工業控制系統即BAS 的穩定運行,是樓宇正常運轉的基石,是工廠正常運轉的基石,是數據中心等物理空間正常運轉的基石。然而,隨著數字化技術的普及,隨著物聯網技術的普及,針對工業控製網絡的勒索病毒攻擊,正成為日益嚴峻的現實威脅。一次成功的攻擊,會導致系統癱瘓,會導致數據被加密,更可能引發生產停滯,引發環境失控,甚至引發安全事故,造成遠超過贖金的經濟與聲譽損失。因此,構建針對BAS 的勒索病毒防護體系,絕非簡單的IT 安全延伸,而是一項涉及技術的綜合性防禦工程,是一項涉及管理的綜合性防禦工程,是一項涉及流程的綜合性防禦工程。
什麼是針對BAS的勒索病毒攻擊
針對BAS的勒索病毒侵襲,它的中堅意圖便是經由加密控制器的程序檔案、工程文檔、歷史數據庫或者致使關鍵服務器陷入癱瘓狀態,以此強逼運營方支付贖金,攻擊者常常憑藉工程軟件的漏洞、具備弱密碼的遠程訪問端口(像RDP、VNC)、或者感染了病毒的工程師站當作跳板,漸次滲透到控製網絡,跟傳統IT系統不一樣,對BAS發起攻擊往往能夠造成身處物理世界的直接作用,比如說關閉整座樓宇的HVAC系統,又或者讓生產線陡然停機。
動機從單純拿錢勒索,延伸至商業競爭搞破壞或者行動。好多BAS 系統在用過時、沒及時更新的操作系統,還依賴特定商用或私有協議,普遍有已知卻沒補救的。攻擊者藉助這些窟窿,能比較輕易拿到系統高級權限,接著佈置勒索軟件。攻擊環節也許持續好幾週甚至好幾個月,期間搞橫向移動和升權限,最後挑關鍵時點(比如旺期)一起爆發。
為什麼BAS系統容易遭受勒索病毒攻擊
首先,BAS系統易受攻擊的主要緣由是其生命存續期長久以及更新頗為艱難,怎麼說呢,一套BAS的部署常常要延續15至20年,然而,其底層的操作系統、組態軟件以及控制器固件卻不容易同步進行更新,而且好多現場控制器甚至不具備在線升級的能力,一旦發覺存在漏洞,補丁修復流程繁雜並且有可能對生產連續性造成影響,致使大量系統長時間帶著問題運行,這樣一來,這種以可用性優先於安全性的設計初衷,在聯網時代就變成了極大的安全隱患。
是網絡隔離出現了失效情況,還有邊界也變得模糊了。為了達成遠程監控、能效管理或者與上層企業系統進行集成,原本處於物理隔離狀態的BAS網絡,越來越頻繁地借助防火牆、網閘和企業IT網以及互聯網產生連接。要是這些連接點配置不合適,那就會成為攻擊路徑。另外,維護人員所使用的筆記本電腦、U盤,頻繁地在辦公網和控製網之間交叉使用,非常容易成為病毒的載體。傳統的防護觀念覺得控製網是“孤島”,然而在實際當中它已經不再安全了。
如何評估BAS系統的勒索病毒風險
風險評估起始於資產清單,你要詳盡梳理全部BAS組件,涵蓋中央服務器、操作員站、工程師站、各類控制器(DDC、PLC)、網絡設備以及關鍵的工程文件、配置備份,明確哪些資產對於業務連續性最為關鍵,比如控製冷水機組或消防系統的控制器,針對這些關鍵資產,要評估其操作系統版本、軟件補丁級別、存在的已知漏洞以及當前的訪問控制措施,識別出最為薄弱的環節。
緊跟著的,是針對威脅路徑做分析。從模擬攻擊者的角度出發,去審視系統裡每一個所有可能存在的入口:像是遠程維護通道,第三方供應商接入點,和企業網的接口,還有無線接入點等等。要檢查網絡分段這個舉措是不是很有效,不同的功能區,比如說暖通空調、照明、安防這些區域之間,是不是存在著必需的隔離呢。與此同時,要對已有的安全事件的監控以及響應能力展開評估,比如說有沒有部署工業流量監測設備,能不能夠及時察覺到那種異常的網絡掃描,或者未獲得授權的數據上傳行為。只有把資產的價值與威脅的可能性結合起來,這樣才能夠去量化風險等級。
