工業(yè)控制系統(tǒng)漏洞披露呈上升趨勢

發(fā)布時間 2022-05-07

我們正在快速進入一個時代,高度互聯(lián)的網(wǎng)絡物理系統(tǒng)成為常態(tài),IT、OT和IoT安全管理之間的界限變得模糊。所有這些都將連接到云端,并從云中進行管理,并且將處理海量無法預測的數(shù)據(jù),以微調性能,提供關鍵服務的分析,并確保關鍵工業(yè)、醫(yī)療保健和企業(yè)流程的完整性。擴展物聯(lián)網(wǎng)(XIoT)增強了對及時、有用的漏洞信息的需求,以便更好地為風險決策提供信息。

對此Claroty的研究部門編寫了ICS風險及漏洞報告》,旨在定義和分析與跨領域使用的領先自動化產(chǎn)品和連接設備相關的漏洞狀況。

1.png

2021年下半年,攻擊數(shù)量有所減少,但這些事件只會推動決策者最終確定XIoT網(wǎng)絡安全的優(yōu)先級。關注的數(shù)據(jù)包括在關鍵基礎設施和其他行業(yè)中運行的所有商業(yè)產(chǎn)品,如制造、醫(yī)療保健和物聯(lián)網(wǎng)。去年下半年披露的物聯(lián)網(wǎng)和醫(yī)療設備中的漏洞比例持續(xù)攀升,從上半年的29%上升至34%。

這表明組織將在融合安全管理下合并OT、IT和IoT,并且OT和ICS將不再各自獨立。因此,資產(chǎn)所有者和運營商必須全面了解其環(huán)境,以便管理漏洞并減少風險。

報告中,全面分析了2021年下半年公開披露的工業(yè)控制系統(tǒng)漏洞,包括供應商、安全研究人員、以及其他組織的專家發(fā)現(xiàn)的漏洞。安全經(jīng)理、資產(chǎn)所有者和運營商可關注這份報告,該報告不僅提供有關工業(yè)設備中普遍存在的漏洞數(shù)據(jù),而且還提供評估各自環(huán)境中風險的必要環(huán)境。

一、ICS漏洞趨勢

在2021年下半年,共計發(fā)布了797個ICS漏洞,影響了82家ICS供應商,其中有21家是新發(fā)現(xiàn)的供應商,大多數(shù)都在自動化、制造和醫(yī)療保健領域。該數(shù)字比2021年上半年發(fā)布的642個漏洞增加了24%。

2021年全年共計披露了1439個ICS漏洞,比2020年的942個激增了53%。同時2021年全年披露的漏洞影響147家ICS供應商,比2020年的102家增加了44%。

2.png

34%的披露漏洞會影響IoT、IoMT和IT資產(chǎn),表明組織將在融合安全管理下合并OT、IT和IoT。因此資產(chǎn)所有者和運營商必須全面了解其環(huán)境,以便管理漏洞并減少風險。

數(shù)據(jù)顯示,ICS漏洞披露數(shù)量及供應商內部研究披露的漏洞數(shù)量均有增加。進行內部研究的供應商數(shù)量增加了35%。由于西門子的ProductCERT進行了內部研究,西門之是報告漏洞最多的供應商,有251個,其次是施耐德電氣(89)、研華(43)、臺達電子(33)和三菱(24)。

在下半年披露的漏洞中,有496個影響軟件,299個影響固件,然而鑒于修補軟件比修補固件相對容易,防御者在其環(huán)境中優(yōu)先考慮修補軟件漏洞。

這些漏洞主要的潛在影響是遠程代碼執(zhí)行,普遍存在于53%的漏洞中,其次是拒絕服務(42%)、繞過保護機制(37%)、以及允許攻擊者讀取應用程序數(shù)據(jù)(33%)。

