網(wǎng)絡(luò)安全技術(shù)商Waterfall Security Solutions公司行業(yè)安全副總裁Andrew Ginter日前指出,運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)目前面臨著Apache Log4j(CVE-2021-44228)漏洞帶來(lái)的風(fēng)險(xiǎn)。
該漏洞影響了全球數(shù)百萬(wàn)臺(tái)Web服務(wù)器,使網(wǎng)絡(luò)攻擊者能夠?qū)⑷我獯a注入互聯(lián)網(wǎng)上易受攻擊的Java應(yīng)用程序。這一缺陷正在被網(wǎng)絡(luò)攻擊者廣泛利用。這就是世界各地的安全團(tuán)隊(duì)都在爭(zhēng)先恐后地確定哪些Web應(yīng)用程序可能存在Log4j漏洞,然后努力重建或升級(jí)這些系統(tǒng)的主要原因。
在互聯(lián)網(wǎng)上使用控制管道、電力系統(tǒng)或鐵路網(wǎng)絡(luò)的OT應(yīng)用程序的企業(yè)通常具有網(wǎng)絡(luò)安全知識(shí)。那么,為什么這么多OT企業(yè)對(duì)Log4j漏洞如此擔(dān)心呢?
工業(yè)互聯(lián)網(wǎng)
一些關(guān)鍵基礎(chǔ)設(shè)施和制造商將他們的生產(chǎn)設(shè)施連接到工業(yè)互聯(lián),這些通常是與Web服務(wù)和云服務(wù)的加密連接。這些連接穿透或繞過(guò)部署在互聯(lián)網(wǎng)和大多數(shù)自動(dòng)化系統(tǒng)之間的六層防火墻。這就是問(wèn)題所在,盡管這些企業(yè)可能已經(jīng)完成了所有供應(yīng)鏈的盡職調(diào)查。
企業(yè)通常會(huì)信任其軟件和云計(jì)算服務(wù)提供商。但是即使信任這些提供商,那么應(yīng)該信任他們的網(wǎng)站嗎?供應(yīng)商網(wǎng)站上的Web服務(wù)可能會(huì)受到威脅。而且OT網(wǎng)絡(luò)中的工業(yè)互聯(lián)網(wǎng)設(shè)備已經(jīng)連接到這些有風(fēng)險(xiǎn)的云服務(wù)。
更糟糕的是,一旦復(fù)雜的勒索軟件組織或其他網(wǎng)絡(luò)攻擊者入侵工業(yè)供應(yīng)商的Web服務(wù),這些企業(yè)很難發(fā)現(xiàn)或清除Log4j漏洞,而網(wǎng)絡(luò)攻擊者將繼續(xù)嵌入OT網(wǎng)絡(luò)所連接的云服務(wù)中。
一旦這些網(wǎng)絡(luò)攻擊者有時(shí)間查看并弄清楚如何利用OT系統(tǒng)對(duì)這些云服務(wù)的信任,他們將能夠使用這些云服務(wù)將他們的網(wǎng)絡(luò)攻擊深入到工業(yè)基礎(chǔ)設(shè)施中。這種攻擊有可能同時(shí)危及數(shù)千個(gè)工業(yè)場(chǎng)所。
基于云計(jì)算的OT勒索軟件
Waterfall Security Solutions公司在供應(yīng)鏈報(bào)告中預(yù)測(cè)了OT/ICS勒索軟件中OT供應(yīng)鏈和基于云計(jì)算的攻擊行為。不幸的是,最近的網(wǎng)絡(luò)安全事件已經(jīng)證明了這些預(yù)測(cè)。美國(guó)Colonial Pipeline公司和肉類包裝商JBS公司遭遇的勒索軟件事件表明,被勒索軟件關(guān)閉或破壞的關(guān)鍵基礎(chǔ)設(shè)施服務(wù)商更有可能支付上百萬(wàn)美元的贖金。這使得關(guān)鍵基礎(chǔ)設(shè)施在未來(lái)更有可能成為勒索軟件攻擊者的目標(biāo)。
遠(yuǎn)程IT管理軟件廠商Kaseya公司遭遇的安全漏洞事件清楚地表明,勒索軟件組織有能力利用易受攻擊的云計(jì)算基礎(chǔ)設(shè)施同時(shí)對(duì)數(shù)千個(gè)目標(biāo)發(fā)起攻擊。工業(yè)供應(yīng)商的受損云服務(wù)對(duì)全世界的工業(yè)運(yùn)營(yíng)構(gòu)成了巨大威脅,因此人們對(duì)Log4j漏洞感到十分擔(dān)憂。
保護(hù)OT網(wǎng)絡(luò)
