咨詢郵箱:
咨詢熱(rè)線:
供應鏈中的(de)軟件(jiàn)如(rú)何對(duì)Iφ₽§CS網絡構成內(nèi)部威脅_北(běi)京軟件(jiàn¶Ω)開(kāi)發公司
發表日(rì)期:2022-06-29 17:28:>&16 文(wén)章(zhāng)編輯:↑φ£宜天信達 浏覽次數(shù):
媒體(tǐ)将大(dà)部分(fēn)注意力集中在源自(zì)組織外(wài≈'π)部的(de)信息安全威脅上(shàng)。無論是(shì>×)發現(xiàn)新的(de)高(gāo)級✘<持續威脅 (APT) 還(hái)是(shì)公司違©≠₩←規,通(tōng)常人(rén)們都(dΩ✘←∞ōu)認為(wèi)這(zhè)是(shì)來(♥>₹lái)自(zì)公司外(wài)部人(rén)員(yuá₩☆®n)的(de)威脅,即局外(wài)人(rénδ→↔÷)。确實,在任何安全環境中都(dōu)存在許多γ£±™(duō)外(wài)部威脅——自(zì)然®¶災害、黑(hēi)客、黑(hēi)客活動分(fē$n)子(zǐ)等。但(dàn)是(shì)★≥∞,內(nèi)部威脅發揮的(de)作(zuò)用(yòng)比大(dà)多(♦"duō)數(shù)人(rén)意識到(dào)的(de)要(y≠© βào)大(dà)得(de)多(duō)。
安全專家(jiā)認為(wèi)內(nèi)部威脅是(shì)一(y☆∏σ™ī)種衆所周知(zhī)的(de)現(xiàn™™)象,許多(duō)人(rén)認為(wèi)這(zhè)是(shì)對(♠ ®duì)任何安全環境的(de)最大(dà)&↓' 威脅。Edward Snowden、維基解₽•↓©密和(hé) Vault7 是(shì)內(nèi)部威脅的<÷±♦(de)主要(yào)例子(zǐ)。員(yuán)工(g$γ±ōng)有(yǒu)意或無意地(dì)占組織中信息資産威脅的(de)很(hěn↔₩±)大(dà)一(yī)部分(fēn)。
分(fēn)析內(nèi)部威脅對(duì)手并Ω₹不(bù)容易。他(tā)們可(kě)能(néng)有(yǒu)也(y± "ě)可(kě)能(néng)沒有(yǒu㧕)經濟動機(jī)。他(tā)們可(kě)能(néng)出于憤怒、"γ 沮喪或心血來(lái)潮而進行(xíng)₩♣λ惡意活動。雇主可(kě)以使用(yòng)測謊儀檢查和(hé)許多(d¥ "$uō)數(shù)學建模技(jì)術(shù)來(lái→γ•™)檢測內(nèi)部威脅,并取得(de)不(bù)同程度的(de)成功。γ≥←
三種工(gōng)業(yè)控制(zhì)系統 (IC★β¶∑S) 環境和(hé)網絡安全趨勢
最近(jìn)的(de)一(yī)些(xiē)趨勢正在為(☆ wèi)內(nèi)部威脅火(huǒ)上(shàng)σ©"澆油。
數(shù)字化(huà)轉型和(hé)普渡模型:工(gōng)業(yè)控制 •(zhì)系統環境包括操作(zuò)技(jì)術(shù)(OT)和↕™₽(hé)信息技(jì)術(shù)(IT)。曾經的(de)模拟設備的(de)數↔¥♦(shù)字化(huà)以及将這(zhè)些(xiē)設備集成到(¶<&dào)現(xiàn)有(yǒu)的(de) OT 框架中已經在自(zì)→λ動化(huà)和(hé)效率方面取得(de)了(le)進步>≠→。智能(néng)對(duì)象的(de)爆炸式增¥>長(cháng)及其對(duì)無線通(tōng)信技(jì)術(sε÷hù)的(de)依賴增加了(le)網絡攻擊的(de)脆弱↑$性。