2021年三大OT网络安全事件与教训

2021年，殖民地输油管道、奥兹马水处理厂和伊朗铁路事件是最值得重点关注和复盘的关键基础设施和OT安全事件。以下，我们详细分析这三大OT安全事件中需要汲取的经验教训，以免重蹈覆辙：

01 殖民地输油管道：网络分段的重要性

殖民地管道（Colonial Pipeline）勒索软件攻击是2021年最重大的关键基础设施攻击之一，因为它引发了汽油短缺危机。当殖民地管道首席执行官约瑟夫·布朗特在美国国会作证时，有人透露这次袭击是完全可以避免的。Blount承认，Darkside勒索软件组织黑客是通过不需要多因素身份验证的VPN获得访问权限的。

尽管Darkside控制了殖民地管道的IT系统，但网络分段限制了攻击对殖民地管道运营的影响。当殖民地管道知道其IT运营受到影响后，它选择主动将其OT系统脱机以防止攻击蔓延。

随着IT和OT网络不断融合，组织需要了解这些网络是如何连接的，并采取适当的步骤来保护高风险资产。例如，现场设备不应该与IP安全摄像机进行通信。通过更好地了解IT和OT网络如何连接和通信，安全团队可以更快地响应威胁。例如，可以在数据包级别分析可编程逻辑控制器(PLC)的通信，以检测异常或已知攻击的签名。当在IT网络上检测到事件时，应隔离受感染的设备，并应阻止IT和OT之间的所有通信。

这种方法需要网络监控和执行工具来识别当前的网络通信、检测威胁和入侵并执行分段规则。检测到的威胁可以转发到SIEM/SOAR系统进行调查或触发自动响应操作。

佛罗里达州奥尔兹马的水处理厂：可见度的教训2月份，水处理厂员工注意到他们的电脑屏幕上的氢氧化钠含量迅速上升。有人远程访问了系统，但员工阻止黑客横向进入其他IT基础设施。据报道，此次事件中使用的攻击媒介是一种名为TeamViewer的远程连接工具。

自新冠肺炎大流行以来，远程访问的使用有所增加，因此组织需要通过持续监控 VNC、SSH、RDP等通信来确保只允许获得批准的远程访问连接。

幸运的是，奥尔兹马水处理厂由于其员工足够警觉而及时阻止了攻击造成更多损害，但类似处理厂中的许多其他OT系统可能缺乏安全团队识别这些攻击所需的可见性。

随着OT环境进行数字化转型，必须保持对这些联网设备的可见性。可见性解决方案可以帮助组织识别其资产、它们在网络上的部署位置、它们是否连接到互联网以及如何对其进行控制。可见性解决方案甚至可以帮助识别漏洞，以及恶意行为者如何利用这些漏洞破坏运营。

02 伊朗铁路：供应链漏洞管理

7月，一个名为Indra的黑客组织渗透到伊朗铁路公司的IT系统并传播名为MeteorExpress的恶意软件，导致伊朗铁路公司不得不关闭其火车系统。伊朗一直没有透露这次袭击的细节。

火车运营系统依赖于与IT系统集成的各种关键OT系统。这包括从信号解决方案到传感器和制动单元设备的所有内容。所有这些都连接到网络，其中许多都包含使这些系统和设备能够收集数据并将其传送回运营中心的软件。为了实现这种通信，连接的设备依赖一种称为TCP/IP堆栈的软件。

Forescout的研究曝光了十多个TCP/IP堆栈实现中的近100个漏洞。这些漏洞，包括列车监控系统中的特定漏洞，如果被利用将会允许黑客将系统和设备脱机。这一切都表明，伊朗铁路的攻击事件很可能在全球任何一个国家发生。

当谈到保护第三方软件的共同责任时，组织需要在供应商安全评估中更加积极主动。理想情况下，应该奖励具有安全软件设计生命周期和漏洞利用缓解的供应商，但组织永远不应认为这已经足够了。针对设备最低权限访问的零信任策略可以缓解易受攻击的设备，因为可见性解决方案可以帮助识别这些风险。

03 关键基础设施安全策略：主动防御，防患未然

在IT/OT融合、零信任安全和供应商安全评估方面，关键基础设施的运营商需要更加积极主动。随着对关键基础设施的攻击增加，政府的审查和监管也随之加强。

现在采取行动的组织将不必担心何时引入新法规。吸取了网络分段、可见性和第三方风险评估教训的组织将做好更好的准备，以最大限度地减少未来发生类似事件的可能性和损失。