供应链中的软件如何对ICS网络构成内部威胁_北京软件开发公司
发表日期:2022-06-29 17:28:16 文章编辑:宜天信达 浏览次数:
媒体将大部分注意力集中在源自组织外部的信息安全威胁上。无论是发现新的高级持续威胁 (APT) 还是公司违规,通常人们都认为这是来自公司外部人员的威胁,即局外人。确实,在任何安全环境中都存在许多外部威胁——自然灾害、黑客、黑客活动分子等。但是,内部威胁发挥的作用比大多数人意识到的要大得多。
安全专家认为内部威胁是一种众所周知的现象,许多人认为这是对任何安全环境的最大威胁。Edward Snowden、维基解密和 Vault7 是内部威胁的主要例子。员工有意或无意地占组织中信息资产威胁的很大一部分。
分析内部威胁对手并不容易。他们可能有也可能没有经济动机。他们可能出于愤怒、沮丧或心血来潮而进行恶意活动。雇主可以使用测谎仪检查和许多数学建模技术来检测内部威胁,并取得不同程度的成功。
三种工业控制系统 (ICS) 环境和网络安全趋势
最近的一些趋势正在为内部威胁火上浇油。
数字化转型和普渡模型:工业控制系统环境包括操作技术(OT)和信息技术(IT)。曾经的模拟设备的数字化以及将这些设备集成到现有的 OT 框架中已经在自动化和效率方面取得了进步。智能对象的爆炸式增长及其对无线通信技术的依赖增加了网络攻击的脆弱性。通过多层 OT 和 IT 技术将物理设备(ICS 的一部分)与业务功能(IT 的一部分)集成,经常使用 Purdue 模型进行描述。Purdue 模型描述了物理划分和集成的 IT 和 OT 网络的逻辑部分。该分析特别感兴趣的是那些了解普渡模型 0-3 级复杂性的内部人员(员工)。
在家 工作模式:自 2020 年 3 月 COVID-19 爆发以来,在家工作安排成为主要的就业模式之前,员工报告工作并从工厂内部监控和管理流程和控制。在家工作模式使许多员工能够通过 Purdue 模型级别 4 和 5 的 IT 部分连接到最低控制层(级别 0-3)。
数据泄露日益普遍: 过去 10 年的数据泄露已成为美国情报机构面临的主要问题。来自 WikiLeaks 和 Vault7 泄密的启示只是其中的几个例子。即使在今天,所谓的黑暗网站也对任何组织的安全构成严重威胁。最近,作为勒索软件活动的一部分,个人身份信息 (PII) 和其他机密公司数据已被转储到黑暗网站。
为什么软件和供应链依赖性是潜在威胁
软件和供应链依赖性构成了另一种威胁。软件的设计、营销、销售和信任是为了执行诸如安全网络或跟踪安全资产之类的事情。在某些情况下,安装在系统上的软件会成为“内部人员”。关键组织功能中的软件或构成关键基础设施控制系统某些组件的供应链中的软件——例如可编程逻辑控制器 (PLC)、二极管或 IED(独立电子设备)——是否可以被视为“内部威胁。” 这种供应链软件可能是一种尚未充分考虑的有害内部威胁。SolarWinds 事件就是一个典型的例子。
据 Business Insider称,SolarWinds 漏洞是通过软件更新实施的。这种类型的供应链攻击是有害的,它通过损害“内部人员”(在这种情况下是软件和供应商)来感染公司,从而利用最佳实践。
制造供应链威胁可以获得对工厂运营技术的广泛、深入的了解,了解流程的外观,并了解组织中的资产。这种类型的威胁是独一无二的,因为它代表了从外部角度难以获得的详细知识水平。
供应链间谍活动要复杂得多,有时由不同的制造设施和运营管理,有时跨越全球,以及多个地缘政治边界。此外,恶意软件可能没有可识别的异常行为模式。然而,它在组织深处的存在对其运营构成了严重威胁。
网络威胁情报和内部威胁检测
网络威胁情报 (CTI) 机制检测内部威胁或在组织内进行欺诈的意图非常复杂。为此,最好考虑 Caltagirone、Pendergast 和 Betz (2013 年)在入侵分析的钻石模型背景下关于内部威胁的工作,以及 Wolfe 和 Hermanson(2004 年)的工作。该模型还可以帮助理解动机和各种隐藏元素,例如攻击的受害者,这对于理解意图和攻击如何演变的预测性质非常有用。
结论
ICS 环境为内部攻击提供了沃土。与 IT 环境不同,OT 环境具有特定的硬件和软件,并且可能遭受内生或外生、内部启用的攻击媒介的灾难性破坏。对工业控制系统环境的攻击需要在研究、时间和访问方面付出专门的努力;因此,内部人员在一系列间谍威胁中发挥着独特的作用。