通(tōng)過多(duō)層 OT 和(hγ∏é) IT 技(jì)術(shù)将物(wù)理(lǐ)設備(ICS 的♠∞✔≠(de)一(yī)部分(fēn))與業(yè)務功能(néng)(IT ≈的(de)一(yī)部分(fēn))集成,經常使用(γ←yòng) Purdue 模型進行(xíng)描述。Purdue 模"Ω型描述了(le)物(wù)理(lǐ)劃分(fēn)和≠♠ (hé)集成的(de) IT 和(hé) OT '©網絡的(de)邏輯部分(fēn)。該分(fēn)析特别↑≠✔ 感興趣的(de)是(shì)那(nà)些(xi®≥"₩ē)了(le)解普渡模型 0-3 級複雜(zá)性的(de)內(♣∞→nèi)部人(rén)員(yuán)(員(yuán)工(↔÷gōng))。
在家(jiā) 工(gōng)作(zuò)模γ₽式:自(zì) 2020 年(nián) 3 月(yuè) COVID-19✔αγ£ 爆發以來(lái),在家(jiā)工(gōng)作(zuò)安排成為±£∞(wèi)主要(yào)的(de)就(j'∞Ωiù)業(yè)模式之前,員(yuán)工(gōng)報(bà&÷βo)告工(gōng)作(zuò)并從(có₹∏εng)工(gōng)廠(chǎng)內(nèi)部監控和(hé)管理(lǐ)流→×∑程和(hé)控制(zhì)。在家(jiā)工(gōng)作÷₽✔(zuò)模式使許多(duō)員(yuán)工(gōngα← ®)能(néng)夠通(tōng)過 Purdue 模型級别 4←♥ 和(hé) 5 的(de) IT 部分(f→€ēn)連接到(dào)最低(dī)控制(zhì)層(級别 0α-3)。
數(shù)據洩露日(rì)益普遍: 過去(qù)®♣£ 10 年(nián)的(de)數(shù)據洩露已成♥π'為(wèi)美(měi)國(guó)情報™♥ σ(bào)機(jī)構面臨的(de)主要(yào)問≈♥☆₹(wèn)題。來(lái)自(zì) WikiLeaks 和(hé) Vaul✘&™t7 洩密的(de)啓示隻是(shì)其÷δ中的(de)幾個(gè)例子(zǐ)。即使在今天,所謂的₹(de)黑(hēi)暗(àn)網站(zhàn)也(yě)對(duì)任何組 ×織的(de)安全構成嚴重威脅。最近(jìn)♠€♥,作(zuò)為(wèi)勒索軟件(jiàn)活動的(de)一(yī)部分(f§αΩēn),個(gè)人(rén)身(shēn)份信息 (P✔€II) 和(hé)其他(tā)機(jī)密公§≠司數(shù)據已被轉儲到(dào)黑(hēΩεεπi)暗(àn)網站(zhàn)。
為(wèi)什(shén)麽軟件(jiàn)和(hé)供∏✘♣♥應鏈依賴性是(shì)潛在威脅
軟件(jiàn)和(hé)供應鏈依賴性構™×↓φ成了(le)另一(yī)種威脅。軟件(jiàn)的(de)設計₹♥(jì)、營銷、銷售和(hé)信任是(shì)為(w>∞≥èi)了(le)執行(xíng)諸如(rú)安全網絡或跟蹤安全資産之類的¶α(de)事(shì)情。在某些(xiē)情況下(xià),安裝在系統上(↕shàng)的(de)軟件(jiàn)會≤β(huì)成為(wèi)“內(nèi)部人(rén)員(yuá>n)”。關鍵組織功能(néng)中的(de)軟件(jiàλ¶< n)或構成關鍵基礎設施控制(zhì)系統某些(xiē)組件(jià✘πn)的(de)供應鏈中的(de)軟件(jiàn)&md×$ε↕ash;—例如(rú)可(kě)編程邏輯控制(zhì)器(qìβ) (PLC)、二極管或 IED(獨立電(diàn≥¥)子(zǐ)設備)——是(shì)否可§(kě)以被視(shì)為(wèi)&ldq€β∏uo;內(nèi)部威脅。” 這(zhè)種供應鏈₹≈軟件(jiàn)可(kě)能(néng)是(shì)一(yī)種α₩♣尚未充分(fēn)考慮的(de)有(yǒu)害內(n₩∏èi)部威脅。SolarWinds 事(shì)件(jiàn)就(jiù)<♦✔γ是(shì)一(yī)個(gè)典型的(de)例子(zǐ)。γ π
