|
最新研究:44%的工業(yè)設(shè)施存在USB惡意軟件風(fēng)險(xiǎn)互聯(lián)工業(yè)企業(yè)Honeywell(霍尼韋爾)在其針對(duì)50個(gè)工業(yè)站點(diǎn)的掃描結(jié)果中發(fā)現(xiàn),近一半(44%)的USB設(shè)備存在包含惡意軟件的文件。 此次識(shí)別出的威脅(其中55%為木馬病毒)主要針對(duì)一系列工業(yè)場(chǎng)所(包括煉油廠、化工廠以及紙漿和紙張制造廠)實(shí)施攻擊活動(dòng)。 Honeywell公司表示,在此次監(jiān)測(cè)到的威脅中,大約有26%的威脅能夠“導(dǎo)致運(yùn)營商失去對(duì)其運(yùn)營的可見性或控制權(quán),從而造成嚴(yán)重的服務(wù)/運(yùn)營中斷后果”。 據(jù)悉,該研究是第一份專注于工業(yè)控制環(huán)境中USB安全的商業(yè)研究報(bào)告。 USB惡意軟件風(fēng)險(xiǎn):許多公司禁止使用 該報(bào)告發(fā)布之際,包括IBM在內(nèi)的許多公司都因?yàn)榘踩L(fēng)險(xiǎn)問題而明令禁止使用U盤等便攜式存儲(chǔ)設(shè)備。 例如,在2018年5月發(fā)布的一份咨詢報(bào)告中,IBM的全球首席信息官Shamla Naidoo就曾表示,其公司正在進(jìn)一步深入“禁止向所有可移動(dòng)便攜式存儲(chǔ)設(shè)備(如USB、SD卡、閃存驅(qū)動(dòng)器等)傳輸數(shù)據(jù)的實(shí)踐做法。” 隨著越來越多的滲透測(cè)試人員和黑帽子攻擊者加速利用愛德華·斯諾登(Edward Snowden)所泄露的NSA技術(shù),諸如此類(禁用USB等設(shè)備)的步驟也開始隨之而來。根據(jù)斯諾登泄露的資料顯示:NSA可以通過一項(xiàng)私密技術(shù)侵入并未接入網(wǎng)絡(luò)的電腦,這項(xiàng)技術(shù)至少自2008年以來就一直在使用,它依賴的是一條無線電波隱蔽信道。而無線電波通過秘密插入在電腦中的小型電路板和USB卡進(jìn)行傳輸。 這表明NSA使用隱蔽的基于USB的通道,可以完成軟件修改、數(shù)據(jù)滲入和滲出等操作,同時(shí)還提升了企業(yè)對(duì)USB使用風(fēng)險(xiǎn)的認(rèn)識(shí)。 比我們預(yù)期的更嚴(yán)重的威脅 霍尼韋爾公司表示,數(shù)據(jù)顯示出了比我們預(yù)期更嚴(yán)重的威脅,而且研究結(jié)果表明,其中一些威脅是針對(duì)性的、蓄意的。此外,這項(xiàng)研究也證實(shí)了我們多年來一直懷疑的一個(gè)問題——即USB威脅對(duì)于工業(yè)運(yùn)營商而言是真實(shí)存在的。而令人驚訝的只是沒想到威脅的范圍和嚴(yán)重程度會(huì)達(dá)到如此地步。 據(jù)調(diào)查人員介紹,此次報(bào)告所審查的數(shù)據(jù)主要來自Honeywell的Secure Media Exchange(SMX)智能網(wǎng)關(guān)技術(shù),SMX是一種媒體掃描解決方案,可以在USB驅(qū)動(dòng)器連接到網(wǎng)絡(luò)之前對(duì)驅(qū)動(dòng)器上的惡意軟件及病毒進(jìn)行徹底掃描。而且SMX軟件會(huì)隨著最新威脅的變化而自動(dòng)更新,以便在有效期限范圍內(nèi)獲得不間斷的技術(shù)支持以及數(shù)據(jù)庫的更新。 在檢測(cè)到的威脅中(其中55%為木馬病毒)存在很多備受矚目且眾所周知的問題,例如TRITON和Mirai,以及Stuxnet的變種,其中Stuxnet(震網(wǎng))蠕蟲就是一種民族國家用來破壞工業(yè)運(yùn)營的攻擊類型。 