供應鏈中的軟件如何對ICS網(wǎng)絡構(gòu)成內(nèi)部威脅_北京軟件開發(fā)公司
發(fā)表日期:2022-06-29 17:28:16 ?? 文章編輯:宜天信達 ?? 瀏覽次數(shù):
媒體將大部分注意力集中在源自組織外部的信息安全威脅上。無論是發(fā)現(xiàn)新的高級持續(xù)威脅 (APT) 還是公司違規(guī),通常人們都認為這是來自公司外部人員的威脅,即局外人。確實,在任何安全環(huán)境中都存在許多外部威脅——自然災害、黑客、黑客活動分子等。但是,內(nèi)部威脅發(fā)揮的作用比大多數(shù)人意識到的要大得多。
安全專家認為內(nèi)部威脅是一種眾所周知的現(xiàn)象,許多人認為這是對任何安全環(huán)境的最大威脅。Edward Snowden、維基解密和 Vault7 是內(nèi)部威脅的主要例子。員工有意或無意地占組織中信息資產(chǎn)威脅的很大一部分。
分析內(nèi)部威脅對手并不容易。他們可能有也可能沒有經(jīng)濟動機。他們可能出于憤怒、沮喪或心血來潮而進行惡意活動。雇主可以使用測謊儀檢查和許多數(shù)學建模技術(shù)來檢測內(nèi)部威脅,并取得不同程度的成功。
三種工業(yè)控制系統(tǒng) (ICS) 環(huán)境和網(wǎng)絡安全趨勢
最近的一些趨勢正在為內(nèi)部威脅火上澆油。
數(shù)字化轉(zhuǎn)型和普渡模型:工業(yè)控制系統(tǒng)環(huán)境包括操作技術(shù)(OT)和信息技術(shù)(IT)。曾經(jīng)的模擬設備的數(shù)字化以及將這些設備集成到現(xiàn)有的 OT 框架中已經(jīng)在自動化和效率方面取得了進步。智能對象的爆炸式增長及其對無線通信技術(shù)的依賴增加了網(wǎng)絡攻擊的脆弱性。通過多層 OT 和 IT 技術(shù)將物理設備(ICS 的一部分)與業(yè)務功能(IT 的一部分)集成,經(jīng)常使用 Purdue 模型進行描述。Purdue 模型描述了物理劃分和集成的 IT 和 OT 網(wǎng)絡的邏輯部分。該分析特別感興趣的是那些了解普渡模型 0-3 級復雜性的內(nèi)部人員(員工)。
在家 工作模式:自 2020 年 3 月 COVID-19 爆發(fā)以來,在家工作安排成為主要的就業(yè)模式之前,員工報告工作并從工廠內(nèi)部監(jiān)控和管理流程和控制。在家工作模式使許多員工能夠通過 Purdue 模型級別 4 和 5 的 IT 部分連接到最低控制層(級別 0-3)。
數(shù)據(jù)泄露日益普遍: 過去 10 年的數(shù)據(jù)泄露已成為美國情報機構(gòu)面臨的主要問題。來自 WikiLeaks 和 Vault7 泄密的啟示只是其中的幾個例子。即使在今天,所謂的黑暗網(wǎng)站也對任何組織的安全構(gòu)成嚴重威脅。最近,作為勒索軟件活動的一部分,個人身份信息 (PII) 和其他機密公司數(shù)據(jù)已被轉(zhuǎn)儲到黑暗網(wǎng)站。
為什么軟件和供應鏈依賴性是潛在威脅
軟件和供應鏈依賴性構(gòu)成了另一種威脅。軟件的設計、營銷、銷售和信任是為了執(zhí)行諸如安全網(wǎng)絡或跟蹤安全資產(chǎn)之類的事情。在某些情況下,安裝在系統(tǒng)上的軟件會成為“內(nèi)部人員”。關(guān)鍵組織功能中的軟件或構(gòu)成關(guān)鍵基礎設施控制系統(tǒng)某些組件的供應鏈中的軟件——例如可編程邏輯控制器 (PLC)、二極管或 IED(獨立電子設備)——是否可以被視為“內(nèi)部威脅。” 這種供應鏈軟件可能是一種尚未充分考慮的有害內(nèi)部威脅。SolarWinds 事件就是一個典型的例子。
