研究的技術(shù)專長����。這些功能使他們有別于普通的物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)運(yùn)營商。
軟件供應(yīng)鏈脆弱性研究與開發(fā)雖然不是一個(gè)新概念�,但卻是近幾個(gè)月來最重要的發(fā)展趨勢。威脅參與者研究供應(yīng)鏈以發(fā)現(xiàn)漏洞��,然后利用軟件堆棧中常用的嵌入式組件��,或者危害廣泛使用的軟件或服務(wù)���。
如果目標(biāo)組件或軟件相對模糊�,則可能沒有受到與已知軟件相同級別的安全審查�,從而增加了攻擊者的成功機(jī)會(huì)��。組件或服務(wù)的功能越關(guān)鍵���,安全問題就越嚴(yán)重。
在2020年下半年��,兩大供應(yīng)鏈?zhǔn)录贾鲗?dǎo)地位����。Ripple20漏洞是嵌入式組件供應(yīng)鏈風(fēng)險(xiǎn)的一個(gè)例子。JSOF在Treck的TCP/IP堆棧中發(fā)現(xiàn)了19個(gè)漏洞�,這些漏洞被各種各樣的資產(chǎn)使用,并演示了針對UPS的遠(yuǎn)程代碼執(zhí)行攻擊����。
由SolarWinds開發(fā)的受損軟件也屬于軟件供應(yīng)鏈范疇。在這起案件中����,一種廣泛使用的軟件的泄露導(dǎo)致美國數(shù)千家公私機(jī)構(gòu)遭到成功攻擊。這種攻擊突出了終端用戶面臨的風(fēng)險(xiǎn)�����,這些用戶對其網(wǎng)絡(luò)中使用的軟件或服務(wù)代理有限���,但卻直接受到其危害的影響���。
因此,供應(yīng)鏈攻擊是一個(gè)非常廣泛的話題�����,它們對網(wǎng)絡(luò)安全態(tài)勢的實(shí)際影響取決于個(gè)案評估�����。此外�����,防御這種威脅是一項(xiàng)艱巨的任務(wù)�,沒有立竿見影的解決辦法。
可行的方法是是記錄第三方供應(yīng)商暴露的攻擊面����,這些供應(yīng)商提供嵌入關(guān)鍵軟件堆棧的組件,以及具有訪問網(wǎng)絡(luò)特權(quán)的服務(wù)或軟件�。鑒于現(xiàn)代環(huán)境的復(fù)雜性,任何組織都需要進(jìn)行大量投資��。
授權(quán)軟件是許多OT網(wǎng)絡(luò)中的重要組件,用于執(zhí)行自動(dòng)化過程中涉及的許多系統(tǒng)的許可策略�����。它通常以網(wǎng)絡(luò)服務(wù)的形式部署�����,該網(wǎng)絡(luò)服務(wù)與遠(yuǎn)程軟件連接以進(jìn)行授權(quán)管理����。這些固有特性使授權(quán)軟件成為OT網(wǎng)絡(luò)攻擊的熱門目標(biāo)。
在勒索軟件列表中發(fā)現(xiàn)了授權(quán)軟件程序的名稱�����,最著名的是Ekans���,這突顯了這些系統(tǒng)的關(guān)鍵性質(zhì)�����。由于許可服務(wù)器可以訪問網(wǎng)絡(luò)中有價(jià)值的系統(tǒng)�����,因此它代表了進(jìn)一步攻擊的特權(quán)啟動(dòng)平臺���。根據(jù)系統(tǒng)的配置,如果許可證服務(wù)器變得無法訪問��,自動(dòng)化功能可能會(huì)降級或完全停止���。
羅克韋爾自動(dòng)化��、西門子和其他公司使用的第三方許可證管理系統(tǒng)WibuSystems的CodeMeter都是廣泛的攻擊目標(biāo)��。研究人員確定了幾個(gè)高風(fēng)險(xiǎn)的漏洞�����,造成了特別危險(xiǎn)的情況�。CodeMeter是許多自動(dòng)化供應(yīng)商軟件中的一個(gè)組件��,而ICS軟件經(jīng)常長時(shí)間未打補(bǔ)丁�,大大增加了曝光時(shí)間。
