ICS安全趨勢分析

前言

Mandiant ICS Healthcheck近日匯總了FireEye旗下企業Mandiant所執行的數十項ICS安全健康評估項目(ICS Healthcheck)，並從中收集了大量數據，以確定工業設施中最普遍、危害最大的安全風險。這些數據都是通過過去幾年在多個行業進行的實際評估獲得的，這些行業包括製造業、採礦業、汽車、能源、化工、天然氣和公用事業。在本文中，研究者們將詳細介紹這些風險，並給出最佳安全措施，以緩解風險。

Mandiant ICS Healthcheck

Mandiant ICS Healthchecks和滲透測試包括客戶IT和ICS系統的現場評估。ICS Healthcheck包括技術研討和審查。它使用Mandiant的風險評級方法，對發現漏洞和風險進行排序。Mandiant專業技術可以識別各類風險，例如漏洞、配置錯誤和異常網路通信，並且提供如何解決風險的建議。在與現場技術專家的現場研討會上，Mandiant對主體控制系統進行了技術介紹，構建了控制系統的網路圖，分析了潛在的漏洞和威脅，並協助制定了優先順序建議的防禦對策。

Mandiant還收集和審查來自ICS環境的網路流量包捕獲，以驗證研討會中構建的網路圖，並識別與預期設計不同的任何意外偏差。為了證明ICS網路或系統的漏洞配置，Mandiant還分析了相關流量。Mandiant還會檢查已部署的安全技術是否存在漏洞和其他架構風險，例如不適當配置的防火牆，雙宿主控制系統設備以及與業務進行不必要連接的網路。

Mandiant風險評級系統

這篇文章借用了來自Mandiant ICS Healthchecks的信息，它評估了來自多個行業組織的網路安全風險。而關鍵和高安全風險的評級基於Mandiant風險評級系統，該系統通過識別漏洞的可利用性和影響來交叉引用評估結果。

影響或漏洞可利用性圖表

在ICS環境中，有三分之一的安全漏洞屬於高級別風險。

研究人員回顧了所有風險評估的結果，然後將結果分類並排序，排序依次為關鍵級或高級、中級，低級或信息級。研究人員在ICS組織中發現的漏洞中，至少有33％的安全問題被評為高風險或嚴重風險。這意味著攻擊者可以利用它們，輕而易舉控制目標系統，並可能危及其他系統或網路，導致服務中斷，盜取未經授權的信息，或導致其他嚴重後果。研究人員建議對重大風險立即進行補救，並迅速採取行動來補救。

風險評估分布圖

在ICS環境中最常見的關鍵和高安全風險

FireEye iSIGHT Intelligence將Mandiant ICS Healthcheck中發現的關鍵和高安全風險分為9大類(見表1)，最常見的三類是：

1.漏洞、補丁和更新(32%)；

2.身份和訪問管理(25%)；

3.架構和網路分段(11%)；

在大多數情況下，基本的安全最佳措施足以阻止攻擊者以組織的系統為目標。因為對系統的攻擊影響是巨大的，針對基礎設施的專門惡意軟體或攻擊者可能會在整個目標攻擊生命周期中首先尋找這些漏洞。

ICS環境中高安全風險的分布

三大高風險和關鍵風險以及對應的環境措施

漏洞、補丁和更新

漏洞、補丁和更新管理過程使組織能夠從已知的安全威脅中保護現有的軟體、硬體和固件。攻擊者可以利用已知的ICS環境中的漏洞訪問網路並進行感染以執行目標攻擊。以下是研究人員在審計業務期間觀察到常見風險:

1．修復和更新控制系統的罕見程序:

1.1研究人員遇到的沒有正式漏洞和補丁管理程序的組織；

2.過時的固件、硬體和操作系統(OS)，包括:

2.1網路設備和系統，如交換機、防火牆和路由器；

2.2硬體設備，包括台式電腦、照相機和可編程邏輯控制器(plc)；

2.3不受支持的舊版操作系統，如Windows Server 2003，XP，2000和NT 4；

3.含有補丁的軟體應用程序和設備中尚未解決的已知漏洞:

3.1研究人員觀察到過時的防火牆有多達53個未修復的漏洞和20 0多個交換漏洞；

3.2可以使用已知的開源工具開發的系統管理軟體；

3.3在實施之前缺乏分析補丁和更新的測試環境；

緩解措施

1.制定全面的ICS漏洞管理策略，以及包括實現關鍵環節的補丁和更新的程序，更多信息請參考美國國家標準與技術協會(NIST) ICS安全NIST SP800-82指南。

2.當關鍵基礎架構不再提供補丁和更新時，請選擇以下兩種緩解措施之一:

2.1在受影響的環節周圍建立安全邊界，至少要有防火牆(工業協議檢查/阻止)來保護訪問控制和流量過濾；

2.2淘汰可能被利用的獲取網路訪問許可權的舊設備，例如交換機；

3. 設置代表正在運行的IT和ICS設備的開發系統或實驗室，這些系統通常可以從現有的備件，以及從系統供應商購買或租借用於人機介面(HMI)和配置軟體的額外許可證來構建。開發系統是測試更改和修補程序的優秀平台，在此平台上可以執行漏洞掃描，而不會對活動系統造成風險。

身份和訪問管理

第二類最常見的安全問題類型與處理密碼和憑證的漏洞有關。Mandiant確定的常見的漏洞包括:

1.缺乏對遠程訪問和關鍵帳戶的多因素認證:

1.1用戶可以從企業網路遠程訪問ICS環境，而不需要多因素身份驗證；

2.缺乏全面和強制執行的密碼策略:

2.1用於特權帳戶、ICS用戶帳戶和服務帳戶的長度或複雜性不足的弱密碼；

2.2密碼沒有頻繁更換；

2.3多個賬戶重複使用同一密碼；

3.明顯暴露的密碼:

3.1寫在設備上的密碼；

4.應用程序和設備中的硬編碼和默認憑證:

4.1 Mandiant發現了包含默認憑證的遠程終端單元(RTU)，這些憑證通常可在Internet和設備手冊中找到；

4.2數據機包含一個由製造商組成的後門賬戶；

4.3 常用的「管理員」帳戶；

5.使用共享憑證；

緩解措施

1.為所有可能的用戶(尤其是管理帳戶)實施雙因素身份驗證；

2.避免保留密碼的文字副本，並在必要時將其進行保密處理，僅限授權用戶訪問；

3. 對需要經常修改且無法重複使用的強密碼執行密碼策略，更多信息可了解SANS；

4.避免常見的、容易被猜到的用戶帳戶名稱，例如「operator」，「administrator」或「admin」；相反可以使用唯一命名的用戶帳戶進行所有訪問；

5.要求管理用戶使用惟一命名的用戶帳戶登錄，並將其進行強密碼處理；

6.盡量避免共享帳戶，但是，如果必須進行共享，則應該使用存儲在加密密碼管理器中的強密碼進行強化處理。

網路隔離與分段

在這篇文章中指出的三大風險中，網路隔離和分段的漏洞是最危險的。由於缺乏與企業IT網路和ICS網路的隔離，攻擊者可以通過IT服務開始感染，進而進入ICS環境來發起針對關鍵基礎架構的遠程攻擊。此外，該漏洞還增加了通過商品惡意軟體傳播到ICS網路的風險，其中惡意軟體可能與運行基礎設施進行交互。 Mandiant確定的主要風險包括：

1.工業系統可以從企業網路直接訪問，也可以通過橋接設備(連接到兩個網路)訪問，例如未使用的伺服器，HMI，歷史記錄或鬆散配置的共享防火牆。研究人員還發現:

1.1通過與分散式控制系統（DCS）通信的歷史記錄，可以從企業網路對工廠伺服器進行未過濾的訪問；

1.2缺少ICS和企業網路之間的分段；

1.3 橋接設備中的漏洞（例如，運行易受攻擊操作系統的過時設備）可以實現網路之間的大肆感染；

1.4在共享控制系統網路上運行的業務功能（例如，數據備份和防病毒更新）。

2.雙宿主系統，包括伺服器和台式計算機；

3.工業網路直接連接到互聯網；

緩解措施

1.根據NIST SP 800-82和IEC(下圖)的建議，使用網路非軍事區（DMZ）對ICS的所有訪問進行分段：

1.1限制用於在ICS和企業網路之間建立通信的埠、服務和協議的數量，以儘可能少地減少攻擊面；

1.2首先在DMZ中終止普通用戶和管理用戶的訪問，然後建立另一個連接到ICS網路的會話；

1.3將提供ICS數據的伺服器（或鏡像伺服器）放置到DMZ中的企業網路；

1.4使用防火牆過濾所有進入或離開ICS的網路流量；

1.5防火牆規則應該過濾來自企業網路的輸入流量和來自ICS的輸出流量，並且它們應該只允許所需的最小流量通過；

2.將控制網路與互聯網路隔離開來，應該使用單獨的網路通過DMZ進行互聯網訪問，並且在任何時候都不應該允許兩個網路之間有橋接連接；

3.確保使用獨立的、定期修補的防火牆將企業網路與DMZ和ICS網路分離，並定期檢查防火牆規則集。

4.識別並重定向遍歷工業網路的任何非控制系統流量；

5.刪除所有雙宿主伺服器和主機；

用於企業和控制系統網路分段的參考架構

其他的漏洞和對應緩解措施

以下是從其他事件中發現的其他常見風險，但頻率較低。

網路管理與監控

研究人員發現許多工業組織中缺乏網路安全監控、入侵檢測和入侵預防，包括缺少端點惡意軟體保護、未使用的埠處於活動狀態以及對ICS網路的預判性有限。研究人員建議採用以下緩解措施:

1.作為總體安全規劃的一部分，全面的網路安全監控策略應該在ICS級就進行定義和實施，應特別注意監測發生外部連接的網段:

1.1實現或增加集中式系統和網路日誌記錄，以提供整個企業(IT和ICS)的可見性。監控日誌中的異常行為。必要時，請考慮採用額外的主機或基於網路的安全控制，這些安全控制措施會根據異常或可疑的行為生成警報或拒絕流量。

2.在所有ICS和ICS DMZ主機上安裝一個集中管理的反惡意軟體解決方案，確保及時部署簽名和應用程序更新；

3.探索部署高級端點保護解決方案的替代方案，該解決方案為不依賴基於簽名的檢測方法的惡意軟體和惡意活動提供檢測或預防；

4. 識別並關閉網路埠不使用的程序；

防火牆規則中的錯誤配置

研究人員發現了脆弱的防火牆規則，包括「ANY-ANY」配置，衝突或重疊規則，這就允許攻擊者訪問管理服務的過度許可條件，以及缺少控制超時的連接。研究人員推薦了以下安全防火牆配置的最佳緩解措施:

1.過濾規則只允許訪問特定的源或目標IP地址和埠；

2.過濾規則應該指定一個特定的網路協議；

3.ICMP篩選規則應該指定特定的消息類型；

4.過濾規則應該刪除網路數據包，而不是拒絕它們；

5.過濾規則應該執行特定的操作，而不是依賴於默認操作；

6.應該設置管理會話超時參數，以便在預定的時間內終止這些會話；

網路安全管理的最佳實踐

研究人員發現一些組織的ICS安全計劃有限或缺乏正式和全面的ICS安全計劃，因此他們強烈建議組織實施ICS安全計劃，建議的優先順序如下：

1.建立一個具有明確責任的ICS安全計劃，要明確每個人的責任，健全問責制和治理結構，它應該包括：

1.1 ICS安全的業務預期、策略和技術標準；

1.2關於主動安全控制的指南，例如，補丁和更新的實現、變更管理或安全配置。

1.3事件響應、災害恢復和業務連續性計劃；

1.4 ICS安全意識培訓計劃；

2.根據NIST SP800-82開發一個漏洞管理策略，包括資產識別和庫存、風險評估和分析方法(確定關鍵資產的優先順序)、修複測試和部署指南。

總結

本文介紹了Mandiant ICS Healthcheck觀察到的工業組織當前面臨的風險，雖然本研究中觀察到的趨勢與安全會議會談和媒體報道中經常討論的風險一致，但本文是從數十個樣本評估中得出的結論，緩解措施在現實生活都有針對性。

本文的研究表明，ICS中至少有三分之一的關鍵和高安全風險與漏洞、補丁和更新有關。已知的漏洞仍然是ICS所有者面臨的重大挑戰，安防人員必須在複雜的工業環境中監督數以千計的資產的日常操作。另外還需要強調的是，研究人員發現的一些最常見的風險可以通過本文所列的安全措施來得到有效緩解，例如強制執行全面的密碼管理策略或建立詳細的防火牆規則。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！