據 Business Insider稱,SolarWind₩€s 漏洞是(shì)通(tōng)過軟件(ji≤"àn)更新實施的(de)。這(zhè)種類型的δ≤₹(de)供應鏈攻擊是(shì)有(yǒu)害的(de),它通<Ω (tōng)過損害“內(nèi≥₽)部人(rén)員(yuán)”(在這(zγ±hè)種情況下(xià)是(shì)軟件(jiàn)和(hé)®σ供應商)來(lái)感染公司,從(cón<≤ g)而利用(yòng)最佳實踐。
制(zhì)造供應鏈威脅可(kě)以獲得(de)λ β對(duì)工(gōng)廠(chǎng)運γ←營技(jì)術(shù)的(de)廣泛、深入的(de≈→)了(le)解,了(le)解流程的(de)外(wài)觀,并δ€了(le)解組織中的(de)資産。這(zhè)種類型的(de)♠©±©威脅是(shì)獨一(yī)無二的(de),因為(wèi)δ☆≈β它代表了(le)從(cóng)外(wài)部角度難以獲÷↔得(de)的(de)詳細知(zhī)識水(shuǐ)平。
供應鏈間(jiān)諜活動要(yào)複雜(zá)得(dπ★πe)多(duō),有(yǒu)時(shí)由不(bù£§)同的(de)制(zhì)造設施和(hé)↕≠運營管理(lǐ),有(yǒu)時(shí)跨越全球,以及多(duō)個(gè)α♠ ±地(dì)緣政治邊界。此外(wài),惡意軟αε件(jiàn)可(kě)能(néng)沒有(yǒu)可(kě)識别的(de)異γ&常行(xíng)為(wèi)模式。然而,它在組織←σ深處的(de)存在對(duì)其運營構成了(le)嚴重威脅。
網絡威脅情報(bào)和(hé)內(nèi)♣₽δ部威脅檢測
網絡威脅情報(bào) (CTI) 機(jī)制(zhì)檢測內(nè♦♣i)部威脅或在組織內(nèi)進行(xíng)欺詐≤✘↔的(de)意圖非常複雜(zá)。為(wèi ≤)此,最好(hǎo)考慮 Caltagi>↑φ§rone、Pendergast 和(hé) Betz&n★δ☆bsp; (2013 年(nián))在入侵分(fēn)析的(de)鑽石模™₩✔型背景下(xià)關于內(nèi)部威脅的(de)←↓工(gōng)作(zuò),以及 Wolfe 和(héαπ) Hermanson(2004 年(nián))的(de)工(gōng)作(≤ ™∑zuò)。該模型還(hái)可(kě)以幫助理(l∏÷©ǐ)解動機(jī)和(hé)各種隐藏元素,例如(rú)攻擊的(de)受害者ε☆≤¥,這(zhè)對(duì)于理(lǐ)解意圖和(hé) <₽攻擊如(rú)何演變的(de)預測性質非常有(yǒu)用(yòng)。®&₹
結論
ICS 環境為(wèi)內(nèi)部攻擊提供了(le)沃土(t§♦&ǔ)。與 IT 環境不(bù)同,OT 環境具有§→ (yǒu)特定的(de)硬件(jiàn)和(hé≈≥)軟件(jiàn),并且可(kě)能(n≥♣éng)遭受內(nèi)生(shēng)或外(wài)生(s'hēng)、內(nèi)部啓用(yòng)的(de)攻擊媒介的(de)災難性破÷λ∑★壞。對(duì)工(gōng)業(yè)® 控制(zhì)系統環境的(de)攻擊需要(yào)在研♦$®Ω究、時(shí)間(jiān)和(hé)訪問(wèn)方面付出專門ε✘(mén)的(de)努力;因此,內(nèi)"δ部人(rén)員(yuán)在一(yī)系列間(jiān)δ≠諜威脅中發揮著(zhe)獨特的(de)作(zuò)用(yòngΩ→)。
