围绕工业 APT 攻击的主要问题

news2024/11/24 13:27:30

高级持续威胁 (APT) 行动在受害者网络内取得成功的关键因素包括人为因素、安全措施不足、网络安全解决方案更新和配置方面的挑战以及其他因素。

虽然其中一些原因可能看起来微不足道,但卡巴斯基专家在事件响应活动中经常遇到这些问题。

为帮助公司减轻相关威胁并确保最佳实践的实施,卡巴斯基 ICS CERT 专家编制了一份最普遍问题的清单。

缺乏OT网络隔离

在事件调查期间,专家见证了在保持运营技术 (OT) 网络独立和安全方面存在问题的案例。例如,有工程工作站等机器同时连接到常规 IT 网络和 OT 网络。 

在 OT 网络的隔离完全依赖于网络设备配置的情况下,有经验的攻击者总是可以重新配置该设备以发挥他们的优势。

例如,他们可以把它变成代理服务器来控制恶意软件流量,甚至用它来存储恶意软件并将其传送到被认为是孤立的网络。我们曾多次目睹此类恶意活动。

人为因素仍然是网络犯罪活动的驱动因素

在授予员工或承包商访问 OT 网络的权限时,信息安全措施往往被忽视。TeamViewer 或 Anydesk 等远程管理实用程序最初是临时设置的,可能会在不被注意的情况下保持活动状态。

然而,重要的是要记住这些渠道很容易被攻击者利用。2023 年,卡巴斯基调查了一起承包商企图破坏的事件,该事件是利用几年前合法授予他们的对 ICS 网络的远程访问权限。

这个故事证明了考虑人为因素的重要性,因为任何可能不满意的员工都可能受到他们的工作评估、收入或政治动机的驱使,导致他们参与网络犯罪活动。

在这种情况下,一种可能的解决方案是零信任,该概念假设系统内的用户、设备和应用程序都不可信。

OT资产保护不足

在事件分析过程中,专家发现过时的安全解决方案数据库、丢失的许可证密钥、用户启动的密钥删除、禁用的安全组件以及过度排除扫描和保护,所有这些都有助于恶意软件的传播。

例如,如果您的数据库不是最新的并且安全解决方案无法自动更新,它可以允许高级威胁快速轻松地传播,就像 APT 攻击一样,复杂的威胁参与者试图避免检测。

安全解决方案的不安全配置

正确配置安全解决方案对于防止其禁用甚至滥用 APT 团体/参与者经常使用的策略至关重要。他们可能会窃取存储在安全解决方案中的受害者网络上的信息,以进入系统的其他部分,或者使用专业的信息安全语言横向移动。

2022 年, ICS CERT 注意到 APT 策略的新趋势,这使得正确的配置变得更加重要。例如,在寻找横向移动的方法时,攻击者不再停留在劫持关键 IT 系统,如域控制器。

他们继续下一个目标,安全解决方案的管理服务器。目标可能会有所不同,从将恶意软件列入不会被检查的程序列表到使用安全系统中的工具将其传播到其他系统,甚至是那些应该与受感染网络完全隔离的系统。

OT网络缺乏网络安全保护

在一些 OT 网络上,许多端点根本没有安装网络安全解决方案。即使 OT 网络与其他网络完全隔离并且没有连接到互联网,攻击者仍然有办法访问它。例如,他们可以创建特殊版本的恶意软件,通过 USB 等可移动驱动器进行分发。

工作站和服务器安全更新挑战

工业控制系统具有独特的运作方式,即使是在工作站和服务器上安装安全更新等简单任务也需要仔细测试。这种测试通常发生在定期维护期间,导致更新不频繁。这为威胁行为者提供了充足的时间来利用已知的弱点并进行攻击。

在某些情况下,更新服务器的操作系统可能需要更新专门的软件(如 SCADA 服务器),这反过来又需要升级设备,而这一切都可能过于昂贵。

因此,在工业控制系统网络上发现了过时的系统。令人惊讶的是,即使是工业企业中相对容易更新的面向互联网的系统,也可能在很长一段时间内都容易受到攻击。

这使操作技术 (OT) 暴露于攻击和严重的风险,正如现实世界的攻击场景所显示的那样。

为了保护组织免受相关威胁,卡巴斯基专家建议:

  • 如果企业拥有运营技术 (OT) 或关键基础设施,请确保它与公司网络分离,或者至少确保没有未经授权的连接。

  • 定期对 OT 系统进行安全审计,以识别和消除可能的漏洞。

  • 建立持续的脆弱性评估和脆弱性管理流程。

  • 使用 ICS 网络流量监控、分析和检测解决方案,更好地保护免受可能威胁工艺过程和主要企业资产的攻击。

  • 确保保护工业端点和企业端点。

  • 为了更真实地了解与 OT 解决方案中的漏洞相关的风险并做出明智的缓解决策,以人类可读的报告或机器可读的数据馈送的形式获取漏洞情报。

  • 为 IT 安全团队和 OT 工程师提供专门的 ICS 安全培训对于改进对新型和高级恶意技术的响应至关重要。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/622406.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

win系统将脚手架的软链接指向本地脚手架

先了解一下脚手架研发、发布、安装、调试发大致流程: 本地研发,具体研发过程略当前目录下登录npm npm login发布脚手架 npm publish安装脚手架 npm i -g xxxx(win系统会在系统盘的nodejs文件夹下自动添加脚手架执行命令和执行文件&#xff0…

94.构建样品餐部分第二节

上节课完成的页面是这样的 ● 之后我们设置一下图标 .meal-attribute {font-size: 1.8rem;font-weight: 500;display: flex;align-items: center;gap: 1.6rem; }.meal-img {width: 100%; }.meal-icon {height: 2.4rem;width: 2.4rem;color: #e67e22; }● 为了突出这些参数的…

Go1.21 速览:新内置函数 clear、min、max 和新标准库包 cmp!

大家好,我是煎鱼。 前面给大家分享了 Go1.21 正式不支持 macOS 10.13 和 10.14 的支持。吓得我赶紧把我的 2017 款的老爷机从 10.14 升成 13.4。感觉 mbp 已经变成了暖宝宝。😅 今天给大家分享的是 Go 1.21 中的两个双新增项,分别是新的 3 个…

QTYX量化系统实战案例分享|涨停股池中寻找反弹机会-202306

前言 “实战案例分享系列”是和大家分享一些股票量化分析工具QTYX在实战中的应用案例(包括失败的案例),这样能够帮助大家更好地去理解QTYX中的功能设计,也能更好地帮助大家搭建出属于自己的量化交易系统。 关于QTYX的使用攻略可以…

Clion开发STM32之链接文件进行模块的一个解耦(编程方式)

问题的引入 在单片机的开发过程中,往往涉及到驱动的移植,但是移植的过程中又会去添加和修改主逻辑的驱动引脚初始化或时钟初始化,这里面就会存在一个问题就是:改动的地方太多了,容易影响到其它功能模块。所以能不能做…

200SMART CPU输入/输出接线的几个关键点

总结来看,S7-200系列PLC提供4个不同的基本型号的8种CPU,其接线方式也可大致分为6种: 1.CPU SR20接线 2.CPU SR40接线 3.CPU CR40接线 4.CPU ST40接线 5. CPU SR60接线 6. CPU ST60接线 除了CPU外,我们还需要了解200smart PLC的数…

Rocketmq面试(二)Rocketmq如何保证消息不丢失

如果想要保证消息不丢失就要知道,消息可能出现丢失得地方。 1.producer发送消息 2.Broker存储消息 3.Consumer消费消息 4.Broker主从切换 下面一共有9个维度可以保证消息不丢失。 目录 维度一:同步发送 维度二.异步发送 维度三.刷盘策略 维度四…

后端——平台登录功能实战

这里写目录标题 一、登录接口设计示意图二、后端设计三、创建用户表四、后端鉴权逻辑五、登录接口实现六、使用 JWT 生成 token七、路由鉴权八、登录与测试用例服务结合九、跨域一、登录接口设计示意图 二、后端设计 三、创建用户表 db=SQLAlchemy(app