大多數(shù)安全從業(yè)者的直覺(jué)是將傳統(tǒng)用于保護(hù)IT網(wǎng)絡(luò)免受勒索軟件侵害的安全工具和技術(shù)應(yīng)用于OT網(wǎng)絡(luò),但并不起作用。為什么會(huì)這樣?因?yàn)榻鉀QIT網(wǎng)絡(luò)上的勒索軟件威脅是美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的“檢測(cè)、響應(yīng)和恢復(fù)”支柱,也就是識(shí)別受影響的機(jī)器,隔離它們,擦除它們,從備份中恢復(fù)它們,然后重復(fù)操作。
這種方法在OT網(wǎng)絡(luò)出現(xiàn)的問(wèn)題在于,網(wǎng)絡(luò)攻擊和不受控制的關(guān)閉措施可能會(huì)帶來(lái)物理方面的危險(xiǎn)和損害。例如發(fā)電廠正在運(yùn)行的重達(dá)百噸的渦輪機(jī),其轉(zhuǎn)速為1200轉(zhuǎn)/分;煉油廠正在生產(chǎn)的六層樓高的催化裂化爐,里面充滿了高溫高壓的碳?xì)浠衔铮绻@些生產(chǎn)設(shè)施遭到破壞,后果不堪設(shè)想。而即使是大型建筑物中的自動(dòng)扶梯突然關(guān)閉,也會(huì)對(duì)扶梯上的人員造成傷害。而依賴“檢測(cè)、響應(yīng)和恢復(fù)”措施的一個(gè)主要問(wèn)題是無(wú)法從備份中恢復(fù)生命、損壞的設(shè)備和生產(chǎn)損失。OT網(wǎng)絡(luò)通常具有事件響應(yīng)能力,但這些能力只是在一定程度上減少了網(wǎng)絡(luò)攻擊和漏洞帶來(lái)的后果——防止漏洞和網(wǎng)絡(luò)攻擊才是OT網(wǎng)絡(luò)的首要任務(wù)。
為此,工業(yè)站點(diǎn)針對(duì)該問(wèn)題應(yīng)用的OT安全解決方案是單向網(wǎng)關(guān)。單向網(wǎng)關(guān)包括在物理上只能向一個(gè)方向推送信息的硬件——從關(guān)鍵OT網(wǎng)絡(luò)到互聯(lián)網(wǎng)。網(wǎng)關(guān)部署在互聯(lián)網(wǎng)和易受攻擊的OT網(wǎng)絡(luò)的工業(yè)互聯(lián)網(wǎng)設(shè)備之間。網(wǎng)關(guān)之所以有效,因?yàn)樗欣账鬈浖推渌W(wǎng)絡(luò)破壞攻擊都是信息——這就是“網(wǎng)絡(luò)”的含義。
因此,當(dāng)網(wǎng)關(guān)在物理上能夠?qū)⑿畔⑼扑偷交ヂ?lián)網(wǎng)上工業(yè)供應(yīng)商的云服務(wù)上,并且不能讓任何信息返回時(shí),那么遭到破壞的云服務(wù)就不再對(duì)安全或可靠的工業(yè)運(yùn)營(yíng)構(gòu)成威脅。
這種漏洞可能仍然對(duì)高效運(yùn)營(yíng)構(gòu)成威脅,因?yàn)楣I(yè)站點(diǎn)使用工業(yè)云服務(wù)是為了提高效率。但效率的暫時(shí)降低通常是可以容忍的風(fēng)險(xiǎn),而對(duì)員工人身安全、公共安全和環(huán)境安全的威脅通常是不可接受的。
如何應(yīng)對(duì)Log4j漏洞
歸根結(jié)底,Log4j漏洞是一個(gè)巨大的問(wèn)題。云服務(wù)供應(yīng)商(尤其是工業(yè)云服務(wù)供應(yīng)商)需要仔細(xì)檢查他們?cè)?jīng)出現(xiàn)過(guò)漏洞的云計(jì)算和互聯(lián)網(wǎng)系統(tǒng)。所有這些系統(tǒng)以及與其相連的任何事物都有可能藏匿被網(wǎng)絡(luò)攻擊者和勒索軟件組織利用的漏洞。
工業(yè)企業(yè)需要轉(zhuǎn)移關(guān)注重點(diǎn)。這些企業(yè)可能正在詢問(wèn)他的每一個(gè)軟件供應(yīng)商,他們的產(chǎn)品是否使用Log4j或存在這個(gè)漏洞。一個(gè)更重要的目標(biāo)是詢問(wèn)所有工業(yè)云提供商,他們的云服務(wù)是否曾經(jīng)受到和Log4j漏洞相關(guān)的攻擊。
不管這些措施如何查找或解決Log4j漏洞,尚未這樣做的工業(yè)企業(yè)應(yīng)該考慮為OT系統(tǒng)部署基于硬件的、不可破解的保護(hù)措施,尤其是那些連接到互聯(lián)網(wǎng)的OT系統(tǒng)。而OT系統(tǒng)使用的云服務(wù)不可避免地會(huì)存在其他漏洞和其他危害。
需要記住的是,勒索軟件已經(jīng)對(duì)Kaseya公司1500名客戶造成了危害。人們不希望勒索軟件組織或其他人通過(guò)Log4j漏洞或任何一個(gè)云系統(tǒng)漏洞關(guān)閉輸油管道或癱瘓發(fā)電廠等基礎(chǔ)設(shè)施。