內(nèi)部人(rén)員(yuán)了(le)≥解流程、設定點、控制(zhì)器(qì)和(hé)監督控 →制(zhì)和(hé)數(shù)據采集 (§©SCADA) 軟件(jiàn),以及物(wù)理(lǐ)資産所在的(dα☆e)位置以及它們在 OT 環境中所扮演的(de)角色。這(zhè)₩≠使它們成為(wèi)了(le)極好(hǎo)的π→(de)剝削目标。
安全專家(jiā)認為(wèi)內(nèi)部威脅是(shì)一(y☆∏σ™ī)種衆所周知(zhī)的(de)現(xiàn™™)象,許多(duō)人(rén)認為(wèi)這(zhè)是(shì)對(♠ ®duì)任何安全環境的(de)最大(dà)&↓' 威脅。Edward Snowden、維基解₽•↓©密和(hé) Vault7 是(shì)內(nèi)部威脅的<÷±♦(de)主要(yào)例子(zǐ)。員(yuán)工(g$γ±ōng)有(yǒu)意或無意地(dì)占組織中信息資産威脅的(de)很(hěn↔₩±)大(dà)一(yī)部分(fēn)。
分(fēn)析內(nèi)部威脅對(duì)手并Ω₹不(bù)容易。他(tā)們可(kě)能(néng)有(yǒu)也(y± "ě)可(kě)能(néng)沒有(yǒu㧕)經濟動機(jī)。他(tā)們可(kě)能(néng)出于憤怒、"γ 沮喪或心血來(lái)潮而進行(xíng)₩♣λ惡意活動。雇主可(kě)以使用(yòng)測謊儀檢查和(hé)許多(d¥ "$uō)數(shù)學建模技(jì)術(shù)來(lái→γ•™)檢測內(nèi)部威脅,并取得(de)不(bù)同程度的(de)成功。γ≥←
三種工(gōng)業(yè)控制(zhì)系統 (IC★β¶∑S) 環境和(hé)網絡安全趨勢
最近(jìn)的(de)一(yī)些(xiē)趨勢正在為(☆ wèi)內(nèi)部威脅火(huǒ)上(shàng)σ©"澆油。
數(shù)字化(huà)轉型和(hé)普渡模型:工(gōng)業(yè)控制 •(zhì)系統環境包括操作(zuò)技(jì)術(shù)(OT)和↕™₽(hé)信息技(jì)術(shù)(IT)。曾經的(de)模拟設備的(de)數↔¥♦(shù)字化(huà)以及将這(zhè)些(xiē)設備集成到(¶<&dào)現(xiàn)有(yǒu)的(de) OT 框架中已經在自(zì)→λ動化(huà)和(hé)效率方面取得(de)了(le)進步>≠→。智能(néng)對(duì)象的(de)爆炸式增¥>長(cháng)及其對(duì)無線通(tōng)信技(jì)術(sε÷hù)的(de)依賴增加了(le)網絡攻擊的(de)脆弱↑$性。通(tōng)過多(duō)層 OT 和(hγ∏é) IT 技(jì)術(shù)将物(wù)理(lǐ)設備(ICS 的♠∞✔≠(de)一(yī)部分(fēn))與業(yè)務功能(néng)(IT ≈的(de)一(yī)部分(fēn))集成,經常使用(γ←yòng) Purdue 模型進行(xíng)描述。Purdue 模"Ω型描述了(le)物(wù)理(lǐ)劃分(fēn)和≠♠ (hé)集成的(de) IT 和(hé) OT '©網絡的(de)邏輯部分(fēn)。該分(fēn)析特别↑≠✔ 感興趣的(de)是(shì)那(nà)些(xi®≥"₩ē)了(le)解普渡模型 0-3 級複雜(zá)性的(de)內(♣∞→nèi)部人(rén)員(yuán)(員(yuán)工(↔÷gōng))。
