暗黑种族OT威胁发现云主机优惠:防御不断扩大的攻击面

国际 虚拟云 浏览

小编:Darktrace OT threat finds:保卫不断扩大的攻击面MaxHeinemeyer,threat Hunting总监| 2020年8月6日(星期四)重要提示:多个著名的ICS攻击通过在IT网络中获得初步立足点而获得成功,例如EKANS、

Darktrace OT threat finds:保卫不断扩大的攻击面MaxHeinemeyer,threat Hunting总监| 2020年8月6日(星期四)重要提示:多个著名的ICS攻击通过在IT网络中获得初步立足点而获得成功,例如EKANS、Black Energy,ICS网络杀戮链的一个阶段是网络侦察,因此IT/OT网络隔离至关重要。Darktrace发现,许多组织的网络在ICS基础设施、行动和,而且,命令为潜在的恶意内部活动提供了一个更好的画面。随着工业物联网(IIoT)的发展,航运、制造业和其他形式的重工业正在见证IT和OT系统的日益融合。同时,将it从OT网络中分离出来仍然至关重要,由于缺乏细分可能会让恶意参与者(无论是黑客还是流氓内幕人士)轻松进入OT网络。高-Havex或Black Energy等个人资料攻击活动表明,传统的网络安全监控工具在防止这些入侵方面是不够的。在最初的妥协之后,这些ICS攻击从IT发展到OT系统,这表明IT和OT在网络物理生态系统中的融合需要能够理解这两个系统的技术互动。更多最近,对EKANS勒索软件的分析显示,攻击者正试图利用恶意软件主动破坏OT以及IT网络。这次攻击将ICS工艺列入了其"杀戮名单",这使得它可以停止为像这样的大型企业提供全球制造服务本田。更多通常情况下,缺乏可见性是保护关键集成电路资产的一个主要挑战。当安全专家能够看到异常或意外的连接时,或者更重要的是,当恶意参与者发送ICS命令时,他们会受益匪浅破坏。调查详细分析了工业协议在不同客户的企业环境中的使用情况。这些行业从银行业到政府部门,零售业到食品制造业等等,其中包括那些拥有工业控制系统的公司,这些系统利用了暗黑种族的企业免疫系统来保护他们的公司网络。那个结果显示,数百家公司在IT网络中使用OT协议,这表明IT/OT系统没有得到适当的划分。具体来说,Darktrace在1000个IT环境中检测到6500多个ICS协议使用的可疑实例。请注意,这些数据是匿名收集的,只是跟踪行业进行分析目的。图1: 显示IT网络中ICS协议使用百分比的图表检测到最多的ICS协议是BacNet,在大约75%的实例中都可以看到。BacNet被用于建筑管理系统,因此它被广泛应用于多个行业和企业网络中也就不足为奇了。它的使用增加了企业的攻击面,而且常常是安全的盲点核心团队ICS协议MarkTrace还检测到"核心"ICS协议、Modbus和CIP(通用工业协议)。这些通常与传统的集成电路行业相关,如制造业、石油和天然气、机器人和公用事业,并提供了IT/OT的进一步证据融合。这个增加的IT/OT融合在网络上造成了新的盲点,并建立了新的破坏途径。这为攻击者提供了机会,而公众现在越来越意识到从它转变为OT。不恰当IT和OT系统之间的分割会导致到ICS协议的非常不寻常的连接。这可以从我们最近对工业破坏的分析中看出,并给出了袭击主要事件的时间表下图2: 显示工业破坏事件的时间轴这只是影响OT之前在IT系统中开始的攻击的一个例子。更多的高调攻击遵循这种模式下图:EKANS ransomwareThe最近的EKANS攻击涉及一系列勒索软件,与MEGACORTEX变种有密切联系,在2020年6月本田全球业务遭到攻击后,该产品声名狼藉。与许多勒索软件变种一样,EKANS加密IT系统中的文件,并要求勒索以解锁受感染的机器。然而,恶意软件也有能力杀死感染主机上的ICS进程。值得注意的是,这是第一个公开的勒索软件可以针对集成电路操作.HavexHavex利用多种攻击载体,包括鱼叉式网络钓鱼、特洛伊木马和受感染的供应商网站,通常称为"水坑攻击"。它的目标是It系统、互联网连接的工作站,或者两者的结合。利用Havex,攻击者利用横向移动技术进入ICS网络的第3层。攻击的动机是数据外泄到C2服务器,很可能是政府支持的间谍活动的一部分运动。黑色Energy 3Black Energy 3受欢迎的宏嵌入MS Office文档通过鱼叉式网络钓鱼电子邮件作为攻击载体传递。黑能量的老变种针对的是连接到互联网的ICS HMI(人机界面)中的漏洞。这次袭击的动机是工业破坏,是2015年针对乌克兰电网的攻击,导致22.5万平民断电,在变电站被占领时需要切换到手动操作离线。课程了解到上面详细描述的每一次攻击活动都是通过IT/OT融合来实现的。攻击者仍然倾向于使用其初始攻击向量来攻击IT网络,因为IT网络通过电子邮件和其他各种互连技术与Internet进行了显著的更多交互。一旦网络被入侵就容易被网络分割妥协了。在所有这些ICS网络攻击,设备在网络杀戮链的一个或多个点上偏离了正常的生活模式。危害指标可以包括任何东西,从新的外部连接,到使用主动扫描的网络侦察,到使用特权凭证的横向移动,ICS重编程命令,或ICS发现请求。通过适当的企业范围的可视性(跨IT和OT系统)以及能够检测这些偏差的安全工具,安全团队将在攻击者执行其目标。最终,可见性对于网络维护者保护工业产权和流程至关重要。Darktrace的工业免疫系统可以进行许多工业模型检测,列出了其中的一个选项下图:反常的到ICS ConnectionMultiple Failed Connections to OT device multiple New Action commandsunCommonic ICS reprogramsussious Network Scanning activity来自ICS plcUnomus Admin RDP session的异常广播很明显,攻击者继续利用不断增加的IT/OT聚合来执行工业破坏。然而,正如我们对客户群的分析所揭示的那样,许多组织仍在不知不觉中在其公司环境中使用ICS协议,这既增加了攻击面,又造成了危险的盲点。需要一种新的、全面的网络防御方法-能够揭示IT和OT的这种融合,提供可见性,并发现偏差,表明出现了针对关键系统。谢谢感谢Darktrace分析师Oakley Cox对上述问题的见解调查。找到关于工业免疫系统的更多信息,Max HeinemeyerMax是一位在该领域拥有超过9年经验的网络安全专家,专门从事网络监控和攻击性安全。在Darktrace,Max与战略客户合作,帮助他们调查和应对威胁,并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前,马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上,他是一个白帽黑客,领导渗透测试和红队的活动。当他还在德国生活时,他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学(University of Duisburg-Essen)的硕士学位和斯图加特合作州立大学(Cooperative State University Stuttgart)的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件

当前网址:http://www.vmchk.com//linggan/icon/9930.html

 
你可能喜欢的: