-
安全产品
-
-
-
CyberX《2020年全球IoT/ICS风险报告》述评
发布时间:
2019-12-17
来源:
作者:
访问量:
43
2019年10月22日,美国知名工业网络安全公司CyberX在亚特兰大举行的全球ICS网络安全大会上正式发布了其《2020年全球IoT/ICS风险报告》,这也是CyberX第三次发布年度IoT/ICS安全风险报告。
今年的报告对来自1821个生产网络的数据进行了分析,使用了CyberX公司获得专利的被动的、无代理监控的深包检查(DPI)和网络流量分析(NTA)算法。基于各种IoT /ICS系统--包括机器人、制冷、化学和制药、发电、石油、交通运输、采矿和建筑物管理系统(HVAC,CCTV等),收集的数据时间跨度为2018年10月至2019年10月。与基于意见调查来评估IoT/ICS安全状态的其他报告不同,该报告的独特之处在于根据从现实世界网络中收集的实际流量来提供数据驱动的分析。如果将前两年报告中提供的数据来源计算在内,CyberX现在已经分析了全球3,000多个网络的数据。
一、报告的主要发现
报告从工业现场使用的操作系统、身份认证、远程设备访问、明确发现的威胁指标、网络分区与隔离、反病毒软件自动更新、各行业安全状况评分七个方面客观陈述了当前IoT/ICS的安全状况,通过与去年报告中相应数据的对比,相关情况的改善并不明显,老旧操作系统的使用和无自动AV更新两项指标有更加恶化的倾向。以下是报告总结的基本事实。
1、损坏的Windows:老旧的操作系统
62%的站点使用已过时且不受支持的Microsoft Windows机器(例如Windows XP和Windows 2000),这意味着它们不再从Microsoft接收安全补丁。如果将Windows 7计算在内,该数字将跃升至71%,该Windows版本将在2020年1月终止更新服务。
2、众目睽睽之下的隐藏:未加密的口令
64%的站点使用未加密的口令,明文口令穿梭于网络中。明文口令之所以具有危险性,是因为它使访问受限系统变得容易,不支持SNMP v3或SFTP等现代协议的旧设备通常是将口令保留为明文的罪魁祸首。明文口令加上很少更改口令,这使得IoT/ICS网络很容易成为针对性的攻击目标。一旦口令被嗅探到,就可以用来危害其他网络或设备,或者在发动攻击之前进行悄悄的“网络侦察”。
3、过度访问:远程访问设备
54%的站点具有可以使用标准协议(例如RDP,SSH和VNC)远程访问的设备。勒索软件的主要攻击向量之一就是RDP,通过这种方式,攻击者可以通过网络钓鱼、社会工程、蛮力攻击或仅通过嗅探纯文本口令来窃取远程访问凭据,从而获得访问权限。远程访问使攻击者可以从IT横向移动到OT网络,并在整个网络中以悄悄潜伏方式扩展其生存能力。
4、清晰且明确的当前危险:威胁指标
22%的站点上发现了威胁指标。CyberX的网络流量分析识别出了可疑活动,例如扫描流量、恶意DNS查询、异常HTTP包头、设备之间的连接数量过多以及已知的恶意软件,CyberX在客户的网络中定期检测到这些异常活动。
5、网络隔离不足:直接的Internet连接
在CyberX分析的站点中,超过四分之一(27%)的站点与互联网直接连接,这使其成为恶意软件、针对性攻击、甚至最基本的攻击战术如网络钓鱼的潜在目标。安全专业人员和恶意行为者都知道,仅需一个互联网连接设备即可提供进入IoT/ICS网络的网关,使得恶意软件和针对性攻击有机可乘,从而使整个企业中的更多系统受到攻击破坏。
6、陈旧签名:无自动的AV更新
66%的站点未自动更新其Windows操作系统以及最新的病毒库。防病毒是抵御已知恶意软件的第一道防线,缺少防病毒软件是CyberX能在IoT/ICS网络中找到WannaCry和Conficker等较旧的恶意软件的原因。这些Windows系统包括关键系统,例如人机界面或HMI(用于监视和控制OT流程),工程工作站(用于程序控制器)和历史数据库(用于将过程信息存储在关系数据库中)。
7、各行业的安全评分
总体而言,CyberX调研的所有站点的安全性评分中位数为69,而其建议客户的最低评分为80,这意味着所调研的工业企业绝大多数是不达标的。
各个行业的分数与去年的调查结果基本保持一致,能源公用事业等受监管行业的分数仍比其他行业略高。
8、与去年数据的比较