在家(jiā) 工(gōng)作(zuò)模γ₽式:自(zì) 2020 年(nián) 3 月(yuè) COVID-19✔αγ£ 爆發以來(lái),在家(jiā)工(gōng)作(zuò)安排成為±£∞(wèi)主要(yào)的(de)就(j'∞Ωiù)業(yè)模式之前,員(yuán)工(gōng)報(bà&÷βo)告工(gōng)作(zuò)并從(có₹∏εng)工(gōng)廠(chǎng)內(nèi)部監控和(hé)管理(lǐ)流→×∑程和(hé)控制(zhì)。在家(jiā)工(gōng)作÷₽✔(zuò)模式使許多(duō)員(yuán)工(gōngα← ®)能(néng)夠通(tōng)過 Purdue 模型級别 4←♥ 和(hé) 5 的(de) IT 部分(f→€ēn)連接到(dào)最低(dī)控制(zhì)層(級别 0α-3)。
數(shù)據洩露日(rì)益普遍: 過去(qù)®♣£ 10 年(nián)的(de)數(shù)據洩露已成♥π'為(wèi)美(měi)國(guó)情報™♥ σ(bào)機(jī)構面臨的(de)主要(yào)問≈♥☆₹(wèn)題。來(lái)自(zì) WikiLeaks 和(hé) Vaul✘&™t7 洩密的(de)啓示隻是(shì)其÷δ中的(de)幾個(gè)例子(zǐ)。即使在今天,所謂的₹(de)黑(hēi)暗(àn)網站(zhàn)也(yě)對(duì)任何組 ×織的(de)安全構成嚴重威脅。最近(jìn)♠€♥,作(zuò)為(wèi)勒索軟件(jiàn)活動的(de)一(yī)部分(f§αΩēn),個(gè)人(rén)身(shēn)份信息 (P✔€II) 和(hé)其他(tā)機(jī)密公§≠司數(shù)據已被轉儲到(dào)黑(hēΩεεπi)暗(àn)網站(zhàn)。
為(wèi)什(shén)麽軟件(jiàn)和(hé)供∏✘♣♥應鏈依賴性是(shì)潛在威脅
軟件(jiàn)和(hé)供應鏈依賴性構™×↓φ成了(le)另一(yī)種威脅。軟件(jiàn)的(de)設計₹♥(jì)、營銷、銷售和(hé)信任是(shì)為(w>∞≥èi)了(le)執行(xíng)諸如(rú)安全網絡或跟蹤安全資産之類的¶α(de)事(shì)情。在某些(xiē)情況下(xià),安裝在系統上(↕shàng)的(de)軟件(jiàn)會≤β(huì)成為(wèi)“內(nèi)部人(rén)員(yuá>n)”。關鍵組織功能(néng)中的(de)軟件(jiàλ¶< n)或構成關鍵基礎設施控制(zhì)系統某些(xiē)組件(jià✘πn)的(de)供應鏈中的(de)軟件(jiàn)&md×$ε↕ash;—例如(rú)可(kě)編程邏輯控制(zhì)器(qìβ) (PLC)、二極管或 IED(獨立電(diàn≥¥)子(zǐ)設備)——是(shì)否可§(kě)以被視(shì)為(wèi)&ldq€β∏uo;內(nèi)部威脅。” 這(zhè)種供應鏈₹≈軟件(jiàn)可(kě)能(néng)是(shì)一(yī)種α₩♣尚未充分(fēn)考慮的(de)有(yǒu)害內(n₩∏èi)部威脅。SolarWinds 事(shì)件(jiàn)就(jiù)<♦✔γ是(shì)一(yī)個(gè)典型的(de)例子(zǐ)。γ π
據 Business Insider稱,SolarWind₩€s 漏洞是(shì)通(tōng)過軟件(ji≤"àn)更新實施的(de)。這(zhè)種類型的δ≤₹(de)供應鏈攻擊是(shì)有(yǒu)害的(de),它通<Ω (tōng)過損害“內(nèi≥₽)部人(rén)員(yuán)”(在這(zγ±hè)種情況下(xià)是(shì)軟件(jiàn)和(hé)®σ供應商)來(lái)感染公司,從(cón<≤ g)而利用(yòng)最佳實踐。
