潜水简报:
- 根据一年两次的风险报告,去年发现了数百个工业控制系统(ICS)漏洞,其中超过70%是远程可利用的报告周四由Cybersecurity公司Claroty发布。漏洞在关键制造,能源,水和废水和商业设施领域最为普遍。
- 根据该报告,在2020年下半年,共有449个漏洞被披露,影响到来自59家供应商的ICS产品。这比今年上半年披露的漏洞增加了近33%。
- 在未来的情况下,进入供应商供应链和ICS设备的可见性能源行业正在经历“数字化转型,并面临融合威胁”,安全公司Dragos首席执行官Robert Lee,周四在美国能源部(DOE)简报专注于Solarwinds Hack。
潜入洞察力:
李谈到了Doe的电力咨询委员会,并从Solarwinds攻击中说,多年来可以延续。
“如果不是多年来,我们将要学习这个月,”李说。“那些认为他们理解今天的范围的人都是天真的。我们将在很长一段时间内应对案例。”
去年透露的Solarwinds攻击,击中了数百个组织,包括DOE和多个其他美国政府机构并且被广泛认为是与该国的智力服务相关的俄罗斯黑客的工作。Lee表示,黑客损害了18,000个世界上最大的基础设施网站的一块软件。
李说,袭击袭击了这么多组织,因为它们使用了同一软件。随着清洁能源基beplay客户端登录础设施变得越来越可扩展,所以潜在的攻击也会。
他说:“当你开始拥有融合的基础设施和同质的基础设施、开放的标准和开放的框架时,对手投入到他们研发中的努力就会开始扩大。”他补充说,步伐可能会加快,因为“最终我们要对付的不是国家行为体,而是犯罪行为体,他们现在可以通过瞄准这些系统获利。”
Solarwinds攻击“再次让防守者的重点放在供应链上,”Claroty在其报告中表示。该公司表示,组织“需要对其合作伙伴,承包商,供应商以及其他实体进行更多审查,并获得内部系统的资本访问,或他们可能正在购买的硬件和固件制造商。”
Cheri Cady在周四会议上的网络安全和应急响应办公室的政治安全和政策高级顾问的情况下,DOE的国家实验室正在努力保护供应商供应链的“材料清单”方法。
DOE正在与“能源部门的概念证明”的商业部门合作,说Cady,自动化和交流物资清单“展示了重要的工业控制系统中的数字成分”。
“这确实推动了材料清单作为一种新兴标准的发展……这将有助于在子组件层面产生供应链可见度,而这是我们迄今为止无法达到的。”
供应链攻击很可能会继续,Lee说,黑客为了进入公用事业系统而破坏原始设备制造商(OEM)和供应商。设备功能和组件的可见性对于确保能源系统的安全是必要的,但目前这是一个弱点,因为传统上安全重点一直放在公司信息和商业网络上。
他说:“对于工业控制网络,我们没有也从未拥有过同样的洞察力。”
李说,有数百个组织目睹了与Solarwinds相关的“第二阶段”攻击,意思是黑客实际上被访问了受损系统。他说,那些包括多个OEM,直接访问涡轮机控制软件。
Claroty的报告总结了Solarwinds攻击的事件“展示了一些基于周长的防御的脆弱性以及这些攻击将降落在IC和[监督控制和数据采集]设备上降落的最终性。”
对ICS漏洞的研究仍在继续,但根据Claroty的说法,“仍有许多几十年前的安全问题尚未被发现。”就目前而言,“攻击者在利用它们方面可能具有优势,因为防御者经常受到正常运行时间要求的限制,而且越来越需要检测能力来对付可能导致进程中断或操纵的可利用缺陷。”
然而,在Claroty对ICS威胁的评估中也有一些好消息。去年公开的漏洞迅速增加的因素之一可能是“风险意识的提高”,以及“研究人员和供应商对识别和补救这些漏洞的越来越多的关注,尽可能有效和高效。”
