嵌入式開發(fā)：嵌入式設(shè)備仍然容易受到勒索軟件的威脅

OT系統(tǒng)是勒索軟件的既定目標(biāo)，其中的關(guān)鍵設(shè)備也是如此。在嵌入式開發(fā)中，公共和私營部門必須采取更全面的方法來保護(hù)這一層。

 

2021年發(fā)生的大量高調(diào)事件應(yīng)該消除了惡意行為者利用勒索軟件針對工業(yè)控制系統(tǒng)(ICS)的任何疑問。

 

對這些系統(tǒng)的攻擊源自數(shù)據(jù)密集型企業(yè)/IT層以及運營核心的控制室。隨著全球沖突在2022年提高世界各地政府和行業(yè)的威脅水平，這種威脅可能已經(jīng)被提升。

 

不幸的是，當(dāng)談到在ICS中提供足夠的安全控制時，我們?nèi)匀辉谧汾s。最關(guān)鍵的現(xiàn)有差距在設(shè)備層面：致動器、傳感器、安全設(shè)備和電子控制單元(ECU ),它們使我們的電網(wǎng)保持在線，使電信網(wǎng)絡(luò)快速安全，使制造工廠在安全狀態(tài)下運營。

 

缺乏設(shè)備上的勒索軟件保護(hù)可能會導(dǎo)致單個設(shè)備受損，或者通過網(wǎng)絡(luò)的橫向傳播導(dǎo)致多個設(shè)備鎖定。雖然我們還沒有在現(xiàn)場看到此類攻擊的可信證據(jù)，但很明顯，活動的增加和揮之不去的安全漏洞將我們置于一個轉(zhuǎn)折點。在嵌入式開發(fā)中，嵌入式設(shè)備現(xiàn)在需要更多的勒索軟件保護(hù)。然而，將足夠的安全性提升到這一級別將需要大量的時間和投資，遠(yuǎn)遠(yuǎn)超過開發(fā)和部署在這一級別有效的勒索軟件所需的時間。

 

在攻擊者將勒索軟件引入ICS技術(shù)并降低到設(shè)備級別之前，我們可能還有時間來破壞一個重要的系統(tǒng)。這三個事實應(yīng)該激勵我們在攻擊者為我們辯護(hù)之前改進(jìn)保護(hù)：

事實1：固件不安全是一個嚴(yán)重的問題，尤其是對于嵌入式設(shè)備

在20年的大部分時間里，在企業(yè)和控制室級別為設(shè)備和網(wǎng)絡(luò)提供了強(qiáng)大的安全控制。我們還沒有將類似的控制擴(kuò)展到直接在ICS物理過程中工作的嵌入式設(shè)備。

 

其中許多設(shè)備的固件是一個特別值得關(guān)注的問題。固件由直接與設(shè)備硬件相關(guān)的程序和數(shù)據(jù)組成，對設(shè)備的功能至關(guān)重要，但通常缺乏強(qiáng)大的保護(hù)。

 

事實2：嵌入式設(shè)備是合法的勒索軟件目標(biāo)

在嵌入式開發(fā)中，由于嵌入式設(shè)備通常包含有限的數(shù)據(jù)，勒索軟件攻擊似乎違反直覺。但有證據(jù)表明，攻擊者將固件本身作為勒索軟件加載的目標(biāo)，并利用固件將勒索軟件傳播到其他敏感系統(tǒng)。

 

許多關(guān)鍵的ICS設(shè)備在公開市場上出售，通常標(biāo)價四位數(shù)。盡管需要高級技能來對其進(jìn)行反向工程，以發(fā)現(xiàn)可利用的漏洞，但惡意行為者已經(jīng)證明，他們有時間和資源來做到這一點，特別是當(dāng)針對ICS的勒索軟件攻擊的回報達(dá)到8位數(shù)時。

 

事實3：既定的保護(hù)措施無法阻止設(shè)備上的勒索軟件

大多數(shù)嵌入式設(shè)備位于外圍防御和訪問控制之后，這導(dǎo)致了為它們提供基于主機(jī)的保護(hù)的自滿情緒。但是這些設(shè)備的功能和與用戶的交互方式有很大的不同。

 

與單臺PC上的攻擊不同，勒索軟件不會在嵌入式設(shè)備上激活，因為有人會點擊惡意鏈接或下載勒索軟件有效載荷。嵌入式設(shè)備受損可能是由于攻擊導(dǎo)致的，這種攻擊通過將服務(wù)器和策略系統(tǒng)作為目標(biāo)，對企業(yè)采取大規(guī)模的方法，這使得攻擊者能夠在沒有任何人工交互的情況下直接向終端發(fā)送惡意命令。

 

在嵌入式開發(fā)中，在最有可能的情況下，這些命令將來自受損的工程工作站或通過供應(yīng)商監(jiān)控/更新渠道，然后直接在設(shè)備之間傳播。

 

如果勒索軟件通過授權(quán)的通信路徑和協(xié)議傳播，防火墻、基于角色的訪問控制和其他保護(hù)措施將無效。一旦設(shè)備遭到破壞，他們也無法阻止東西方勒索病毒的傳播，因為這種活動將發(fā)生在受保護(hù)的邊界內(nèi)。

為了提高安全標(biāo)準(zhǔn)，我們必須強(qiáng)調(diào)勒索軟件對嵌入式設(shè)備的威脅

l 認(rèn)識到嵌入式設(shè)備面臨的更大威脅。在當(dāng)前的全球動蕩中，威脅行為者被鼓勵在重要的基礎(chǔ)設(shè)施中尋找可利用的弱點。嵌入式設(shè)備通常是關(guān)鍵任務(wù)，因此是勒索軟件和其他網(wǎng)絡(luò)攻擊的合法目標(biāo)。

l 加大對固件工程和安全性的投資。盡管攻擊的潛在嚴(yán)重性達(dá)到這一水平，但許多行業(yè)仍然不愿意在固件的證券化方面進(jìn)行深入投資。ICS運營商必須要求并預(yù)算更多的安全性，制造商必須為他們的產(chǎn)品提供更多的本地保護(hù)。

l 確保供應(yīng)鏈?zhǔn)诸^有足夠的替換設(shè)備。在這種級別的勒索軟件攻擊后，設(shè)備更換可能是恢復(fù)操作的唯一選擇。目前，如果許多設(shè)備在一次攻擊中失效，供應(yīng)鏈不太可能生產(chǎn)出足夠的替代品。

l 備份設(shè)備配置。并非所有勒索軟件攻擊都會導(dǎo)致設(shè)備完全丟失。在嵌入式開發(fā)中，最終用戶應(yīng)確保所有設(shè)備備份都是最新的且可訪問。