工業(yè)控制系統漏洞披露呈上升趨勢

發(fā)布時間 2022-05-07

我們正在快速進入一個時代,高度互聯的網絡物理系統成為常態(tài),IT、OT和IoT安全管理之間的界限變得模糊。所有這些都將連接到云端,并從云中進行管理,并且將處理海量無法預測的數據,以微調性能,提供關鍵服務的分析,并確保關鍵工業(yè)、醫(yī)療保健和企業(yè)流程的完整性。擴展物聯網(XIoT)增強了對及時、有用的漏洞信息的需求,以便更好地為風險決策提供信息。

對此Claroty的研究部門編寫了ICS風險及漏洞報告》,旨在定義和分析與跨領域使用的領先自動化產品和連接設備相關的漏洞狀況。

1.png

2021年下半年,攻擊數量有所減少,但這些事件只會推動決策者最終確定XIoT網絡安全的優(yōu)先級。關注的數據包括在關鍵基礎設施和其他行業(yè)中運行的所有商業(yè)產品,如制造、醫(yī)療保健和物聯網。去年下半年披露的物聯網和醫(yī)療設備中的漏洞比例持續(xù)攀升,從上半年的29%上升至34%。

這表明組織將在融合安全管理下合并OT、IT和IoT,并且OT和ICS將不再各自獨立。因此,資產所有者和運營商必須全面了解其環(huán)境,以便管理漏洞并減少風險。

報告中,全面分析了2021年下半年公開披露的工業(yè)控制系統漏洞,包括供應商、安全研究人員、以及其他組織的專家發(fā)現的漏洞。安全經理、資產所有者和運營商可關注這份報告,該報告不僅提供有關工業(yè)設備中普遍存在的漏洞數據,而且還提供評估各自環(huán)境中風險的必要環(huán)境。

一、ICS漏洞趨勢

在2021年下半年,共計發(fā)布了797個ICS漏洞,影響了82家ICS供應商,其中有21家是新發(fā)現的供應商,大多數都在自動化、制造和醫(yī)療保健領域。該數字比2021年上半年發(fā)布的642個漏洞增加了24%。

2021年全年共計披露了1439個ICS漏洞,比2020年的942個激增了53%。同時2021年全年披露的漏洞影響147家ICS供應商,比2020年的102家增加了44%。

2.png

34%的披露漏洞會影響IoT、IoMT和IT資產,表明組織將在融合安全管理下合并OT、IT和IoT。因此資產所有者和運營商必須全面了解其環(huán)境,以便管理漏洞并減少風險。

數據顯示,ICS漏洞披露數量及供應商內部研究披露的漏洞數量均有增加。進行內部研究的供應商數量增加了35%。由于西門子的ProductCERT進行了內部研究,西門之是報告漏洞最多的供應商,有251個,其次是施耐德電氣(89)、研華(43)、臺達電子(33)和三菱(24)。

在下半年披露的漏洞中,有496個影響軟件,299個影響固件,然而鑒于修補軟件比修補固件相對容易,防御者在其環(huán)境中優(yōu)先考慮修補軟件漏洞。

這些漏洞主要的潛在影響是遠程代碼執(zhí)行,普遍存在于53%的漏洞中,其次是拒絕服務(42%)、繞過保護機制(37%)、以及允許攻擊者讀取應用程序數據(33%)。

針對這些漏洞最重要的緩解措施是網絡分段,建議在21%的漏洞中使用,其次是防護勒索軟件、網絡釣魚和垃圾郵件(15%)和流量限制(13%)。

二、ICS漏洞威脅及風險

符合普渡模型3級運營管理的產品受公開漏洞的影響最大,有217個,占27%。此級別的軟件組件包括處于生產工作流程核心的服務器和數據庫。此級別的技術還將從現場設備收集的數據提供給更高級別的業(yè)務系統,或在云中運行的系統。

在1級基本控制和2級監(jiān)督控制運行的產品受到在2021年下半年披露的25%漏洞的影響,共計有205個。在1級基本控制級,包括可編程邏輯控制器(PLC)、遠程終端單元(RTU)和其他監(jiān)控0級設備的控制器,如泵、執(zhí)行器、傳感器等。在2級監(jiān)督控制級,包括人機界面(HMI)、SCADA軟件和其他工具,用于監(jiān)視和處理1級數據。

3.png

防御者必須了解針對工業(yè)網絡和IoT設備的攻擊者最常利用的威脅向量。通過對漏洞所在位置的適當可見性,組織能夠充分修補或緩解軟件和固件中使網絡和流程面臨風險的問題。

87%的漏洞是低復雜性的,這意味著它們不需要特殊條件,攻擊者每次都可以獲得可重復的成功。70%的漏洞在成功利用漏洞之前不需要特殊權限,64%的漏洞不需要用戶交互。

數據顯示,所披露的漏洞中有63%可能通過網絡攻擊向量遠程利用,該數字比2021年上半年稍微上升了2%。本地可利用漏洞在2021年下半年下降至31%。為了利用這些漏洞,攻擊者需要一個單獨的網絡訪問向量才能利用這些漏洞。其中一些需要用戶交互,例如網絡釣魚和垃圾郵件,才能獲得最初的網絡立足點。

