Chúng tôi sử dụng trí tuệ nhân tạo để dịch trang web và mặc dù chúng tôi luôn cố gắng đảm bảo độ chính xác, nhưng đôi khi bản dịch có thể không đạt độ chính xác tuyệt đối. Mong quý vị thông cảm.
Điều hướng bối cảnh an ninh mạng của ICS và OT Mạng: Thông tin chi tiết và giải pháp
Qua
OPSWAT
Chia sẻ bài viết này
Giới thiệu
Trong thế giới an ninh mạng không ngừng biến đổi, Industrial Hệ thống điều khiển công nghiệp (ICS) và mạng công nghệ vận hành (OT) là những lĩnh vực đáng quan tâm. Những hệ thống này không chỉ thiết yếu cho sự liên tục của hoạt động kinh doanh mà còn là những thành phần không thể thiếu của một quốc gia. cơ sở hạ tầng trọng yếu . MetaDefender Aether của OPSWAT (trước đây được biết đến với tên gọi...) Filescan Sandbox Nhóm đã theo dõi sát sao các rủi ro liên quan đến ICS/OT và đã phát hiện các hoạt động dai dẳng và có khả năng gây tác động lớn.
Bối cảnh mối đe dọa hiện tại
Các mô hình gần đây về các mối đe dọa an ninh mạng đã cho thấy xu hướng tấn công đáng lo ngại: các nhóm được nhà nước bảo trợ đã bắt đầu chuyên về ICS như Sandworm (Nga) và Volt Typhoon (Trung Quốc), trong khi tội phạm mạng nhận thức được mức độ nghiêm trọng tác động đối với các hệ thống công nghiệp. Các lực lượng an ninh trên toàn hội đồng quản trị nhận ra tầm trọng yếu của các mối đe dọa này đối với tất cả các ngành công nghiệp, dẫn đến việc phát hành các báo cáo và chiến dịch chung nhằm tăng cường an ninh ICS.
Các vấn đề và khuyến nghị dai dẳng
Một trong những khuyến nghị lâu dài để giảm thiểu những rủi ro này là giảm tiếp xúc với hệ thống. Tuy nhiên, sự phổ biến của các hệ thống tiếp xúc tiếp tục là một vấn đề đáng lo ngại trong bối cảnh an ninh mạng. Khi các kỹ thuật trinh sát và khai thác trở nên phổ biến rộng rãi hơn, mối đe dọa của các cuộc tấn công cơ hội xuất hiện lớn hơn, cho phép các tác nhân đe dọa với mức độ tinh vi thấp hơn có tác động chống lại các hệ thống trọng yếu. Một báo cáo từ tháng Chín nhấn mạnh một xu hướng đáng báo động: OT/Sự cố an ninh mạng ICS trong ba năm qua đã vượt qua tổng số báo cáo từ năm 1991 đến năm 2000. Chỉ riêng thống kê này đã nhấn mạnh những thách thức leo thang mà những người chịu trách nhiệm về an ninh của các môi trường này phải đối mặt.
Bảo vệ chống lại mối đe dọa
Khung và cập nhật
Nhận thấy sự cần thiết phải chú ý chuyên biệt, tập đoàn MITRE đã phát triển một ma trận ATT &CK dành riêng cho ICS, để cung cấp một ngôn ngữ chung cho giao tiếp liên ngành và trao quyền cho các lĩnh vực ít được đại diện để tận dụng các bản đồ của mình, thúc đẩy truyền thông có ý nghĩa về rủi ro và mối đe dọa. Phiên bản tương đối mới tiếp tục được cập nhật tỉ mỉ, với phiên bản mới nhất được phát hành vào tháng trước.
Tính liên kết của IT và OT
Cái OPSWAT MetaDefender Trong khi luôn cập nhật những thông tin này, đội ngũ Aether nhấn mạnh mối liên hệ mật thiết giữa IT và OT, vì các tài sản IT hiện diện ở tất cả các cấp độ của Mô hình Purdue, chứ không chỉ ở cấp cao nhất.