制(zhì)造供應鏈威脅可(kě)以獲得(de)λ β對(duì)工(gōng)廠(chǎng)運γ←營技(jì)術(shù)的(de)廣泛、深入的(de≈→)了(le)解,了(le)解流程的(de)外(wài)觀,并δ€了(le)解組織中的(de)資産。這(zhè)種類型的(de)♠©±©威脅是(shì)獨一(yī)無二的(de),因為(wèi)δ☆≈β它代表了(le)從(cóng)外(wài)部角度難以獲÷↔得(de)的(de)詳細知(zhī)識水(shuǐ)平。
供應鏈間(jiān)諜活動要(yào)複雜(zá)得(dπ★πe)多(duō),有(yǒu)時(shí)由不(bù£§)同的(de)制(zhì)造設施和(hé)↕≠運營管理(lǐ),有(yǒu)時(shí)跨越全球,以及多(duō)個(gè)α♠ ±地(dì)緣政治邊界。此外(wài),惡意軟αε件(jiàn)可(kě)能(néng)沒有(yǒu)可(kě)識别的(de)異γ&常行(xíng)為(wèi)模式。然而,它在組織←σ深處的(de)存在對(duì)其運營構成了(le)嚴重威脅。
網絡威脅情報(bào)和(hé)內(nèi)♣₽δ部威脅檢測
網絡威脅情報(bào) (CTI) 機(jī)制(zhì)檢測內(nè♦♣i)部威脅或在組織內(nèi)進行(xíng)欺詐≤✘↔的(de)意圖非常複雜(zá)。為(wèi ≤)此,最好(hǎo)考慮 Caltagi>↑φ§rone、Pendergast 和(hé) Betz&n★δ☆bsp; (2013 年(nián))在入侵分(fēn)析的(de)鑽石模™₩✔型背景下(xià)關于內(nèi)部威脅的(de)←↓工(gōng)作(zuò),以及 Wolfe 和(héαπ) Hermanson(2004 年(nián))的(de)工(gōng)作(≤ ™∑zuò)。該模型還(hái)可(kě)以幫助理(l∏÷©ǐ)解動機(jī)和(hé)各種隐藏元素,例如(rú)攻擊的(de)受害者ε☆≤¥,這(zhè)對(duì)于理(lǐ)解意圖和(hé) <₽攻擊如(rú)何演變的(de)預測性質非常有(yǒu)用(yòng)。®&₹
結論
ICS 環境為(wèi)內(nèi)部攻擊提供了(le)沃土(t§♦&ǔ)。與 IT 環境不(bù)同,OT 環境具有§→ (yǒu)特定的(de)硬件(jiàn)和(hé≈≥)軟件(jiàn),并且可(kě)能(n≥♣éng)遭受內(nèi)生(shēng)或外(wài)生(s'hēng)、內(nèi)部啓用(yòng)的(de)攻擊媒介的(de)災難性破÷λ∑★壞。對(duì)工(gōng)業(yè)® 控制(zhì)系統環境的(de)攻擊需要(yào)在研♦$®Ω究、時(shí)間(jiān)和(hé)訪問(wèn)方面付出專門ε✘(mén)的(de)努力;因此,內(nèi)"δ部人(rén)員(yuán)在一(yī)系列間(jiān)δ≠諜威脅中發揮著(zhe)獨特的(de)作(zuò)用(yòngΩ→)。
內(nèi)部人(rén)員(yuán)了(le)≥解流程、設定點、控制(zhì)器(qì)和(hé)監督控 →制(zhì)和(hé)數(shù)據采集 (§©SCADA) 軟件(jiàn),以及物(wù)理(lǐ)資産所在的(dα☆e)位置以及它們在 OT 環境中所扮演的(de)角色。這(zhè)₩≠使它們成為(wèi)了(le)極好(hǎo)的π→(de)剝削目标。