如何構建BAS系統的縱深防禦體系
具備分層設防特性作為對縱深防禦而言極具關鍵意義的核心要點,其目的在於確保,哪怕一道防線遭遇被突破的狀況之時,那些後續設置的防線依舊能夠充分發揮出應有的作用。在網絡這一層次上面,必然需要切實實施嚴謹的區域劃分工作,借助工業防火牆或者擁有安全功能的交換機構築形成“管道”,僅僅許可必要的通信數據流量在特定的區域之間進行流動。比如說,把管理網絡、控製網絡以及現場設備網絡等進行邏輯層面或者物理層面的隔離,並且嚴格把控從IT網到OT網的訪問策略,將所有非必要的端口以及服務予以關閉。
於主機跟終端層面,所有專為工業場景構建設計出的需要預先排除對工控軟件誤報情況的防病毒軟件會被安裝放置在一切類的工作站以及服務器上面,並且病毒庫會被定期予以更新。應用程序白名單策略會被施行開展,只有經過授權同意的程序才被允許運行。針對全部賬戶,最小權限原則會被實行,默認賬戶會被禁用,強力密碼會被強制要求使用且要定期進行更換。對於那些很難打上補丁的老舊系統,虛擬補丁或者入侵檢測系統會被考慮進行部署,在網絡層面針對已知漏洞的攻擊行為會被攔截。
如何制定有效的備份與恢復計劃
必須對BAS進行全方位以及可驗證的備份,它涵蓋的可不只是中央服務器那兒的項目工程文件、配置數據庫與用戶權限設置噢嘿,更為關鍵的是所有現場控制器的完整程序、參數啦還有固件呢。備份得定期開展去做,而且在每次系統有重大變更後要馬上執行起來呀。備份介質得離線保存著的喲,要么就存儲在物理隔離、沒辦法從網絡直接去訪問的啥安全位置,為的是防止備份數據自身被勒索軟件給加密嘍。與此同時,要保留多個處於不同歷史時間點的備份版本吶。
關鍵性的恢復計劃,在於定期去開展演練。你得詳細記錄下,每一步恢復操作的流程,所需用到的工具,和所依賴的條件,就好比恢復控制器程序,需要特定的工程軟件版本,以及下載線纜。至少每年要進行一回模擬恢復演練,要在不影響生產的情形下,試著運用備份文件,去恢復一台備用控制器,或者測試服務器。唯有經過實戰檢驗的備份,才是可靠的。演練還能夠助力評估恢復時間目標,也就是明確從攻擊發生,到系統恢復正常所需的最長時間,為業務連續性決策,提供相應依據。
如何培訓員工並建立安全響應流程
安全鏈條裡,人是最為關鍵且最為脆弱的那一環,針對全體相關人員,涵蓋運維工程師、系統集成商乃至設備管理人員,須開展持續的安全意識培訓,這樣的培訓內容要具體,像怎樣識別釣魚郵件這樣,禁止把私人U 盤用於工作,安全地進行遠程訪問操作流程,遇到電腦彈窗提示文件被加密這類異常時緊急上報的各步驟,借助模擬釣魚攻擊等辦法,持續測試並提升員工的警惕性。
與此同時,務必要構建編寫書面形式的安全事件響應預案。該預案應當清晰地明確不一樣安全事件,像發現病毒、遭遇勒索這類情況的響應級別,內部通報的流程,做出決策的責任人以及外部予以支持的資源,比如專業工控安全公司、執法機構的聯繫方式。要明確在系統被加密之後,關於是否支付贖金的決策機制以及法律風險評估的流程。需定期組織桌面推演,使得相關團隊熟知在壓力狀況下怎樣進行協作,進而在真實攻擊發生之際能夠井然有序地開展遏制、根除以及恢復工作。
每日漸趨繁雜的勒索病毒威脅當前,您立足其中的機構,是否已然就BAS系統做完了上述風險評估,並且擬訂出了經演練證實有效的備份恢復預案呢?歡迎於評論區去分享您親身經歷的實踐經驗或者所遭遇的挑戰內容,則若您覺得本文具備參考價值,還請毫不吝嗇地給予點贊並進行分享。
發佈留言