尽管近年来人们对工业以太网和工业物联网的安全性感到担忧,但并没有多少确定的恶意软件家族准备破坏关键的基础设施。事实上,自从2010年伊朗的Stuxnet攻击以来,工业部门只有少数独特的恶意软件工具包。然而,安全研究人员最近发现了针对关键基础设施triton的最新恶意软件。
保护工业网络至关重要。现在TRITON已经出现了,让体育博彩平台推荐来看看这个恶意软件到底是什么,并讨论如何防御它。
破解TRITON恶意软件威胁
2017年12月中旬,当攻击者部署TRITON来操纵Triconex安全仪表系统(SIS)时,网络安全公司Mandate被要求调查可疑活动。根据FireEye的报告,这次攻击导致了一些SIS控制器的操作关闭。然而,关闭是安全机制的结果。据报道,攻击背后的民族国家行为者意图获得SIS工作站的远程访问权限,重新编程控制器,并引发导致物理损坏的安全事件。尽管作业关闭是无意的,但运营管理人员仍然必须了解TRITON带来的威胁。TRITON工具包含许多不同的功能(其中大部分未用于此特定事件)。FireEye表示,TRITON使攻击者能够:
- 读写程序
- 更改SIS控制器中的单个功能
- 查询单个SIS控制器的状态
- 并远程通信以交付攻击者定义的有效载荷
现在下载:了解如何保护您的工业网络
(免费白皮书)
与其他关键基础设施攻击一样,数据泄露并不是TRITON攻击的最终目标。相反,恶意软件工具包中包含的功能可以帮助攻击者绕过安全控制,在工业以太网网络中获得立足点,并导致基础设施出现故障。幸运的是,攻击者修改了目标SIS控制器上的应用程序内存,导致验证失败并立即安全关闭。这次事件中的攻击者可能触发了一个安全协议。但这并不意味着TRITON不能用于您的工业控制系统。了解恶意软件是战斗的一部分,而防御它才是真正的挑战。
防御工业威胁(包括TRITON)
每当有新的恶意软件报告时,安全研究人员都会提出一些关键建议。以TRITON为例,FireEye是这么说的:
- 将安全系统网络与过程控制/信息系统网络分开
- 物理程序安全控制器
- 为使用SIS控制器数据的应用程序利用单向网关
- 实行严格的访问控制和应用程序白名单
- 并监控ICS网络流量的潜力你的基线活动异常
除了TRITON之外,这些都是保持您独特的工业基础设施安全的好方法。但如何执行所有这些建议仍然是一个问题。
防御TRITON和其他工业威胁的关键是实施能够100%发现FireEye提到的异常的网络元素。只听设备,如无源网络水龙头复制您的SIS控制器和其他网络数据,将其发送给分析器或深度数据包检查器,并让您的经理领先于任何可能的违规行为。
将无源网络tap与最新的创新监控工具结合使用,是查看每个比特、字节和数据包的最佳方式®在你的工业网络中传播。当你有完全的可见性时,你可以保护自己免受攻击者试图用像TRITON这样的恶意软件潜入的微妙异常。