針對這些漏洞最重要的緩解措施是網(wǎng)絡分段,建議在21%的漏洞中使用,其次是防護勒索軟件、網(wǎng)絡釣魚和垃圾郵件(15%)和流量限制(13%)。

二、ICS漏洞威脅及風險

符合普渡模型3級運營管理的產(chǎn)品受公開漏洞的影響最大,有217個,占27%。此級別的軟件組件包括處于生產(chǎn)工作流程核心的服務器和數(shù)據(jù)庫。此級別的技術還將從現(xiàn)場設備收集的數(shù)據(jù)提供給更高級別的業(yè)務系統(tǒng),或在云中運行的系統(tǒng)。

在1級基本控制和2級監(jiān)督控制運行的產(chǎn)品受到在2021年下半年披露的25%漏洞的影響,共計有205個。在1級基本控制級,包括可編程邏輯控制器(PLC)、遠程終端單元(RTU)和其他監(jiān)控0級設備的控制器,如泵、執(zhí)行器、傳感器等。在2級監(jiān)督控制級,包括人機界面(HMI)、SCADA軟件和其他工具,用于監(jiān)視和處理1級數(shù)據(jù)。

3.png

防御者必須了解針對工業(yè)網(wǎng)絡和IoT設備的攻擊者最常利用的威脅向量。通過對漏洞所在位置的適當可見性,組織能夠充分修補或緩解軟件和固件中使網(wǎng)絡和流程面臨風險的問題。

87%的漏洞是低復雜性的,這意味著它們不需要特殊條件,攻擊者每次都可以獲得可重復的成功。70%的漏洞在成功利用漏洞之前不需要特殊權限,64%的漏洞不需要用戶交互。

數(shù)據(jù)顯示,所披露的漏洞中有63%可能通過網(wǎng)絡攻擊向量遠程利用,該數(shù)字比2021年上半年稍微上升了2%。本地可利用漏洞在2021年下半年下降至31%。為了利用這些漏洞,攻擊者需要一個單獨的網(wǎng)絡訪問向量才能利用這些漏洞。其中一些需要用戶交互,例如網(wǎng)絡釣魚和垃圾郵件,才能獲得最初的網(wǎng)絡立足點。

94%通過本地攻擊向量進行的運營管理漏洞需要用戶交互才能利用,這加強了持續(xù)教育的必要性,以防止網(wǎng)絡釣魚攻擊,并阻止破壞性勒索軟件攻擊的浪潮。

三、修補及緩解措施

披露漏洞只是漏洞管理過程中的一個重要步驟。補丁和緩解措施對于資產(chǎn)所有者、運營商和安全經(jīng)理來說至關重要。隨著每天有越來越多的聯(lián)網(wǎng)設備上線,越來越多的系統(tǒng)可以訪問,并提高了及時修復的緊迫性。

然而更新ICS或SCADA軟件通常具有挑戰(zhàn)性,主要與正常運行時間和可用性要求有關。由于開發(fā)和實施更新涉及的復雜性,固件更新也很困難。這些周期可能比傳統(tǒng)的IT補丁管理花費的時間要長得多,這通常使緩解措施成為防御者唯一的補救選項。供應商、內部安全分析師和管理人員還必須優(yōu)先跟蹤停產(chǎn)產(chǎn)品,以及更新可能具有挑戰(zhàn)性或停機時間不可接受的產(chǎn)品中的漏洞。ICS產(chǎn)品的保質期很長,隨著漏洞的累積,風險會顯著放大,尤其是嚴重的遠程代碼執(zhí)行或拒絕服務。

漏洞修復有三種形式,完全修復(69%)、部分修復(15%)、及沒有修復(16%)。74%完全修復的漏洞是基于軟件的。鑒于修補軟件比固件更容易,防御者有能力在其環(huán)境中優(yōu)先修補。62%的部分修復或未修復的漏洞在被利用時,可能導致遠程代碼執(zhí)行或拒絕服務。

4.png

大多數(shù)完全修復的漏洞位于普渡模型的三級運營管理級別的產(chǎn)品中,其次是監(jiān)督控制和網(wǎng)絡管理級別。固件的補救措施較少。當受影響的供應商提供時,網(wǎng)絡設備的固件更新得到最頻繁的解決,其次是基本控制級別的產(chǎn)品和IoT設備。