内部人员了解流程、设定点、控制器和监督控制和数据采集 (SCADA) 软件,以及物理资产所在的位置以及它们在 OT 环境中所扮演的角色。这使它们成为了极好的剥削目标。
安全专家认为内部威胁是一种众所周知的现象,许多人认为这是对任何安全环境的最大威胁。Edward Snowden、维基解密和 Vault7 是内部威胁的主要例子。员工有意或无意地占组织中信息资产威胁的很大一部分。
分析内部威胁对手并不容易。他们可能有也可能没有经济动机。他们可能出于愤怒、沮丧或心血来潮而进行恶意活动。雇主可以使用测谎仪检查和许多数学建模技术来检测内部威胁,并取得不同程度的成功。
三种工业控制系统 (ICS) 环境和网络安全趋势
最近的一些趋势正在为内部威胁火上浇油。
数字化转型和普渡模型:工业控制系统环境包括操作技术(OT)和信息技术(IT)。曾经的模拟设备的数字化以及将这些设备集成到现有的 OT 框架中已经在自动化和效率方面取得了进步。智能对象的爆炸式增长及其对无线通信技术的依赖增加了网络攻击的脆弱性。通过多层 OT 和 IT 技术将物理设备(ICS 的一部分)与业务功能(IT 的一部分)集成,经常使用 Purdue 模型进行描述。Purdue 模型描述了物理划分和集成的 IT 和 OT 网络的逻辑部分。该分析特别感兴趣的是那些了解普渡模型 0-3 级复杂性的内部人员(员工)。
在家 工作模式:自 2020 年 3 月 COVID-19 爆发以来,在家工作安排成为主要的就业模式之前,员工报告工作并从工厂内部监控和管理流程和控制。在家工作模式使许多员工能够通过 Purdue 模型级别 4 和 5 的 IT 部分连接到最低控制层(级别 0-3)。
数据泄露日益普遍: 过去 10 年的数据泄露已成为美国情报机构面临的主要问题。来自 WikiLeaks 和 Vault7 泄密的启示只是其中的几个例子。即使在今天,所谓的黑暗网站也对任何组织的安全构成严重威胁。最近,作为勒索软件活动的一部分,个人身份信息 (PII) 和其他机密公司数据已被转储到黑暗网站。
为什么软件和供应链依赖性是潜在威胁
软件和供应链依赖性构成了另一种威胁。软件的设计、营销、销售和信任是为了执行诸如安全网络或跟踪安全资产之类的事情。在某些情况下,安装在系统上的软件会成为“内部人员”。关键组织功能中的软件或构成关键基础设施控制系统某些组件的供应链中的软件——例如可编程逻辑控制器 (PLC)、二极管或 IED(独立电子设备)——是否可以被视为“内部威胁。” 这种供应链软件可能是一种尚未充分考虑的有害内部威胁。SolarWinds 事件就是一个典型的例子。
据 Business Insider称,SolarWinds 漏洞是通过软件更新实施的。这种类型的供应链攻击是有害的,它通过损害“内部人员”(在这种情况下是软件和供应商)来感染公司,从而利用最佳实践。
制造供应链威胁可以获得对工厂运营技术的广泛、深入的了解,了解流程的外观,并了解组织中的资产。这种类型的威胁是独一无二的,因为它代表了从外部角度难以获得的详细知识水平。
供应链间谍活动要复杂得多,有时由不同的制造设施和运营管理,有时跨越全球,以及多个地缘政治边界。此外,恶意软件可能没有可识别的异常行为模式。然而,它在组织深处的存在对其运营构成了严重威胁。
网络威胁情报和内部威胁检测
网络威胁情报 (CTI) 机制检测内部威胁或在组织内进行欺诈的意图非常复杂。为此,最好考虑 Caltagirone、Pendergast 和 Betz (2013 年)在入侵分析的钻石模型背景下关于内部威胁的工作,以及 Wolfe 和 Hermanson(2004 年)的工作。该模型还可以帮助理解动机和各种隐藏元素,例如攻击的受害者,这对于理解意图和攻击如何演变的预测性质非常有用。
结论
ICS 环境为内部攻击提供了沃土。与 IT 环境不同,OT 环境具有特定的硬件和软件,并且可能遭受内生或外生、内部启用的攻击媒介的灾难性破坏。对工业控制系统环境的攻击需要在研究、时间和访问方面付出专门的努力;因此,内部人员在一系列间谍威胁中发挥着独特的作用。
内部人员了解流程、设定点、控制器和监督控制和数据采集 (SCADA) 软件,以及物理资产所在的位置以及它们在 OT 环境中所扮演的角色。这使它们成为了极好的剥削目标。