勒索软件攻击Westrock和其他工业组织
自2017年Wannacry和NotPetya勒索软件攻击爆发以来,体育博彩平台推荐每天都能看到源自IT端影响OT网络的攻击。美国国家安全局(NSA)也强调了这个问题,原因很简单。它的工作原理。
勒索软件是如何工作的
这是解释勒索软件攻击事件在过去一年中急剧增加的最简单的方法,而且看不到尽头。在过去的两年中,勒索软件攻击的数量激增了97%,平均赎金支付在过去的六年中增加了超过6000%,停机时间增加了200%,每起事件的平均成本也在上升。
威胁行为者组织,其名称为琉克、埃格里格、康蒂、拉格纳·洛克和其他许多人都冷酷无情,资金雄厚,愿意针对任何人;来自COVID-19疫苗制造商,汽车制造商比如关键的基础设施、政府和医院。其实是第一种ransomware-related死亡发生在去年9月,当时一家德国医院感染了勒索软件,在新冠疫情爆发期间无法治疗病人。
作为SCADAfence保护平民生命和安全使命的一部分,体育博彩平台推荐将本指南放在一起,以帮助您在工业组织中防止勒索软件。
勒索软件加密过程
让体育博彩平台推荐回到开头,首先讨论这些攻击是如何加密系统的。
从体育博彩平台推荐之前研究的勒索软件攻击中,体育博彩平台推荐了解到,从攻击者获得初始访问权限的那一刻起,他们就可以在几小时内加密整个网络。在其他情况下,攻击者将花费更多的时间来评估他们想要加密的资产,并确保他们获得了存储和应用程序服务器等关键服务器。
最近你在新闻中读到的大多数勒索软件攻击都试图终止反病毒进程,以确保它们的加密过程不会中断。最近的勒索软件变种,如SNAKE、DoppelPaymer和LockerGoga甚至更进一步,终止了与ot相关的进程,如西门子SIMATIC WinCC、倍福TwinCAT、Kepware KEPServerEX和OPC通信协议。这确保了工业过程被中断,这增加了受害者支付赎金的可能性。这些类型的勒索软件攻击在最近对本田和ExecuPharm的攻击中都可以看到。
图1 - OT安全挑战:暴露于加密的工业组件
从体育博彩平台推荐所看到的来看,勒索软件通常会加密Windows和Linux机器。体育博彩平台推荐还没看到任何plc被加密。然而,许多工业服务是在Windows / Linux机器上运行的——比如历史记录、hmi、存储、应用服务器、管理门户和OPC客户机/服务器。
在许多情况下,勒索软件的操作不会在IT网络中停止,也会攻击OT部分。更多的加密设备意味着攻击者对赎金的要求更高。
组织必须能够监控和检测跨IT/OT边界的威胁,以便在到达关键流程端点之前有效识别风险。
图2 -勒索软件预防:如何防止工业网络上的勒索软件攻击
勒索软件运营商使用的一些工具和技术与国家威胁行为者在有针对性的间谍活动中使用的工具和技术处于同一水平。
图3 -勒索软件攻击中最常用的战术、技术和程序
体育博彩平台推荐建议组织实践这些常见的安全程序,以尽量减少在杀伤链的每个步骤中被勒索软件感染的风险:
最初的访问:
- RDP
- 如果可能的话,用需要双因素身份验证的远程访问解决方案取代RDP,现在许多vpn都支持这种解决方案。这将要求攻击者通过例如通过短信发送的代码进行验证。
- 如果您选择仍然使用RDP,请确保其Windows更新已启用并正在工作。
- 网络钓鱼邮件
- 对组织的员工进行有关网络钓鱼攻击的教育。员工应该对看起来不正确的电子邮件保持警惕,不要点击可疑的链接。
- 安装反网络钓鱼解决方案。
- 面向internet的服务器的软件漏洞
- 从网络外部扫描组织的IP范围。验证所有公开的IP/端口都是您所期望的。
- 确保为您公开的服务启用了自动安全更新。如果您的某个服务(例如web服务器)没有该功能,请考虑将其更改为具有此功能的类似服务。
