工业控制系统成靶心:从朝日网络攻击中汲取的九大安全教训

本文深入剖析了针对朝日集团的勒索软件攻击事件,揭示了针对工业控制系统的威胁态势、攻击者的战术技术与流程,并为防御者提供了涵盖网络架构、检测响应、安全意识与实战训练等方面的九项关键教训。

工业网络安全已不再是配角——它正成为主角。Qilin勒索软件组织最近对世界领先的啤酒制造商朝日集团(Asahi)发起的攻击,清楚地表明了这一点。生产停止、供应链中断、货架清空。

在我们的最新网络研讨会中,HTB的产品营销主管Giacomo Bertollo与Dragos的分析师及专家Joseph Lee、Tim Vernick和Gil Garcia联手,剖析了这次攻击的构成,并揭示了当今ICS/OT威胁环境的现状。以下是每位防御者都应汲取的教训。

立即观看网络研讨会

1. OT(运营技术)是攻击者的首选目标

为什么工业系统如此具有吸引力?因为当OT系统出问题时,人们会立刻注意到。 一条停止的生产线意味着收入损失、物流停滞和股东愤怒。对于攻击者——从勒索软件组织到国家级行为体——这种关注度就是力量。 目前主要有三种类型的攻击者主导着ICS/OT领域:

  • 追逐快速利润的勒索软件组织
  • 受意识形态驱动的黑客活动分子
  • 利用OT破坏作为战略筹码的国家级对手(例如在俄乌冲突中可见) 数字化只会加剧风险。随着物理控制系统演变为互联的、数据驱动的生态系统,攻击面急剧扩大。

2. 勒索软件即服务(RaaS)也已工业化

朝日攻击由Qilin(又名Agenda)声称负责——这是一个勒索软件即服务(RaaS)组织,模糊了附属机构、中间商和载荷操作者之间的界限。 以下是此类攻击活动中常见的行动手册:

  • 初始访问:被入侵的VPN或RDP凭据,通常是在被信息窃取程序窃取后,从初始访问中间商处购得。
  • 执行:自动化脚本部署加密器。
  • 持久化:使用有效账户和计划任务确保在重启后仍能存活。
  • 横向移动:通过RDP、SMB或WinRM连接在生成网络中传播感染。
  • 防御规避:清除日志、禁用安全工具、强制系统进入安全模式。 这不仅仅是复杂——更是高效、可重复,并且对技能较低的运营商也越来越容易实现。

3. OT防御始于IT卫生的薄弱环节

大多数OT入侵并非始于工厂车间——而是始于你的IT部门。工程师用于远程管理等工作的相同凭据,通常是连接后台办公室和工厂车间的桥梁。 扁平化的网络,简而言之,是送给攻击者的礼物。分段、严格的凭据策略和安全的远程访问不再是可选项,而是生存的工具。考虑到这一点,你的首要防御重点应该是:

  • 可防御的架构:划分网络并限制访问路径。
  • 安全的远程访问:精细的防火墙规则,工程师的最小权限原则。
  • 密码纪律:消除默认或共享凭据(是的,“admin/admin”仍然存在)。

4. 检测,或“尽早发现蛛丝马迹”

防御者应优先关注的高价值检测阶段,可分解如下:

阶段 需要关注的现象 其重要性
利用 新服务、安全代理被禁用、日志删除 表明攻击者已获得立足点
命令与控制 外联信标、异常域名、低频通信 表明攻击者正在你的网络内部通信
凭据滥用 IT与OT之间不寻常的认证活动 横向移动的早期迹象

如果你能发现前两者,你就已经领先于大多数受害者了。

5. 规避并非无形(如果你知道要观察什么)

即使攻击者禁用了防御,他们的篡改也会留下痕迹。监控间接信号:

  • 事件日志操作(Windows事件ID 7036, 6008, 1102)
  • 意外的注册表或WMI更改
  • 在被动网络监控器上突然沉默的主机 并且始终将日志转发到远程的、防篡改的SIEM。如果你的遥测数据随终端一起消失,你的可见性也随之消失。

6. 遏制并不意味着关闭一切

在OT环境中,简单地拔掉电源并非可行选项。停止生产可能导致连锁故障,甚至安全隐患。 安全第一,但工程、安全和运营团队之间的协作直接决定了“安全”的实际含义。网络分段可以使未受影响区域在其它地方进行遏制时继续保持运行。记录每一个行动,并让所有利益相关者参与进来(是的,包括公关和法律部门)。

7. 桌面演练不再是可选项

研讨会中的所有专家都同意:练习胜过恐慌。拥有一个针对OT的事件响应计划(IRP)——并进行演练——是迈向韧性的最大一步。定期的桌面演练(TTX)帮助团队:

  • 测试遏制和恢复流程
  • 验证热站点或温站点的准备情况
  • 了解运营停机容忍度
  • 提高平均恢复时间(MTTR) 简而言之:你无法在OT危机中即兴发挥。

8. 从理论到行动的培训途径

梦幻团队(HTB和Dragos)创建了“Alchemy”专业红队实验室,该实验室复制了一个真实的啤酒厂环境(不含啤酒)。它包含16台机器、21个标记和真实的ICS环境——专为帮助团队模拟和响应现实世界的OT攻击而定制。 对于防御者,HTB威胁靶场(Threat Range)通过实弹模拟延伸学习,让SOC和DFIR团队面对真实的勒索软件场景,并测量平均检测时间(MTTD)、平均识别时间(MTTI)和平均恢复时间(MTTR)等关键绩效指标。

9. 今天就能实现的三个快速胜利

  1. 检查你的互联网暴露面:通过Shodan或Censys扫描你的IP地址空间。如果发现OT资产,立即锁定它们或将它们置于WAF之后。
  2. 评估你的成熟度基准:使用Dragos的五大关键控制措施作为指导:
    • 特定于OT的事件响应
    • 可防御的架构
    • 可见性与监控
    • 安全的远程访问
    • 基于风险漏洞的管理
  3. 从小处着手,但立即行动:即使是渐进式的网络分段或改善密码卫生,也能取得进展。

最终思考

OT安全正从“重要”转变为“关乎存亡”。朝日事件并非一次性的打了就跑。它是一个警示故事,应该激发各行各业的行动。问题不在于是否会再次发生攻击;而在于何时会发生。 最好的防御不是新工具或华丽的仪表盘。而是了解你的环境、在压力下进行演练,并建立一种IT和OT真正相互沟通的文化。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次