HoneywellGARD(全球分析、研究和防御)发布的《2024年USB威胁报告》详细分析了影响工业控制系统和关键基础设施的USB恶意软件。
该报告从众多全球OT设施中提取数据,重点介绍了利用USB设备绕过网络防御、逃避检测、收集信息、建立持久性并破坏或损坏工业运营的威胁的新趋势。
报告中的关键见解包括:
🧿 六年来USB恶意软件的复杂程度、目标及其对过程控制的影响的演变,
🧿 识别最流行的恶意软件类型及其通过USB可移动介质感染、执行和传播的技术,
🧿 探索对手采用“靠土地生存”战略,在网络物理攻击活动中利用目标系统能力,
🧿 安全隐患和建议的事件响应,以帮助运营商保护他们的设施免受USB传播的威胁。
对于那些关注网络安全和USB攻击的潜在后果的人来说,这份报告是必读的(文末提供下载地址)。
82%的检测到的恶意软件被发现能够对运营造成重大影响。而且,这些坏人大多在部署“离地生活攻击”(LotL)策略来破坏这些系统。
正如霍尼韦尔2024年USB威胁报告所指出的,恶意软件经常以文档漏洞为目标,并使用脚本和命令行技术。
这些LotL或“静默驻留”攻击定义了恶意软件或攻击者在系统中驻留很长时间而不被发现的能力。
在网络物理系统(CPS)攻击的背景下,恶意软件可以在工业控制系统(ICS)和运营技术(OT)中保持休眠或低调运行,仅在特定时间或特定条件下激活。
这种策略与传统的网络攻击有几个不同之处。
这些攻击专注于长时间不被发现(隐形或隐蔽侦察),确保在重新启动和更新后仍能持续存在(持久性);并根据日期或操作状态等特定触发器激活(基于触发器的操作)。
这种方法通常使用合法的流程和工具,使其更难与正常操作区分开来,。
LotL攻击构成重大威胁
LotL攻击正在成为工业和关键基础设施的重大威胁,因为它们已经利用了环境中的合法工具和软件。
这使得它们很难被发现和缓解,因为它们与正常操作融为一体。
这些攻击可以利用现有的系统功能、管理工具和脚本进行侦察、商业间谍或恶意活动,而无需引入新的可疑文件或进程。
在工业和关键基础设施环境中,系统通常依赖于专门的和传统的软件,LotL攻击可能会造成毁灭性的影响,因为必要的监控和检测能力可能不够先进或全面。
报告还发现,通过USB传播的恶意软件对工业环境构成了越来越大的风险,大多数(51%)恶意软件旨在通过USB传播,高于2019年的9%。
USB设备在促进LotL攻击方面发挥着重要作用,因为它们在工业环境中广泛使用,并且可以轻松传输数据和执行代码。
它们是有效的载体,因为它们可以轻松连接到关键系统,尤其是在网络分段严格、互联网访问受限的环境中。
它们可以将恶意软件直接引入隔离网络,绕过基于网络的安全控制。
组织可以通过实施USB端口控制来降低恶意软件通过USB设备传播的风险,以仅允许授权设备,并关闭自动运行和自动播放功能以防止恶意软件的自动执行。
在将USB设备连接到关键系统之前,定期使用更新的防病毒软件在独立机器上扫描USB设备至关重要。
教育员工了解使用未知或不受信任的设备的风险。
此外,网络分段应将关键系统与与USB设备交互的系统隔离,以限制恶意软件传播。
最后建议应制定并执行有关USB设备使用和处理的严格政策。
工业中断与重大财务影响
工业流程中断可能会产生重大财务影响。其中包括:生产链停止时的收入损失、制造商无法履行合同义务的合同罚款以及电网中断时关键服务的中断。
其他因素包括未能达到预期的交通运输系统的声誉损害和服务费,或对人员和资源造成更昂贵的物理损害。
虽然隔离工业环境几乎不可能,绝对应该部署严格的网络分段和最低权限访问。
限制使用USB加载文档或任何其他数字资料显然是必须的。
监控和检查系统和网络的完整性和异常行为有助于检测潜在的恶意活动。
通过USB携带的恶意软件似乎是一种可以通过充分的网络安全意识培训来阻止的行为。
首先,工业企业可以通过了解其网络风险来领先一步应对威胁。
量化网络风险并确定哪些方面可能因潜在网络事件而导致财务损失最大,将使他们能够将资源和预算用于最有效的风险缓解策略。
工业环境中的IT系统和运营技术(OT)已经融合。
虽然使用现代化的互联网连接应用程序和系统来试点实物资产可以带来前所未有的效率,但这也带来了IT面临的网络威胁。
负责工业环境的首席安全官应该对OT适用与IT相同的严格规则,并绕过过时、难以修补的系统限制。
2024年USB威胁报告阅读下载地址:
原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/88501.html