據(jù) Business Insider稱,SolarWinds 漏洞是通過軟件更新實施的。這種類型的供應鏈攻擊是有害的,它通過損害“內(nèi)部人員”(在這種情況下是軟件和供應商)來感染公司,從而利用最佳實踐。
制造供應鏈威脅可以獲得對工廠運營技術(shù)的廣泛、深入的了解,了解流程的外觀,并了解組織中的資產(chǎn)。這種類型的威脅是獨一無二的,因為它代表了從外部角度難以獲得的詳細知識水平。
供應鏈間諜活動要復雜得多,有時由不同的制造設施和運營管理,有時跨越全球,以及多個地緣政治邊界。此外,惡意軟件可能沒有可識別的異常行為模式。然而,它在組織深處的存在對其運營構(gòu)成了嚴重威脅。
網(wǎng)絡威脅情報和內(nèi)部威脅檢測
網(wǎng)絡威脅情報 (CTI) 機制檢測內(nèi)部威脅或在組織內(nèi)進行欺詐的意圖非常復雜。為此,最好考慮 Caltagirone、Pendergast 和 Betz (2013 年)在入侵分析的鉆石模型背景下關(guān)于內(nèi)部威脅的工作,以及 Wolfe 和 Hermanson(2004 年)的工作。該模型還可以幫助理解動機和各種隱藏元素,例如攻擊的受害者,這對于理解意圖和攻擊如何演變的預測性質(zhì)非常有用。
結(jié)論
ICS 環(huán)境為內(nèi)部攻擊提供了沃土。與 IT 環(huán)境不同,OT 環(huán)境具有特定的硬件和軟件,并且可能遭受內(nèi)生或外生、內(nèi)部啟用的攻擊媒介的災難性破壞。對工業(yè)控制系統(tǒng)環(huán)境的攻擊需要在研究、時間和訪問方面付出專門的努力;因此,內(nèi)部人員在一系列間諜威脅中發(fā)揮著獨特的作用。
內(nèi)部人員了解流程、設定點、控制器和監(jiān)督控制和數(shù)據(jù)采集 (SCADA) 軟件,以及物理資產(chǎn)所在的位置以及它們在 OT 環(huán)境中所扮演的角色。這使它們成為了極好的剝削目標。
安全專家認為內(nèi)部威脅是一種眾所周知的現(xiàn)象,許多人認為這是對任何安全環(huán)境的最大威脅。Edward Snowden、維基解密和 Vault7 是內(nèi)部威脅的主要例子。員工有意或無意地占組織中信息資產(chǎn)威脅的很大一部分。
分析內(nèi)部威脅對手并不容易。他們可能有也可能沒有經(jīng)濟動機。他們可能出于憤怒、沮喪或心血來潮而進行惡意活動。雇主可以使用測謊儀檢查和許多數(shù)學建模技術(shù)來檢測內(nèi)部威脅,并取得不同程度的成功。
三種工業(yè)控制系統(tǒng) (ICS) 環(huán)境和網(wǎng)絡安全趨勢
最近的一些趨勢正在為內(nèi)部威脅火上澆油。
數(shù)字化轉(zhuǎn)型和普渡模型:工業(yè)控制系統(tǒng)環(huán)境包括操作技術(shù)(OT)和信息技術(shù)(IT)。曾經(jīng)的模擬設備的數(shù)字化以及將這些設備集成到現(xiàn)有的 OT 框架中已經(jīng)在自動化和效率方面取得了進步。智能對象的爆炸式增長及其對無線通信技術(shù)的依賴增加了網(wǎng)絡攻擊的脆弱性。通過多層 OT 和 IT 技術(shù)將物理設備(ICS 的一部分)與業(yè)務功能(IT 的一部分)集成,經(jīng)常使用 Purdue 模型進行描述。Purdue 模型描述了物理劃分和集成的 IT 和 OT 網(wǎng)絡的邏輯部分。該分析特別感興趣的是那些了解普渡模型 0-3 級復雜性的內(nèi)部人員(員工)。