尽管今年一些指标似乎有所改善,但这是由于今年数据样本中的能源利用和石油天燃气站点所占百分比更高。与其他行业(例如制造业)相比,这些行业通常受到更大的监管限制。最重要的数据表明,自去年报告发布以来,过时且不受支持的Windows系统数量急剧增加,已从本已较高的53%跃升至惊人的71%,这可能与微软在2020年1月之后不再维护更新WINDOWS 7有关。
二、报告提出的措施建议
报告在行动建议部分指出,工业企业无法阻止意志坚定且技术老练的对手攻击其网络,那么最好的策略是消除尽可能多的漏洞,同时实施检测机制以快速发现入侵者,以免对网络的运行造成实际损害。当前,围绕最佳实践开展的教育活动效果显现,再加上不少组织被恶意软件和有针对性的攻击导致厂站关闭的生动例证,对负责保护IoT/ICS网络的人们的安全意识产生了积极影响。事实上,对IoT/ICS的安全解决方案的持续快速增长的需求也是一个好兆头。CyberX从关键目标保护、数字地形测绘、可能的攻击路径梳理、缓解与保护、网络卫生实践、IoT/ICS威胁情报利用、IT与OT团队的合作等方面给出了可行的建议。
1、识别”皇冠“过程
如果不能一直保护所有目标,但是可以在大多数时间保护最重要的目标。通过与企业所有者的对话,确定最需要保护的目标。什么是“皇冠”过程?就是那些一旦失效会威胁到公司生存的功能,例如,导致:
1)灾难性安全事故
2)收入损失(例如,来自关键生产线的损失)
3)导致诉讼和违反了合规要求(例如,来自安全和环境事件)
4)品牌声誉影响(来自公开披露违规行为)
5)知识产权盗用,例如有关专有制造过程的数据
2、数字地形测绘
了解自己的关键要素是知道您的站点中正在使用哪些硬件、软件和通信协议。这包括收集有关以下方面的详细信息:
1)您的所有IoT/ICS资产(型号,类型,操作系统,固件版本等)-以及它们的连接方式
2)信息如何通过您的IoT/ICS网络(包括企业IT网络)移动
3)谁接触您的设备(以及它们如何连接),包括员工和第三方承包商
3、标明最可能的攻击路径
绘制并监控数字地形后,可以分析资产和网络中的路径和漏洞,以确定最有可能攻击“皇冠”资产和过程的路径。CyberX的自动化IoT/ICS威胁建模分析技术结合了专有分析功能,可连续预测IoT/ICS网络上最可能的攻击路径。了解这些路径并实施缓解措施,并持续监控其要塞点,是实施主动网络防御的主要的有效手段。
4、缓解与保护
了解最可能的攻击路径后,可以采取以下措施来缓解和保护组织。
1)将数字路径的数量减到最少:将数字路径无条件地分配到您的网络中--每个路径都绝对必要吗?完全消除路径可能会给业务流程带来一些效率低下的问题,但这也是将攻击者拒之门外的最有效方法。
2)保护入站路径:确保那些必要的连接通过网络中由管理员创建和监控的“非军事区”或DMZ。完成此操作后,消除IT和OT之间没有通过DMZ区的任何连接,例如未授权的子网连接和双宿主设备。
3)实施持续的IoT/ICS网络安全监控:持续监控与IoT /ICS特定的行为异常检测,对于早期检测基于签名的解决方案缺失的有针对性的攻击和零日攻击至关重要。
5、网络卫生实践
所谓的“卫生”,在IoT/ICS环境与IT环境中是不同的。尽管有不同观点,但有一些实践还有得到大多数专家认可的。比如设备上线后应更改默认口令;未经清洁或检查的USB设备和员工笔记本电脑,切勿插入生产网络;不允许任何人员从IoT/ICS网络中浏览互联网。可行的措施包括:
1)实施持续的IoT / ICS网络安全监控
2)标识并解决网络和端点的漏洞
3)创建可管理的操作系统升级计划
6、利用IoT/ICS威胁情报
威胁情报对于网络安全的重要性不言而喻,在OT领域亦是如此。就像今天的军事战略家建议我们了解自己(或类似地,我们的网络上有哪些资产以及哪些通信行为是“正常”的)一样,他们也建议我们了解我们的敌人。这意味着要时刻了解最新的威胁,包括专门针对IoT/ICS的恶意软件、活动和对手群体。
7、OT和IT团队之间合作
IT和OT团队可以互相交流对方各自的学科知识。管理层可以创建一种自上而下的文化,以培养一种信念,即“我们都在一起,所以让我们互相帮助”。一种有效的方法是将OT人员整合到安全运营中心(SOC)中,以便可以针对OT的独特性修订事件响应工作流。另一个则是将IT安全人员分配给OT组织进行临时岗位轮换,以便他们直接了解控制系统的工作方式以及IT和OT之间的区别。
三、几点启示
当前,工业领域正面临第四次革命的重大机遇和挑战,国内众多工业企业面临传统信息安全问题风险(资产不清、系统老旧、加固缺失、内防不足、意识不强)和新技术应用产生的新型安全风险(“云大物移智”的风险、数据泄露、供应链安全)的双重考验,网络安全已成为工业革命成功的重大战略保障。CyberX的2020年IoT/ICS风险报告对我国工业信息安全也提供了有益的启示和借鉴。
