勒索病毒
防止勒索病毒攻擊關鍵基礎設施
針對關鍵基礎設施的網路攻擊會導致大規模的社會混亂並帶來巨大的經濟損失。本文將會探討該如何保護六個關鍵OT(營運技術)領域,以阻止勒索病毒(勒索軟體,Ransomware) 及其他對關鍵營運的威脅。
針對關鍵基礎設施的網路攻擊可能會導致大規模的社會混亂並帶來巨大的經濟損失。重要性讓工業IT和OT(營運技術)成為吸引勒索病毒攻擊的目標。對六個關鍵OT領域部署強大的網路防禦能夠阻止勒索病毒及其他對電網、油管或類似關鍵設施的威脅。
針對工業目標的勒索病毒攻擊正在持續上升,佔了所有工業端點惡意軟體的一半以上。它們也變得更加複雜,而且能夠利用長期未修補的漏洞及(不太常見的)零時差漏洞。通常他們會分工合作:一個網路犯罪分子(或團體)找出漏洞,另一個銷售漏洞,其他會銷售攻擊不同類型漏洞的工具,還有些人會負責處理付款流程。有些勒索病毒攻擊現在甚至升級成雙重或三重勒索。
這些發展與工業網路的發展軌跡相吻合,從只使用廠商專用通訊協定打造的封閉平台,發展到基於IP的系統,而且有越來越多會利用與其他應用程式共享的企業IP網路。透過遠端進行監控、設定和分析都已經相當普遍,同時自動化系統和現場營運也開始在利用雲端運算和邊緣運算。這些新的連線與通常更加互連的IT和OT系統相結合,持續地擴大了工業攻擊面。
如何防止針對六個領域的勒索病毒攻擊?
工業控制系統(ICS)防護措施有助於在六大關鍵運營領域上阻止勒索病毒及其他網路威脅:OT和IT邊界、OT資產、OT網路、工業物聯網(IioT)、離線操作和資安監控中心/電腦緊急應變團隊(SOC/CSIRT)。每一種都有特定的漏洞需要注意,以及相對應的措施來解決這些漏洞。
- OT和IT邊界 – 因為OT和IT間的聯結比以往任何時候都更加緊密,任一方出現漏洞就會給另一方帶來風險。在許多工業環境中,因為有不同團隊分別負責OT和IT系統的各個範圍(企業IT、特定站點的IT部門、生產技術團隊等),使得這樣的狀況更加嚴重。這樣分散的責任意味著沒有一個單位能夠看到整個網路。為了解決這個問題,重大基礎設施的運營單位需要在公司網路和工業站點間或是辦公室和現場區域間建立防禦邊界。
- OT資產 – IT和OT環境的結合變成由眾多系統組成的系統,包含了各種不同生命週期的組成 – 從平均使用5年的個人電腦到使用20年或更長的工業裝置。新舊技術的混合意味著有些資產可以透過最新的方法加以保護,有些則可能不支援安全軟體或根本無法修補。因此,需要一種全方位的安全防護措施,並且根據特定任務、系統和操作所面臨的不同風險制定具體策略。
- OT網路 – 新型連線和技術(手機網路和無線電、雲端和邊緣計算)進入工業環境會需要現代化的安全防護,像是安全存取服務邊緣(SASE)等。具體而言,這代表不僅要關注在擊退攻擊,還需要能夠識別和遏制滲透到網路內的攻擊,並且具備端到端的網路能見度和對其所連接工業流程的了解。趨勢科技研究中心發現了一個與協定閘道有關的特定漏洞領域,協定閘道通常用於OT和IT系統的互相連接,有助於裝置和系統間的資訊交換,如果遭受入侵就可能讓工業流程陷入停頓。因此,網路安全防護也需要將其和其他現場網路會使用的工業協定納入考量並進行調整。
- 工業物聯網 – IIoT的部署越來越依賴5G專網,它有四種可能的滲透路徑和三個可以在核心網路截獲訊號的點。而核心網路又可被作為跳板來攻擊整個製造站點。所有IIoT相關的技術(包括5G連線、工業雲和IoT感應器)都需要融入安全防護措施。
- 離線操作 – 並非所有的工業操作都會連接網路,但與網路對接的離線技術(如隨身碟和維護終端)也可能是漏洞點。完整的安全方案中也必須考慮到這些,以阻止勒索病毒和保護工業環境。
- SOC/CSIRT – SOC和CSIRT在企業IT團隊內負責監控網路,包括了企業到站點的邊界。他們需要有效的全方位平台,提供對整個OT/IT環境內端到端的能見度,以便識別、回應和遏制威脅。
部署正確的安全措施
美國網路安全暨基礎設施安全局(CISA)發布了如何在ICS環境防止勒索病毒攻擊的指南,這是一個四階段的程序:準備、偵測和分析、遏制和根除以及回復。這些可以進一步整合成兩個相配合的整體原則:降低感染風險,以及最小化事件所造成影響。要包含此範圍需要一個全方位的資安平台,提供對整個工業環境完全的能見度。
CISA的ICS防勒索病毒指南
最重要的是,一個全方位的資安平台應該要提供完整的狀態感知,找出整個OT和IT基礎設施內所有的風險和威脅來確保有彈性的關鍵操作,並對舊系統及當前系統進行安全監控。
全方位資安平台應該提供什麼
另一個重要組成是延伸式偵測及回應(XDR)。雖然XDR來自於IT世界,但它同樣適用於今日的OT環境 – 只需要一些調整來適應OT的獨特狀況,如窄頻寬、缺乏網際網路連線、跨裝置共享IP地址等。XDR監控多個傳統孤島 – 從電子郵件和端點到伺服器和雲端工作負載,將它們之間的數據關聯起來,以挑選出在孤立情況下似乎是良性的事件(隱蔽勒索病毒攻擊的一個標誌),並將它們識別為有意義的入侵指標(IOC)。資安團隊可以更快地偵測及回應,處理更多警報,並改善組織的整體安全態勢。
為了防止對關鍵基礎設施的勒索病毒攻擊,全方位資安平台結合XDR能夠經由以下方式滿足六個OT領域的需求:
- 防止IT和OT環境間及雲端內的惡意軟體攻擊
- 透過應用程式控制和受感染裝置回復來保護傳統端點
- 透過在線部署或被動監控來提高狀態感知能力
- 透過專門打造的ICS惡意軟體防護來保護IIoT裝置
- 確保進入OT環境的移動式媒體和裝置可以安全使用
- 跨多面向關聯深度資料以進行整合監控
今日的現實是,勒索病毒變得比以往任何時候都更有效、更有利可圖,而關鍵基礎設施和其他工業環境是其有利可圖的目標。需要部署特別適合OT和IT相結合環境的安全控制措施,提供多層次保護、早期偵測及回應,以及能夠維護整個網路安全的多方位平台。
🔴 企業用戶
建議企業採用一套跨世代的多層式防護技術來防止最新勒索病毒攻擊,在適當時機套用適當的技術來保護您的使用者和資料。》立即前往了解
🔴 一般用戶
PC-cillin 防詐防毒、守護個資,支援Windows11 ✓手機✓電腦✓平板,跨平台防護3到位➔ 》即刻免費下載試用
假使您也不幸成了受害者,請保持冷靜,最好向外尋求協助,但不要支付贖金。而平時,最好可以安裝一套防毒軟體的即時防護。如 趨勢科技 PC-cillin 的「勒索剋星」可為您的寶貴檔案提供多一層防護。》立即免費下載試用