勒索软件猛烈抨击韦斯特洛克和其他工业组织
自从Wannacry & NotPetya2017年,我们每天都在目睹来自IT方面的攻击事件,这些攻击影响着OT网络。美国国家安全局(NSA)也是强调这个问题原因很简单。它的工作原理。
Ransomware是如何工作的
这是解释为什么勒索软件攻击事件在去年急剧增加的最简单的方式,而且看不到尽头。在过去的两年中,勒索软件攻击的数量跃升了97%,平均赎金支付在过去的六年中增长了超过600%,停机时间增加了200%,平均每次事件的成本也在上升。
具有诸如琉克,埃格瑞格,康蒂,拉格纳·洛克以及其他许多人冷酷无情,资金充足,并愿意针对任何人;来自COVID-19疫苗制造商,汽车制造商政府、关键基础设施和医院,以获得他们的报酬。事实上,是第一个ransomware-related死亡去年9月,德国一家医院感染了勒索软件,在Covid-19疫情爆发期间无法治疗患者。
作为SCADAfence保护平民生命和安全的使命的一部分,我们整理了这篇指南来帮助你在你的工业组织中防止勒索软件。
勒索软件的加密过程
让我们回到开始,首先讨论一下这些攻击是如何加密系统的。
从我们之前研究过的勒索软件攻击中,我们了解到,从攻击者获得初始访问权限的那一刻起,他们可以在几小时内加密整个网络。在其他情况下,攻击者将花费更多时间来评估他们想要加密的资产,并确保它们到达关键服务器,如存储服务器和应用服务器。
最近你在新闻上看到的大多数勒索软件攻击都试图终止杀毒程序,以确保它们的加密过程不会中断。最近的勒索软件变种如蛇、DoppelPaymer和LockerGoga甚至还进一步终止了ot相关的进程,如西门子SIMATIC WinCC、Beckhoff TwinCAT、Kepware KEPServerEX和OPC通信协议。这确保了工业过程被中断,这增加了受害者支付赎金的机会。这些类型的勒索软件攻击可以在最近的攻击中看到本田和ExecuPharm。
图#1 - OT安全挑战:暴露于加密的工业组件
据我们所知,勒索软件通常加密Windows和Linux机器。我们还没看到任何plc被加密。然而,许多工业服务都运行在Windows / Linux机器上——比如历史学家、HMIs、存储、应用服务器、管理门户和OPC客户端/服务器。
在许多情况下,勒索软件的行动不会停止在IT网络,也会攻击其他部门。加密设备越多,攻击者的赎金要求就越高。
组织必须能够监控和检测跨IT/OT边界的威胁,以便在到达流程关键的端点之前有效地识别风险。
图#2 -防勒索软件:如何防止勒索软件对工业网络的攻击
勒索软件运营商使用的一些工具和技术,与民族国家威胁行为者在有针对性的间谍活动中使用的工具和技术处于同一水平。
图#3 -勒索软件攻击中最常用的战术、技术和程序
我们建议各组织实施以下常见的安全程序,以最大限度地降低在kill chain的每个步骤中被勒索软件感染的风险:
最初的访问:
- RDP
- 如果可能,将RDP替换为a远程访问解决方案这需要双重认证,现在很多vpn都支持双重认证。这将要求攻击者得到验证,例如通过SMS发送的代码。
- 如果您选择仍然使用RDP,请确保它的Windows更新已启用并正在工作。
- 网络钓鱼邮件
- 教育该组织的员工如何防范网络钓鱼攻击。员工应该对不正确的电子邮件持怀疑态度,不要点击可疑的链接。
- 安装反钓鱼解决方案。
- 面向互联网的服务器的软件漏洞
- 从网络外部扫描组织的IP范围。验证所有公开的IP/端口都是您所期望的。
- 确保为您公开的服务启用了自动安全更新。如果您的某个服务(例如web服务器)不具有该功能,请考虑将其更改为具有该功能的类似服务。