面對不斷出現(xiàn)的新威脅�����,簡單地知道給定時(shí)間框架內(nèi)的攻擊和漏洞數(shù)量并不是評估風(fēng)險(xiǎn)的方法。相反���,安全團(tuán)隊(duì)?wèi)?yīng)該不斷改進(jìn)安全基礎(chǔ)�,并評估這些措施如何應(yīng)對主要的新出現(xiàn)的威脅����。為了幫助防御者了解當(dāng)前的威脅格局,需要在以下方面進(jìn)行預(yù)防:
• 網(wǎng)絡(luò)監(jiān)控
• 減少攻擊面
• 網(wǎng)絡(luò)分段
• 身份和訪問管理(IAM)
• 容災(zāi)計(jì)劃
• Active Directory強(qiáng)化
• 安全遠(yuǎn)程訪問
• 基于HTTPS的Y DNS
• 基于區(qū)塊鏈的Y檢測
• 基礎(chǔ)設(shè)施
• 合法上網(wǎng)意識
• 服務(wù)濫用
從2020年開始��,運(yùn)營技術(shù)和關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)對醫(yī)療保健���、經(jīng)濟(jì)和社會(huì)比以往任何時(shí)候都更加重要���。隨著工業(yè)組織向數(shù)字化轉(zhuǎn)型的競爭,威脅參與者正利用更大的OT連接性來發(fā)起旨在破壞運(yùn)營并威脅全球企業(yè)安全性�、盈利能力和聲譽(yù)的攻擊。采取必要步驟來檢測和捍衛(wèi)關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)運(yùn)營���,從來沒有像現(xiàn)在這樣重要���。
對過去六個(gè)月發(fā)布的151個(gè)ICS-CERT的分析發(fā)現(xiàn)���,內(nèi)存損壞錯(cuò)誤是工業(yè)設(shè)備的主要漏洞類型。并且這種情況將繼續(xù)下去����,因?yàn)樵S多ICS資產(chǎn)缺乏內(nèi)在安全���,受到的安全監(jiān)督有限���。
SolarWinds的入侵是軟件供應(yīng)鏈攻擊的重大風(fēng)險(xiǎn)。無論攻擊是否成功地破壞了嵌入式組件���、廣泛使用的服務(wù)或軟件�����,或供應(yīng)商的網(wǎng)絡(luò)��,對供應(yīng)鏈下游公司的影響都可能是重大的���。防御這種威脅是一項(xiàng)艱巨的任務(wù),需要減少攻擊面����、良好的網(wǎng)絡(luò)分段和高網(wǎng)絡(luò)復(fù)原能力��。
勒索軟件攻擊將持續(xù)作為主要風(fēng)險(xiǎn)�����,組織應(yīng)確保安全團(tuán)隊(duì)擁有最新的OT和物聯(lián)網(wǎng)威脅情報(bào)����,以便進(jìn)行持續(xù)的威脅建模和風(fēng)險(xiǎn)評估����。在勒索軟件組織攻擊公司的威脅環(huán)境中,了解主動(dòng)攻擊下的漏洞至關(guān)重要�����。民族國家組織利用非零日漏洞進(jìn)行復(fù)雜攻擊的事實(shí)也加劇了這種風(fēng)險(xiǎn)�。此外,還應(yīng)做好準(zhǔn)備��,在發(fā)生入侵時(shí)迅速采取行動(dòng)���,并與財(cái)務(wù)��、法律���、合規(guī)和通信等其他業(yè)務(wù)部門攜手合作進(jìn)行災(zāi)難恢復(fù)����。
另外��,組織應(yīng)該專注于識別未修補(bǔ)的軟件并實(shí)施更新或緩解策略��。訂閱威脅情報(bào)服務(wù)有助于提供當(dāng)前OT和IoT威脅和漏洞情報(bào)���。
1.Nozomi Networks:OT/IoT Security Report,F(xiàn)ebruary 2021
2.https://www.nozominetworks.com/blog/new-report-top-ot-iot-security-threats-and-vulnerabilities/
來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
在線咨詢
在線咨詢
0371-63319761