1、网络安全意识仍需持续加强
工业领域网络安全的发展目前仍然是以事件驱动、合规驱动为主,离技术驱动,甚至内生的业务驱动还有很大的差距,在这一点上国内的工业领域更为明显。对工业领域面临的网络安全威胁、可能的来源、后果及影响,认识不清,重视不够,依然存在盲目的“好人假定”和“物理隔离”误区,甚至“我不是攻击目标”的侥幸心理。CyberX的风险报告中也体现了这一点,相关企业从上到下网络安全意识的提高,利益于一些重大安全事件的警示和压力。
2、结构安全是最基础的防御
CyberX的风险报告中列出的相关IoT/ICS的主要问题中,操作系统老旧、明文口令横行、远程访问过度、网络隔离不足、反AV自动更新不力,均属于网络安全滑动标尺模型(由知名研究机构SANS提出,是国内能力型安全厂商认可的公共安全模型)中基础结构安全的内容,也是其反复强调需要持续的安全监控以使资产、威胁、风险可见的原因。即在工业领域,资产、配置、漏洞、补丁的有效管理,是工业网络信息系统可管理的基础,也成为工业网络可防御的坚实基础。最基础的,最重要的,往往成了最容易被忽视的地方。
3、“关基”需要动态综合的体系防御
CyberX的报告中指出,要使工业物联网(IIoT)实现其目标,就需要对整个生态系统进行全面的技术改造。我们需要贯穿连接、分析、机器人、人工智能(AI)等的先进的、安全性富集的解决方案。网络安全是动态的而不是静止的,威胁来源在不断变化,攻击的技术手段也在不断演进,过去在工业领域没有想到的、没有出现过的,现在都有了活生生的案例。OT与IT的深度融合,不仅仅是流程、技术、管理的融合,更重要的是观念、团队的融合,使得网络安全问题全程贯穿,而网络安全作为IT&OT融合的前提,必须得到可靠保证。因此,树立动态、综合的网络安全防御理念成为必须选项,用系统思维构建以基础结构安全、积极防御、态势感知、威胁情报为核心的防御体系。
4、坚持实战导向的对抗思维
CyberX在报告中援引美国爱达荷国家实验室(INL)和国土安全部高级网格战略家Andy Bochman的话:如果你是基础设施提供商,你将成为目标。一旦你成为攻击目标,你必将被攻陷。这充分表明,关键信息基础设施已成为当前网络攻防对抗的主战场,高级别对手有充足的决心、意志和能力攻陷一切他所认为的目标。关键信息基础设施需要实战化、体系化、常态化的安全防护业已成为共识。基于网络攻防对抗不宣而战、无平战之分的特点,在构建防御体系和安全运营过程中必须坚持“场景想定、能力较量、看见对手”的持续对抗思维。这一切,都需要用实战的理念、方法和手段来检验。正如CyberX宣称的那样,我们需要Battle-Tested CyberSecurity。
附件 关于CyberX
CyberX成立于2013年,总部位于马萨诸塞州的沃尔瑟姆,是唯一一家拥有M2M感知的威胁分析和机器学习技术专利的IoT/ICS安全公司。CyberX还提供了唯一的IoT/ICS安全平台,可满足NIST CSF的所有五个要求以及Gartner自适应安全体系结构的所有四个要求。
CyberX提供了由蓝队专家构建的独特的网络安全平台,并且拥有捍卫国家关键基础设施的成功案例。这种差异化是部署最广泛的平台的基础,该平台可不断降低IoT/ICS风险并防止成本高昂的生产中断、功能安全和环境事件以及敏感知识产权的盗窃。
CyberX的著名客户包括美国5大能源提供商中的2家;一个全球前5的制药公司;一个美国前5的化工公司;多个政府机构,包括美国能源部;以及欧洲和亚太地区的国家电力和天然气公用事业公司。集成合作伙伴和服务提供商包括IBM Security,Splunk,Palo Alto Networks,CyberArk,思科,ServiceNow,东芝,HPE,Optiv Security,DXC技术,Singtel和Deutsche-Telekom/T-Systems。
CyberX提供最简单、最成熟、最可互操作的解决方案,可自动发现其资产,识别关键漏洞和攻击向量并持续监控其IoT/ICS网络是否存在恶意软件和针对性的攻击。此外,CyberX可与现有SOC工作流程提供最无缝的集成,以实现统一的IT/OT安全治理。有关更多信息,请访问CyberX.io或关注@CyberX_Labs。
天地和兴,CyberX,IoT,ICS,安全风险,工控安全,工业网络安全,网络攻击
下一条:
相关资讯

关注我们