华尔街新风向:多基金失英伟达机会

在过去一年多的美联储暴力加息周期中,科技成长股一直不怎么受到主流投资者待见,但面对今年美股“人工智能涨个不停”的局面后,过去两周里大量的知名基金都在撒开脚丫子狂追高速狂飙的“英伟达列车”。 根据监管文件显示,包括道富…

视频与AI,与进程交互(一)

目的 正在写一个视频与AI的工具,从接入,算法处理,转发,存储, 到调用AI进程,并且与AI进程进行交互,插件化,脚本化,做得比较辛苦,期间的进程和线程交互以及结果…

基于奥比中光深度相机进行虹膜识别处理

MATLAB仿真实现效果展示 图1 奥比中光红外深度相机拍摄效果 MATLAB仿真红外效果的图片,使用奥比中光的Astra_Pro深度相机和Astra进行拍摄,效果很好。 声明:本文的虹膜识别系统模型参考了西澳大利亚大学,计算机科学与软件工程学…

Spark 优化

1.RDD分区数 Task是作用在每个分区上的,每个分区至少需要一个Task去处理 改变分区数可间接改变任务的并行度,类似手动指定Reduce数量 第一个RDD的分区数由切片的数量决定 默认情况下子RDD的分区数等于父RDD的分区数 Shuflle类算子可手动指定RDD分区数 设…

chatgpt赋能python:Python屏幕截图并保存:简单易用的库

Python屏幕截图并保存:简单易用的库 屏幕截图是程序员们在软件开发中常用到的一个小技巧,对于调试、记录Bug、编写文档等方面有极大的帮助。而其中,Python成为了众多程序员的利器之一。 在Python中,大量的库提供了屏幕截图的方法…

PX4-机架选取(基于QG地面站)

因为我的无人机是F450,所以我选用F450的机架 点击应用后,要稍等一会 应用完成后在概述会标识

经纬度坐标为中心点生成米距离长度半径的圆形面,含java js源码+在线绘制,代码简单零依赖

文章目录 java版源码js版源码在线绘制预览效果关于计算的精确度 前些时间在更新我的坐标边界查询工具的时候,需要用到经纬度坐标点的距离计算,和以坐标点为中心生成一个指定距离为半径的圆,搜了一下没有找到现成简单又合适的代码,…

基于OpenCV 和 Dlib 进行头部姿态估计

写在前面 工作中遇到,简单整理博文内容涉及基于 OpenCV 和 Dlib头部姿态评估的简单Demo理解不足小伙伴帮忙指正 庐山烟雨浙江潮,未到千般恨不消。到得还来别无事,庐山烟雨浙江潮。 ----《庐山烟雨浙江潮》苏轼 https://github.com/LIRUILONGS…

2023智源大会议程公开 | 大模型新基建与智力运营论坛

6月9日,2023北京智源大会,将邀请这一领域的探索者、实践者、以及关心智能科学的每个人,共同拉开未来舞台的帷幕,你准备好了吗?与会知名嘉宾包括,图灵奖得主Yann LeCun、OpenAI创始人Sam Altman、图灵奖得主…

【模型评估】混淆矩阵(confusion_matrix)之 TP、FP、TN、FN;敏感度、特异度、准确率、精确率

你这蠢货,是不是又把酸葡萄和葡萄酸弄“混淆”啦!!!这里的混淆,我们细品,帮助我们理解名词“混淆矩阵” 上面日常情况中的混淆就是:是否把某两件东西或者多件东西给弄混了,迷糊了。把…

数据隐私保护的最佳实践:全面了解数据脱敏方案

1、数据脱敏 数据脱敏是一种保护敏感信息的安全措施,通常会将真实数据替换成模拟数据或者经过处理后的数据。下面是常见的数据脱敏实现方案: 字符串替换:将需要脱敏的字符串中指定位置的字符替换为“****”或其他符号。例如,将银…

MySQL数据库误删恢复

前言 经常听说删库跑路这真的不只是一句玩笑话,若不小心删除了数据库,事情很严重。你一个不小心可能会给公司删没。建议研发不要直连生成环境,一般的话都会分配账号权限,生产环境的账号尽量是只读,以防你一个不经意给库或表删除。一定要备份,这很重要,这是一个血的教训。…