Chúng tôi sử dụng trí tuệ nhân tạo để dịch trang web và trong khi chúng tôi cố gắng đạt được độ chính xác, chúng có thể không phải lúc nào cũng chính xác 100%. Sự hiểu biết của bạn được đánh giá cao.
Điều hướng bối cảnh an ninh mạng của ICS và OT Mạng: Thông tin chi tiết và giải pháp
bằng cách
OPSWAT
Chia sẻ bài viết này
Giới thiệu
Trong thế giới an ninh mạng đang không ngừng phát triển, Industrial Hệ thống điều khiển (ICS) và mạng lưới công nghệ vận hành (OT) đại diện cho một lĩnh vực đáng quan tâm. Các hệ thống này không chỉ quan trọng đối với tính liên tục của hoạt động kinh doanh mà còn là thành phần không thể thiếu của một quốc gia cơ sở hạ tầng trọng yếu . MetaDefender Sandbox của OPSWAT (trước đây được gọi là Filescan Sandbox Nhóm đã theo dõi chặt chẽ các rủi ro ICS/OT và đã quan sát thấy các hoạt động dai dẳng và có khả năng gây tác động lớn.
Bối cảnh mối đe dọa hiện tại
Các mô hình gần đây về các mối đe dọa an ninh mạng đã cho thấy xu hướng tấn công đáng lo ngại: các nhóm được nhà nước bảo trợ đã bắt đầu chuyên về ICS như Sandworm (Nga) và Volt Typhoon (Trung Quốc), trong khi tội phạm mạng nhận thức được mức độ nghiêm trọng tác động đối với các hệ thống công nghiệp. Các lực lượng an ninh trên toàn hội đồng quản trị nhận ra tầm quan trọng của các mối đe dọa này đối với tất cả các ngành công nghiệp, dẫn đến việc phát hành các báo cáo và chiến dịch chung nhằm tăng cường an ninh ICS.
Các vấn đề và khuyến nghị dai dẳng
Một trong những khuyến nghị lâu dài để giảm thiểu những rủi ro này là giảm tiếp xúc với hệ thống. Tuy nhiên, sự phổ biến của các hệ thống tiếp xúc tiếp tục là một vấn đề đáng lo ngại trong bối cảnh an ninh mạng. Khi các kỹ thuật trinh sát và khai thác trở nên phổ biến rộng rãi hơn, mối đe dọa của các cuộc tấn công cơ hội xuất hiện lớn hơn, cho phép các tác nhân đe dọa với mức độ tinh vi thấp hơn có tác động chống lại các hệ thống quan trọng. Một báo cáo từ tháng Chín nhấn mạnh một xu hướng đáng báo động: OT/Sự cố an ninh mạng ICS trong ba năm qua đã vượt qua tổng số báo cáo từ năm 1991 đến năm 2000. Chỉ riêng thống kê này đã nhấn mạnh những thách thức leo thang mà những người chịu trách nhiệm về an ninh của các môi trường này phải đối mặt.
Bảo vệ chống lại mối đe dọa
Khung và cập nhật
Nhận thấy sự cần thiết phải chú ý chuyên biệt, tập đoàn MITRE đã phát triển một ma trận ATT &CK dành riêng cho ICS, để cung cấp một ngôn ngữ chung cho giao tiếp liên ngành và trao quyền cho các lĩnh vực ít được đại diện để tận dụng các bản đồ của mình, thúc đẩy truyền thông có ý nghĩa về rủi ro và mối đe dọa. Phiên bản tương đối mới tiếp tục được cập nhật tỉ mỉ, với phiên bản mới nhất được phát hành vào tháng trước.
Tính liên kết của IT và OT
Các OPSWAT MetaDefender Sandbox Nhóm, trong khi theo kịp các bản cập nhật này, nhấn mạnh mối liên hệ nội tại giữa IT và OT, kể từ IT tài sản có mặt trên tất cả các cấp độ của Mô hình Purdue, và không chỉ ở trên cùng.
Thỏa hiệp IT Dẫn đến bao gồm OT. Những người được hỏi chủ yếu quan tâm và đã trải qua các sự cố ICS liên quan đến các mối đe dọa phần mềm độc hại hoặc kẻ tấn công vi phạm IT mạng lưới kinh doanh. Những vi phạm này thường cho phép truy cập và xoay vòng vào môi trường ICS / OT. Thỏa hiệp trong IT các hệ thống dẫn đến các mối đe dọa xâm nhập vào mạng OT / ICS được xếp hạng cao nhất, tiếp theo là sự thỏa hiệp của các máy trạm kỹ thuật và các dịch vụ từ xa bên ngoài.
ICS SANS 2023/OT Báo cáo an ninh mạng
Được tài trợ bởi OPSWAT
Mẫu số chung: Tệp độc hại
Trên toàn bộ các cuộc tấn công mạng liên quan đến ICS, sự hiện diện của các tệp độc hại là một yếu tố nhất quán, bất kể vectơ xâm nhập là gì IT hoặc hệ thống OT. Đây là nơi các giải pháp như MetaDefender Sandbox phát huy tác dụng. Các công cụ như vậy được thiết kế để xem xét kỹ lưỡng các tệp đi qua các chu vi xác định của mạng của tổ chức, phù hợp với các ngữ cảnh khác nhau để có hiệu suất tối ưu, bao gồm cả trong môi trường không khí.
Adaptive Sandbox của OPSWAT kết hợp các bộ chỉ số đe dọa khác nhau bằng cách sử dụng các bộ phân tích nội bộ và các quy tắc khác được biết đến rộng rãi như quy tắc Yara. Cả hai cuộc tấn công trước đây được tham chiếu từ Volt Typhoon và Sandworm đều dựa nhiều vào các nhị phân Living-Off-the-Land (LOLBINS) mà MetaDefender Sandbox triển khai nhiều chỉ số. Tuy nhiên, cuộc tấn công sớm nhất là một ví dụ điển hình về sự kết hợp của các chỉ số do có sẵn các mẫu. Tải trọng đầu tiên được báo cáo là một tập lệnh hàng loạt chứa lệnh Powershell được mã hóa base64 kích hoạt hai chỉ số thú vị cho trường hợp này, trong số những trường hợp khác.
Nguồn gốc của chỉ báo được hiển thị trước đó là mô phỏng tập lệnh, trong đó nó cũng có thể được quan sát các chỉ số liên quan khác. Ảnh chụp màn hình sau đây cho thấy một chỉ báo khác với mức độ nghiêm trọng cao hơn, được kích hoạt từ nội dung base64 được giải mã của tập lệnh. Ngoài ra, cả hai yếu tố được xác định đều được ánh xạ tương ứng với các kỹ thuật MITRE ATT &CK tương ứng.
Ngoài ra, cuộc tấn công tương tự này liên quan đến việc sử dụng các mẫu Fast Reverse Proxy, mặc dù được đóng gói UPX, MetaDefender Sandbox đã có thể giải nén cho phép một số chỉ số bổ sung khớp trên tệp được trích xuất và xác định mối đe dọa.
Hình 3: Mẫu FRP của Volt Typhoon đã được giải nén Liên kết báo cáo
Khi bối cảnh mối đe dọa phát triển, hệ thống phòng thủ của chúng ta cũng vậy. OPSWATCam kết của ICS đối với an ninh của ICS và OT Các mạng vẫn kiên định, và các MetaDefender Sandbox Nhóm được dành riêng để cung cấp các giải pháp cập nhật tích cực để giải quyết những thách thức mới nổi này. Luôn cập nhật thông tin, luôn chuẩn bị và giữ an toàn.