横向运动:
1. 防火墙和Windows更新在所有工作站和服务器上启用防火墙。确保Windows Update已启用。这将确保您的机器将被修补最新的漏洞,也将不太容易受到横向移动技术。微软不断更新他们的安全策略和防火墙规则。一个很好的例子是,它们使用任务调度器“at”命令禁用了进程的远程创建。
2. 端点保护
端点保护工作。除了阻止经典的黑客技术之外,有些还具有针对勒索软件的防御功能,并将保护您的资产免受加密。3. 理想情况下,您希望在遭受勒索软件攻击时将工业网络受到影响的风险降至最低。
- 尽可能将IT网段与OT网段分开。监控和限制段之间的访问。
- OT和IT网络(Windows域等)使用不同的管理服务器。通过这样做,危及IT域不会危及OT域。
4. 持续的网络监控一个持续的网络监控平台(体育博彩平台推荐碰巧知道一个非常好的),将帮助您在分析网络流量的同时识别威胁,并帮助您了解网络中正在发生的事情。5. 数据泄露监视网络中异常的出站流量。日常用户活动不应产生高于每个用户每天约200MB的上行活动。
更多的可见性=更少的脆弱性
优化的安全和性能策略从100%可见网络流量开始,可见性从数据包开始。要实现这一目标,您需要消除网络中的盲点,以便ICS安全工具(如SCADAfence)能够检测威胁和异常并进行持续监控。毕竟,这些工具只有在能够对数据包数据可见性进行完整分析的情况下才能发挥作用——为此,您需要在安全和基础架构策略中部署网络tap、气隙虚拟tap和数据二极管。
业界对于数据包可见性的最佳实践是网络tap(测试接入点)。网络水龙头是专用的硬件设备,创建一个精确的全双工副本的流量流,连续,24/7,不影响网络完整性。
可见性解决方案需要在可见性架构中实现基本的最佳实践。要实现这一目标,您需要消除网络中的盲点,以便ICS安全工具能够检测威胁和异常并进行持续监控。毕竟,这些工具只有在能够对数据包数据可见性进行完整分析的情况下才能发挥作用——为此,您需要在安全和基础架构策略中部署网络tap、气隙虚拟tap和数据二极管。
SCADAfence如何帮助你
体育博彩平台推荐提供全面的解决方案- SCADAfence的平台,旨在保护像您这样的工业组织免受工业网络攻击(包括勒索软件)。它还可以帮助您在其内置功能中实现更好的安全实践。其中包括:
- 资产管理
- 网络地图
- 交通分析
这些工具将帮助您的组织实现更好的网络分段,以确保您的防火墙正常工作,并且OT网络中的每个设备只与它们应该与之通信的设备通信。您还能够发现不在它们应该在的位置的资产,例如,DMZ中被遗忘的资产。
该平台也是评级最高的OT和物联网安全平台,还可以监控网络流量中的任何威胁,包括典型的勒索软件攻击;如:
- 通过网络发送安全漏洞。
- 使用最新技术进行横向运动尝试。
- 网络扫描和网络侦察。
一旦发生安全漏洞,SCADAfence的详细警报将帮助您尽快控制这些威胁。最终,体育博彩平台推荐构建了这个工具来帮助工业组织了解他们的攻击面,实现有效的分割和持续的网络监控任何恶意或异常活动。
视频:有针对性的勒索软件攻击剖析:
体育博彩平台推荐想和你分享一个真实的故事,关于体育博彩平台推荐最近对工业勒索软件网络攻击的反应。SCADAfence的事件响应团队协助公司应对网络安全紧急情况。在这段视频中,体育博彩平台推荐将回顾体育博彩平台推荐最近参与的一次事件响应活动。发表这项研究的目的是帮助组织对此类事件进行规划,并减少有针对性的工业勒索软件对其网络的影响。希望增加网络可见性和勒索软件安全性,但不知道从哪里开始?加入体育博彩平台推荐,参加一个简短的网络Design-IT咨询或演示。没有义务——这是体育博彩平台推荐喜欢做的
