最近在一个重要的中东基础设施网站上发生了令人震惊的网络攻击,并没有得到应有的公众监督。上个月通过安全厂商FireEye和Dragos提供的报告发现了一种新型恶意软件Triton(A.K.A.Trisis)。这则消息是一系列关于日益复杂的能源工厂黑客的公开披露中的最新消息。 对电网和其他系统的攻击不再是一个猜测的问题。黑客正在测试关键基础设施的保护措施,能源工厂运营商需要认真对待这种威胁。
安全分析人员发现的恶意软件,旨在接管在一个未命名的工业现场的施耐德电气Triconex安全仪表系统(SIS)。 SIS系统通常用于工厂设置,以监控工业过程,并在操作参数接近危险状态时关闭。 值得注意的是,现在看来,Triton黑客无意中关闭了工厂的SIS系统,这可能是一个糟糕的侦察行动。他们侵入了安全系统的控制者,也就是说,如果愿意,他们有可能关闭所有的系统。 专家表示,黑客最初可能使用社交工程,也许是一个钓鱼诡计,促使工厂员工不知不觉地将登录凭据保存在SIS。那么黑客就可以将Triton恶意软件嵌入到SIS中,并进入系统。 对网络内部的侦察和驻留是高级黑客的常用策略。他们的目标肯定会大于相对温和的关闭。
这是各国国家为网络战争战略准备攻防战略所期望的一种活动。随着攻击媒介的定义越来越明确,这就产生了一个问题:黑客攻击基础设施的时间有多长,过去的攻击是哪个攻击的一部分?这是不可知的,但Triton的启示可能会改变研究人员在2012年12月以及2017年1月再次看到沙特能源公司办公电脑瘫痪的方式。
尽管隐形和误导是网络战争中的统治原则,但归属很困难(如果不是不可能的话)。似乎值得注意的是,Triton的披露结束了一年,据说俄罗斯、伊朗和朝鲜的黑客组织被抓到探测和访问美国能源公司的后台业务网络。 这一连串的活动促使联邦调查局和国土安全部发布红色警报,警告针对美国能源工厂的办公室工作人员的一波恶意软件攻击。
为什么针对上班族?人类始终是任何安全系统中最薄弱的环节。工业控制系统与管理系统没有连接或有“空隙”,因此被认为是本质安全的,但操作它们的人却不是。 恶意黑客非常擅长他们的工作。云计算和连接到系统的移动设备的使用增加(安全性问题)是工控系统和管理系统不在有间隙,导致安全噩梦初露端倪。 Triton caper令人震惊的成功证明了如何利用对办公室IT设备的钓鱼攻击来攻破工控系统。许多传统的工业控制系统都是通过”隔离安全“设计的。但是,随着系统的连接越来越紧密,隔离很难找到,隔离安全作为安全策略是不够的。虽然可能没有理由恐慌,但能源工厂探测和入侵的进展应该增加工业部门开始采取主动措施将安全融入IT和OT系统的紧迫性。是时候解决工控系统安全问题了。
声明:本文来自安全生活,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。