在發(fā)現(xiàn)的惡意軟件中,9%被設(shè)計(jì)為直接利用USB協(xié)議或接口漏洞,使USB傳輸更加有效——特別是在較易受USB攻擊影響的較舊或配置較差的計(jì)算機(jī)上。 而有些惡意軟件更為先進(jìn),會(huì)直接攻擊USB接口本身:2%與常見的人機(jī)接口設(shè)備(HID)攻擊有關(guān),這會(huì)使USB主機(jī)控制器誤認(rèn)為存在鍵盤連接,從而允許惡意軟件鍵入命令并操縱應(yīng)用程序。 最后,霍尼韋爾表示,根據(jù)對(duì)比測(cè)試顯示,在我們檢測(cè)到的威脅中有高達(dá)11%的威脅未被更傳統(tǒng)的反惡意軟件技術(shù)檢測(cè)出來。 應(yīng)對(duì)措施——可信計(jì)算技術(shù) 在工控網(wǎng)絡(luò)安全事件統(tǒng)計(jì)中,65%以上的安全事件來自人為因素,且均為終端安全事件,工控網(wǎng)絡(luò)終端安全在整個(gè)安全防護(hù)當(dāng)中的重要性不可忽略。當(dāng)前普通計(jì)算機(jī)的資源可以比較輕易的被攻擊程序所占用,這些計(jì)算機(jī)設(shè)備在用戶認(rèn)證、操作檢查、訪問控制網(wǎng)絡(luò)連接等方面設(shè)置的安全措施經(jīng)常被攻擊者繞過。 目前,網(wǎng)絡(luò)安全比較注重增加邊界防護(hù),但諸如防火墻、入侵檢測(cè)、和病毒防范等為主要構(gòu)成的傳統(tǒng)信息安全系統(tǒng),是以防外為重點(diǎn)。而從組成信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)、終端三個(gè)層面上看,把過多的注意力放在對(duì)服務(wù)器和網(wǎng)絡(luò)設(shè)備的保護(hù)上、忽略了對(duì)終端的保護(hù)。 可信計(jì)算(Trusted computing)從一個(gè)新的視角解決計(jì)算機(jī)的安全問題。它有別于傳統(tǒng)的安全計(jì)算,從終端開始防范攻擊,致力于增強(qiáng)終端體系結(jié)構(gòu)的安全性、從源頭上解決系統(tǒng)的安全問題。 海天煒業(yè)可信計(jì)算平臺(tái)“InTrust可信芯片工控網(wǎng)絡(luò)安全平臺(tái)”可以較為有效地幫助工業(yè)生產(chǎn)廠家對(duì)工業(yè)主機(jī)進(jìn)行安全加固,從源頭上杜絕USB惡意軟件帶來的風(fēng)險(xiǎn)。 1) 通過完整性度量與驗(yàn)證 ,保證 PC 從加電時(shí)刻起 ,一直到在其上運(yùn)行的每一個(gè)硬件、操作系統(tǒng)以及應(yīng)用軟件都是可信的。 2) 通過數(shù)據(jù)安全保護(hù) ,給各種應(yīng)用提供基于硬件的存儲(chǔ) ,從根上保證數(shù)據(jù)的安全 ,同時(shí)通過數(shù)據(jù)封裝等功能實(shí)現(xiàn)數(shù)據(jù)與平臺(tái)的綁定。 3) 通過身份認(rèn)證 ,向外部實(shí)體提供系統(tǒng)平臺(tái)身份證明和應(yīng)用身份證明服務(wù)。最后 ,具備由權(quán)威機(jī)構(gòu)頒發(fā)的唯一的身份證書的可信計(jì)算平臺(tái)具備在網(wǎng)絡(luò)上的唯一的身份標(biāo)識(shí) 。 目前U盤、移動(dòng)硬盤等移動(dòng)存儲(chǔ)介質(zhì)是工控網(wǎng)絡(luò)病毒引入的最主要途徑,可信芯片工控安全平臺(tái)的U盤管控機(jī)制還可以從源頭上杜絕疑似病毒、可疑病毒的傳播。可信芯片工控安全平臺(tái)白名單模式及U盤管控模式從根源上杜絕未知惡意程序啟動(dòng),實(shí)現(xiàn)主動(dòng)防御,為工控網(wǎng)絡(luò)安全提供安全運(yùn)行保障。 |