横向运动:
1.防火墙和Windows更新在所有的工作站和服务器上启用防火墙。确保Windows更新已启用。这将确保您的机器将为最新的漏洞打补丁,也将减少横向移动技术的可能性。微软不断更新他们的安全策略和防火墙规则。一个很好的例子是,他们禁用了使用任务调度程序' at '命令远程创建进程。
2.端点保护
端点保护工作。除了阻止传统的黑客技术外,有些还拥有针对勒索软件的防御系统,可以保护你的资产不受加密的影响。
3.网络市场细分
理想情况下,您应该尽量降低工业网络在遭受勒索软件攻击时受到影响的风险。
- 尽可能将IT网与OT网段分开。监视和限制段之间的访问。
- 使用不同的管理服务器到OT和IT网络(Windows域等)。这样做,不会对OT域造成影响。
4.持续的网络监控
一个持续的网络监控平台(我们碰巧知道一个很不错的),将帮助您识别威胁,同时分析网络流量,将帮助您看到什么正在发生在您的网络的更大的画面。
5.数据漏出
监视您的网络以获取不寻常的出站流量。每天的用户活动产生的上行活动不应高于每个用户每天约200MB。
更多的可见性=更少的脆弱性
优化的安全和性能策略从网络流量100%可见性开始,从数据包可见性开始。为了实现这一点,你需要消除网络中的盲点,以便ICS安全工具如SCADAfence可以检测威胁和异常并进行持续监视。毕竟,这些工具只有在能够对数据包数据可见性进行全面分析的情况下才能发挥作用——为此,您需要根据您的安全和基础设施策略部署网络开关、空气间隙虚拟开关和数据二极管。
数据包可见性的行业最佳实践是网络访问点(测试接入点)。网络水龙头是一种专门设计的硬件设备,它可以在不影响网络完整性的情况下,持续、全天候地创建流量的精确全双工副本。
可见性解决方案需要在可见性架构中实现基本的最佳实践。为了实现这一点,你需要消除网络中的盲点,以便ICS安全工具可以检测威胁和异常,并进行持续监控。毕竟,这些工具只有在能够进行完整的分析的情况下才能完成它们的工作分组数据的可见性-为此,你需要根据你的安全和基础设施策略部署网络接头、空气间隙虚拟接头和数据二极管。
SCADAfence如何帮助你
我们提供全面的解决方案SCADAfence的平台它是为了保护像你们这样的工业组织免受工业网络攻击(包括勒索软件)而建立的。它还可以帮助您在其内置特性中实现更好的安全实践。其中包括:
- 资产管理
- 网络地图
- 交通分析
这些工具将帮助您的组织实现更好的网络细分,以确保您的防火墙正常工作,并确保OT网络中的每个设备只与它们应该与之通信的设备通信。您还将能够发现不在其应有位置的资产,例如,DMZ中被遗忘的资产。
的平台,哪一个也是评价最高的OT和物联网安全平台该公司还监控网络流量,以防范任何威胁,包括典型的勒索软件攻击所造成的威胁;如:
- 安全漏洞正在通过网络发送。
- 横向运动尝试使用最新的技术。
- 网络扫描和网络侦察。
在出现安全漏洞的情况下,SCADAfence的详细警报将帮助您尽快控制这些威胁。最终,我们构建了这个工具,以帮助行业组织了解他们的攻击面,实现有效的分割和持续的网络监控任何恶意或异常活动。
视频:有针对性的勒索软件攻击剖析:
我们想和你分享一个真实的故事我们最近针对工业勒索软件网络攻击的回应。SCADAfence的事件响应小组协助公司应对网络安全紧急情况。在这段视频中,我们将回顾我们最近参与的事件响应活动。本研究的目的是协助组织计划此类事件,并减少目标工业勒索软件对其网络的影响。
希望增加网络可见性和勒索软件的安全性,但不确定从哪里开始?加入我们的简短网络设计咨询或演示。没有义务,这是我们喜欢做的
