运行运营技术的行业对保护其系统的安全协议缺乏信心是有原因的。这些方案未经检验——它们太新了。最近的殖民管道攻击突出了IT和OT之间持续的安全困境。
殖民管道选择关闭其OT环境在勒索Ware攻击它的IT系统之后。该公司表示,受控关闭是一个积极的措施,以防止恶意软件从中跳跃到OT。
据该公司据报道,该公司据报道,由于其计费制度受到IT系统的影响,因此美国有线电视新闻网和网络安全出版物零天在家里。通过管道运行,该公司将无法自动确定和处理经销商的发票。
为了回应报道,该公司讲述了网络安全潜水“W据发言人称,e主动地将某些系统离线遏制威胁,“在对CyberActack反应中”。
虽然受控的管道闭合是优选的中断由邪恶的群体进行在美国,这一决定还有待安全界的讨论。在安全性方面,当IT和OT之间的空隙消失时,大多数实践者都犯了谨慎和怀疑的错误。
“它似乎并不是一种明确而非中断的方式,可以理解恶意软件感染的可能严重程度,而不将所有系统放入静态状态。”
克里斯斯斯兰
Intsights的首席合规官
“安全关闭管道涉及一套经过验证的一套结构化,有条不紊地执行的活动,“涉及人员和技术,爵士·辛普森(Curtis Simpson),Curis Simpson,Contis Simpson,他们拥有超过10年的OT经验。在重新安排管道时,一些人停滞不前[相关的并发症,“我完全同意决定,因为它围绕着减少了影响的意义和持续时间。”
在勒索犯罪之前,拜登政府推出了它的100天计划在4月份为能源领域的OT和行业控制系统(IC)中的安全问题解决了安全问题。并且因为管道关闭,t他说,美国政府可以要求强制将网络安全报告“纳入运输安全管理局(Transportation Security Administration)有关管道的职权范围,但这将是一个相当大的提升。Intsights和能源和天然气网络安全监管顾问的首席合规官克里斯斯坦斯。
石油和天然气领域的网络威胁正从设施扩展到集成电路层不。“如果没有被明确定位,单个垂直企业不能忽视对其他ICS实体的威胁,因为对手的利益和目标可能高度可变。”据Dragos的报道。公司只是不知道攻击者可以或将在OT环境中瞄准什么。
Strand同意Colonial关闭输油管道的决定,“在一定程度上”,他说。斯特兰德说:“在不将所有系统置于静态状态的情况下,似乎没有一种清晰且非破坏性的方式来了解恶意软件感染的可能严重性。”“在调查期间,安全措施的缺失或充足可能会浮出水面。”
OT行业缺乏对安全协议的信心保护OT系统免受IT入侵因为他们的相互依赖性比较新,而不是过去十年左右。
殖民地唯一的原因会决定关闭其管道 - 它的生计 - “如果袭击者获得了对网络的控制权,他们没有其他选择,”奥巴马的创始人埃里克科尔·科尔(Eric Cole)表示,奥巴马的前成员政府的网络安全委员会。组织将避免关闭其运营网络,而是关闭它具有它的连接。
“在我的经历中,最后一件事殖民将会关闭他们的管道,”科尔说。“如果是什么[殖民语]是真的,并且攻击者不在运行管道的运营网络中,他们可能在24到48小时内。”
星期四,彭博报据报道殖民地支付黑客500万美元在发现袭击时期。虽然攻击者向殖民地换取了殖民地换取了付款,但消息人士告诉新闻服务“该工具非常缓慢,即公司继续使用自己的备份来帮助恢复系统。”
COLE指出,该公司的重启速度缓慢,这使得殖民地的决定支付“唯一合理的行动,”他说。“虽然他们试图否认它,以尽量减少曝光,确定优先级和潜在的尴尬,真相确实出现了。”
Colonial尚未对这些报道公司发表评论可能会面临监管间隙支付赎金-但是公司重新启动整个燃料管周四,提前预定。
进入OT
根据SANS Institute ICS团队的成员,在Sans Institute ICS团队的成员,在SANS网络广播中,勒克斯马芯公司是一个问题,专注于计算机系统而不是可编程逻辑控制器(PLCS)等嵌入式系统。“已经嵌入式系统恶意软件,现在赎金瓶刚刚在阳光下获得一天......最终将有嵌入式系统设备上的勒索软件。”
但赎金软件运营商知道目标关键基础设施组织是一个近乎保证的支付因为他们买不起停机时间。
殖民地的停机费用公司和美国经济金钱价格达到3.03美元的全国平均值,a六年来的第一次。高油价会抑制消费者支出,不过专家预计Colonial的关闭不会产生长期影响。与此同时,Colonial IT行业的缓慢重启也要承担部分责任。
“通常基于过去的经历,许多领导人犹豫不决,以支持它,以支持他们的环境的任何方面,因为它会严重影响可用性或安全性,”辛普森表示。
虽然调查仍然在进行中,但赎金软件的进入点是讨论的,但行业的其余部分急于了解有关IT系统如何与其OT互动的更多信息,以及赎金软件如何将其发动机造成更具破坏性地区。
“通常基于过去的经历,许多领导人犹豫不决,并支持它,以支持管理其环境的任何方面,因为它会严重影响可用性或安全性。”
柯蒂斯辛普森
ARMIS的CISO
“如果你非常简单地考虑一个书挡,你知道的,一个书架的一端是it,另一端是OT,有很多东西位于两者之间,”t周四的Sans Institute中的ICS和SCADA计划的Echnical主任。
ET启用的关键基础架构内的组织具有“介入区”,包括业务,OT,资产和商业智能。然后在堆栈的底部,这些组织在该领域具有物理技术,包括泵站或阀门控制。
公司桥接企业资源规划(ERP)制造系统执行系统(MES),哪个与OT系统进行通信,以提供质量保证信息,性能管理,材料跟踪等。
Conway建议以2017年的NotPetya勒索软件攻击为例:马士基是恶意软件的附带受害者但是,运输公司在OT边的“远端”上没有任何问题,如起重机控制或海运。
“但如果问题是,他们不知道集装箱里装的是什么,那就会影响所有的运营,”他说。这将使标记NotPetya攻击为It或OT攻击变得复杂。
在NotPetya攻击后的10天内,马士基重新安装了4000多台服务器、45000台电脑和2500个应用程序。OT和ICS不那么容易拆卸和更换。
“操作技术可以持续数十年,”Simpson说,这导致遗留系统遍布关键基础设施。根据Cole的说法,由于OT的主要功能是可用性,系统将始终保持略微落后。
电力、石油和天然气行业知道如何应对风暴导致的延误;事故发生的地点和时间,以及如何恢复。康威说:“他们有一种例行的准备和预测恢复的感觉。”网络安全事件打破了这些几十年来的既定预期,公司只有通过更多的网络相关演习和事件响应计划才能改善。