在家 工作模式:自 2020 年 3 月 COVID-19 爆發(fā)以來,在家工作安排成為主要的就業(yè)模式之前,員工報告工作并從工廠內(nèi)部監(jiān)控和管理流程和控制。在家工作模式使許多員工能夠通過 Purdue 模型級別 4 和 5 的 IT 部分連接到最低控制層(級別 0-3)。
數(shù)據(jù)泄露日益普遍: 過去 10 年的數(shù)據(jù)泄露已成為美國情報機構(gòu)面臨的主要問題。來自 WikiLeaks 和 Vault7 泄密的啟示只是其中的幾個例子。即使在今天,所謂的黑暗網(wǎng)站也對任何組織的安全構(gòu)成嚴重威脅。最近,作為勒索軟件活動的一部分,個人身份信息 (PII) 和其他機密公司數(shù)據(jù)已被轉(zhuǎn)儲到黑暗網(wǎng)站。
為什么軟件和供應鏈依賴性是潛在威脅
軟件和供應鏈依賴性構(gòu)成了另一種威脅。軟件的設計、營銷、銷售和信任是為了執(zhí)行諸如安全網(wǎng)絡或跟蹤安全資產(chǎn)之類的事情。在某些情況下,安裝在系統(tǒng)上的軟件會成為“內(nèi)部人員”。關(guān)鍵組織功能中的軟件或構(gòu)成關(guān)鍵基礎設施控制系統(tǒng)某些組件的供應鏈中的軟件——例如可編程邏輯控制器 (PLC)、二極管或 IED(獨立電子設備)——是否可以被視為“內(nèi)部威脅。” 這種供應鏈軟件可能是一種尚未充分考慮的有害內(nèi)部威脅。SolarWinds 事件就是一個典型的例子。
據(jù) Business Insider稱,SolarWinds 漏洞是通過軟件更新實施的。這種類型的供應鏈攻擊是有害的,它通過損害“內(nèi)部人員”(在這種情況下是軟件和供應商)來感染公司,從而利用最佳實踐。
制造供應鏈威脅可以獲得對工廠運營技術(shù)的廣泛、深入的了解,了解流程的外觀,并了解組織中的資產(chǎn)。這種類型的威脅是獨一無二的,因為它代表了從外部角度難以獲得的詳細知識水平。
供應鏈間諜活動要復雜得多,有時由不同的制造設施和運營管理,有時跨越全球,以及多個地緣政治邊界。此外,惡意軟件可能沒有可識別的異常行為模式。然而,它在組織深處的存在對其運營構(gòu)成了嚴重威脅。
網(wǎng)絡威脅情報和內(nèi)部威脅檢測
網(wǎng)絡威脅情報 (CTI) 機制檢測內(nèi)部威脅或在組織內(nèi)進行欺詐的意圖非常復雜。為此,最好考慮 Caltagirone、Pendergast 和 Betz (2013 年)在入侵分析的鉆石模型背景下關(guān)于內(nèi)部威脅的工作,以及 Wolfe 和 Hermanson(2004 年)的工作。該模型還可以幫助理解動機和各種隱藏元素,例如攻擊的受害者,這對于理解意圖和攻擊如何演變的預測性質(zhì)非常有用。
結(jié)論
ICS 環(huán)境為內(nèi)部攻擊提供了沃土。與 IT 環(huán)境不同,OT 環(huán)境具有特定的硬件和軟件,并且可能遭受內(nèi)生或外生、內(nèi)部啟用的攻擊媒介的災難性破壞。對工業(yè)控制系統(tǒng)環(huán)境的攻擊需要在研究、時間和訪問方面付出專門的努力;因此,內(nèi)部人員在一系列間諜威脅中發(fā)揮著獨特的作用。
內(nèi)部人員了解流程、設定點、控制器和監(jiān)督控制和數(shù)據(jù)采集 (SCADA) 軟件,以及物理資產(chǎn)所在的位置以及它們在 OT 環(huán)境中所扮演的角色。這使它們成為了極好的剝削目標。