Thỏa hiệp IT Dẫn đến bao gồm OT. Những người được hỏi chủ yếu quan tâm và đã trải qua các sự cố ICS liên quan đến các mối đe dọa mã độc hoặc kẻ tấn công vi phạm IT mạng lưới kinh doanh. Những vi phạm này thường cho phép truy cập và xoay vòng vào môi trường ICS / OT. Thỏa hiệp trong IT các hệ thống dẫn đến các mối đe dọa xâm nhập vào mạng OT / ICS được xếp hạng cao nhất, tiếp theo là sự thỏa hiệp của các máy trạm kỹ thuật và các dịch vụ từ xa bên ngoài.
ICS SANS 2023/OT Báo cáo an ninh mạng
Được tài trợ bởi OPSWAT
Mẫu số chung: Tệp độc hại
Trong toàn bộ các cuộc tấn công mạng liên quan đến hệ thống điều khiển công nghiệp (ICS), sự hiện diện của các tệp tin độc hại là một yếu tố nhất quán, bất kể phương thức xâm nhập nào—cho dù đó là hệ thống IT hay hệ thống vận hành (OT). Đây là lý do tại sao các giải pháp như... MetaDefender Công nghệ Aether phát huy tác dụng. Những công cụ này được thiết kế để kiểm tra kỹ lưỡng các tệp tin di chuyển trong phạm vi mạng được xác định của một tổ chức, được điều chỉnh phù hợp với các ngữ cảnh khác nhau để đạt hiệu suất tối ưu, bao gồm cả trong môi trường không có kết nối mạng.
Công cụ Adaptive Sandbox của OPSWAT kết hợp các bộ chỉ báo mối đe dọa khác nhau bằng cách sử dụng các trình phân tích nội bộ và các công cụ được biết đến rộng rãi khác như các quy tắc Yara. Cả hai cuộc tấn công được đề cập trước đó từ Volt Typhoon và Sandworm đều dựa nhiều vào các tệp tin nhị phân Living-Off-the-Land (LOLBINS), trong đó... MetaDefender Aether tích hợp nhiều chỉ báo. Tuy nhiên, cuộc tấn công sớm nhất là một ví dụ điển hình về sự kết hợp các chỉ báo do có sẵn các mẫu. Payload được báo cáo đầu tiên là một tập lệnh batch chứa lệnh Powershell được mã hóa base64, kích hoạt hai chỉ báo thú vị trong trường hợp này, cùng với một số chỉ báo khác.
Nguồn gốc của chỉ báo được hiển thị trước đó là mô phỏng tập lệnh, trong đó nó cũng có thể được quan sát các chỉ số liên quan khác. Ảnh chụp màn hình sau đây cho thấy một chỉ báo khác với mức độ nghiêm trọng cao hơn, được kích hoạt từ nội dung base64 được giải mã của tập lệnh. Ngoài ra, cả hai yếu tố được xác định đều được ánh xạ tương ứng với các kỹ thuật MITRE ATT &CK tương ứng.
Ngoài ra, cuộc tấn công này cũng liên quan đến việc sử dụng các mẫu Fast Reverse Proxy, mặc dù được đóng gói dưới dạng UPX, MetaDefender Aether đã có thể giải nén, cho phép khớp thêm một số chỉ báo khác với tệp đã trích xuất và xác định mối đe dọa.
Hình 3: Mẫu FRP của Volt Typhoon đã được giải nén Liên kết báo cáo
Khi bối cảnh các mối đe dọa thay đổi, hệ thống phòng thủ của chúng ta cũng phải thay đổi theo. OPSWAT Cam kết của công ty đối với an ninh của mạng ICS và OT vẫn luôn vững chắc, và MetaDefender Đội ngũ Aether cam kết cung cấp các giải pháp được cập nhật liên tục để giải quyết những thách thức mới nổi này. Hãy luôn cập nhật thông tin, luôn chuẩn bị và luôn giữ an toàn.