94%通過本地攻擊向量進行的運營管理漏洞需要用戶交互才能利用,這加強了持續(xù)教育的必要性,以防止網絡釣魚攻擊,并阻止破壞性勒索軟件攻擊的浪潮。

三、修補及緩解措施

披露漏洞只是漏洞管理過程中的一個重要步驟。補丁和緩解措施對于資產所有者、運營商和安全經理來說至關重要。隨著每天有越來越多的聯網設備上線,越來越多的系統可以訪問,并提高了及時修復的緊迫性。

然而更新ICS或SCADA軟件通常具有挑戰(zhàn)性,主要與正常運行時間和可用性要求有關。由于開發(fā)和實施更新涉及的復雜性,固件更新也很困難。這些周期可能比傳統的IT補丁管理花費的時間要長得多,這通常使緩解措施成為防御者唯一的補救選項。供應商、內部安全分析師和管理人員還必須優(yōu)先跟蹤停產產品,以及更新可能具有挑戰(zhàn)性或停機時間不可接受的產品中的漏洞。ICS產品的保質期很長,隨著漏洞的累積,風險會顯著放大,尤其是嚴重的遠程代碼執(zhí)行或拒絕服務。

漏洞修復有三種形式,完全修復(69%)、部分修復(15%)、及沒有修復(16%)。74%完全修復的漏洞是基于軟件的。鑒于修補軟件比固件更容易,防御者有能力在其環(huán)境中優(yōu)先修補。62%的部分修復或未修復的漏洞在被利用時,可能導致遠程代碼執(zhí)行或拒絕服務。

4.png

大多數完全修復的漏洞位于普渡模型的三級運營管理級別的產品中,其次是監(jiān)督控制和網絡管理級別。固件的補救措施較少。當受影響的供應商提供時,網絡設備的固件更新得到最頻繁的解決,其次是基本控制級別的產品和IoT設備。

停產產品在工業(yè)環(huán)境中很普遍,大多數組織都不愿淘汰監(jiān)督關鍵流程的遺留系統。數據顯示,有29個漏洞影響了停產產品,且沒有計劃對其進行補救。在所有情況下,受影響的供應商都不再支持這些產品。停產產品中48%的漏洞影響基本控制設備(PLC、RTU)。如果被成功利用,這些漏洞中59%會導致代碼執(zhí)行或拒絕服務以及設備崩潰。

對此,T建議遵循以下安全措施:

網絡分段。隨著氣隙工業(yè)設備成為過去,越來越多的設備連接到互聯網并通過云進行管理,因此必須優(yōu)先考慮網絡分段等縱深防御措施,建議網絡管理員:

  • 虛擬分段網絡,并以遠程管理方式進行配置;

  • 創(chuàng)建針對工程和其他面向過程的功能量身定制的區(qū)域特定策略;

  • 保留檢查流量和OT特定協議的能力,以便檢測和防御異常行為。


防護勒索軟件、網絡釣魚和垃圾郵件。遠程工作增加了對電子郵件作為重要通信機制的依賴。因此也增加了員工成為網絡釣魚或垃圾郵件攻擊目標的風險,從而增加勒索軟件和其他惡意軟件感染的風險。建議安全從業(yè)人員和所有人員執(zhí)行以下操作:

  • 不要從不受信任的來源打開電子郵件或下載軟件;

  • 不要點擊來自未知發(fā)件人的電子郵件中的鏈接或附件;

  • 不要通過電子郵件向任何人提供密碼、個人或財務信息,敏感信息也用于雙重勒索;

  • 始終驗證電子郵件發(fā)件人的電子郵件地址、姓名和域;

  • 經常備份重要文件,與主系統分開存儲;

  • 使用防病毒、反垃圾郵件和反間諜軟件保護設備;

  • 立即向相應的安全或IT人員報告網絡釣魚電子郵件;

  • 實施多因素身份驗證。


保護遠程訪問連接。遠程辦公是新常態(tài),組織必須安全的滿足增加遠程連接公司資源的需求。在OT環(huán)境和關鍵基礎設施中尤為重要,因為操作員和工程師需要對工業(yè)資產進行安全的遠程訪問,以確保流程的可用性和安全性。建議安全從業(yè)人員執(zhí)行以下措施:

  • 驗證VPN版本是否已修補,并更新到最新版本;

  • 監(jiān)控遠程連接,尤其是與OT網絡和ICS設備的遠程連接;

  • 實施精細的用戶訪問權限和管理控制。


保護運營管理和監(jiān)督控制。2021年下半年披露的大多數ICS和SCADA漏洞影響了第三級運營管理,如OPC服務器等,其次是第二級監(jiān)督控制,如HMI、SCADA和工程工作站等。大多數1級基本控制是基于固件的,而大多數2級監(jiān)督控制和3級運營管理是基于軟件的。由于無法隨著時間的推移進行修補,尤其是1級設備固件,因此建議投資于分段、遠程訪問保護、以及對運營管理和監(jiān)督控制級別的更好保護,因為它們提供對基本控制級別的訪問,并最終提供對過程本身的訪問。其他建議包括:

  • 使用加密、訪問控制列表和適用于OT網絡的適當遠程訪問技術等機制保護遠程訪問連接;

  • 維護資產庫存和分段;

  • 評估風險并確定關鍵補丁的優(yōu)先級;

  • 確保設備受密碼保護,并嚴格執(zhí)行密碼衛(wèi)生;

  • 實施基于角色和策略的精細管理訪問;

  • 大多數基于本地攻擊向量的2級漏洞都依賴于用戶交互,因此請遵循最佳實踐來防御社會工程技術。