停產(chǎn)產(chǎn)品在工業(yè)環(huán)境中很普遍,大多數(shù)組織都不愿淘汰監(jiān)督關鍵流程的遺留系統(tǒng)。數(shù)據(jù)顯示,有29個漏洞影響了停產(chǎn)產(chǎn)品,且沒有計劃對其進行補救。在所有情況下,受影響的供應商都不再支持這些產(chǎn)品。停產(chǎn)產(chǎn)品中48%的漏洞影響基本控制設備(PLC、RTU)。如果被成功利用,這些漏洞中59%會導致代碼執(zhí)行或拒絕服務以及設備崩潰。

對此,T建議遵循以下安全措施:

網(wǎng)絡分段。隨著氣隙工業(yè)設備成為過去,越來越多的設備連接到互聯(lián)網(wǎng)并通過云進行管理,因此必須優(yōu)先考慮網(wǎng)絡分段等縱深防御措施,建議網(wǎng)絡管理員:

  • 虛擬分段網(wǎng)絡,并以遠程管理方式進行配置;

  • 創(chuàng)建針對工程和其他面向過程的功能量身定制的區(qū)域特定策略;

  • 保留檢查流量和OT特定協(xié)議的能力,以便檢測和防御異常行為。


防護勒索軟件、網(wǎng)絡釣魚和垃圾郵件。遠程工作增加了對電子郵件作為重要通信機制的依賴。因此也增加了員工成為網(wǎng)絡釣魚或垃圾郵件攻擊目標的風險,從而增加勒索軟件和其他惡意軟件感染的風險。建議安全從業(yè)人員和所有人員執(zhí)行以下操作:

  • 不要從不受信任的來源打開電子郵件或下載軟件;

  • 不要點擊來自未知發(fā)件人的電子郵件中的鏈接或附件;

  • 不要通過電子郵件向任何人提供密碼、個人或財務信息,敏感信息也用于雙重勒索;

  • 始終驗證電子郵件發(fā)件人的電子郵件地址、姓名和域;

  • 經(jīng)常備份重要文件,與主系統(tǒng)分開存儲;

  • 使用防病毒、反垃圾郵件和反間諜軟件保護設備;

  • 立即向相應的安全或IT人員報告網(wǎng)絡釣魚電子郵件;

  • 實施多因素身份驗證。


保護遠程訪問連接。遠程辦公是新常態(tài),組織必須安全的滿足增加遠程連接公司資源的需求。在OT環(huán)境和關鍵基礎設施中尤為重要,因為操作員和工程師需要對工業(yè)資產(chǎn)進行安全的遠程訪問,以確保流程的可用性和安全性。建議安全從業(yè)人員執(zhí)行以下措施:

  • 驗證VPN版本是否已修補,并更新到最新版本;

  • 監(jiān)控遠程連接,尤其是與OT網(wǎng)絡和ICS設備的遠程連接;

  • 實施精細的用戶訪問權限和管理控制。


保護運營管理和監(jiān)督控制。2021年下半年披露的大多數(shù)ICS和SCADA漏洞影響了第三級運營管理,如OPC服務器等,其次是第二級監(jiān)督控制,如HMI、SCADA和工程工作站等。大多數(shù)1級基本控制是基于固件的,而大多數(shù)2級監(jiān)督控制和3級運營管理是基于軟件的。由于無法隨著時間的推移進行修補,尤其是1級設備固件,因此建議投資于分段、遠程訪問保護、以及對運營管理和監(jiān)督控制級別的更好保護,因為它們提供對基本控制級別的訪問,并最終提供對過程本身的訪問。其他建議包括:

  • 使用加密、訪問控制列表和適用于OT網(wǎng)絡的適當遠程訪問技術等機制保護遠程訪問連接;

  • 維護資產(chǎn)庫存和分段;

  • 評估風險并確定關鍵補丁的優(yōu)先級;

  • 確保設備受密碼保護,并嚴格執(zhí)行密碼衛(wèi)生;

  • 實施基于角色和策略的精細管理訪問;

  • 大多數(shù)基于本地攻擊向量的2級漏洞都依賴于用戶交互,因此請遵循最佳實踐來防御社會工程技術。