美国海岸警卫队网络司令部警告网络连接OT系统带来的海洋环境网络安全风险

阅读量26766

发布时间 : 2024-04-24 10:46:25

美国海岸警卫队网络司令部 (CGCYBER) 周一宣布,网络连接的 OT(操作技术)给海洋环境 (ME) 带来了潜在的漏洞。海洋基础设施内的组织越来越多地采用联网的 OT 系统,从而扩大了网络威胁的攻击面。

“2023 年,海岸警卫队网络保护团队 (CPT) 发现 OT 网段通常包含组织最关键和最脆弱的系统。在大多数情况下,CPT 观察到 OT 系统运行的生命周期终止软件具有已知的可利用漏洞 (KEV),”CGCYBER在其第二份年度海洋环境网络趋势和洞察 (CTIME) 报告中详细介绍了这一点。 “此外,OT 系统经常利用易受攻击的网络协议,从而允许进一步利用和权限升级。当 OT 网络缺乏足够的访问控制时,这些风险会进一步加剧,从而使对手可以从信息技术 (IT) 网络跳转到 OT 网络。这可能会让对手在物理领域产生影响。”

CGCYBER 报告指出,针对海洋环境中的所有者、运营商和行业合作伙伴的高级持续威胁 (APT) 显着增加。它还披露,从 2022 年到 2023 年,勒索软件事件的报告增加了 80%,平均要求的赎金增加了两倍多,因为目标组织类型包括海运公司;液化天然气加工商/分销商和石化公司;以及海运物流和技术服务提供商。

该报告强调了勒索软件事件的不断扩散。根据 CGCYBER 的海事网络准备部门 (MCRB) 的数据,2023 年的事件激增 80%,从 18 起增加到 2022 年的 10 起。“此外,还观察到恶意网络行为者使用了更复杂的技术。其中一种技术包括一种新的部分加密方法,攻击者可以更改勒索软件对文件的加密程度。这种技术使反恶意软件解决方案更难发现勒索软件,并提高了对手加密受害者文件的速度。除了经济勒索之外,这些事件通常还会导致运营能力下降数月并造成潜在的声誉影响。”

此外,CGCYBER 还发现了前两份 CTIME 报告中类似的网络安全缺陷。 “2023 年,CPT 任务强化了向合作伙伴提供的许多与过去几年向其他组织提供的相同建议。这证实了 ME 中持续存在漏洞。建议的重点是改善基本的网络卫生,包括实施补丁管理政策、执行最小特权原则以及实施多重身份验证(MFA)。”

海岸警卫队网络司令部司令杰·范恩少将在一份声明中表示:“随着美国海岸警卫队的任务扩展到网络空间领域和全球海洋公域,CGCYBER 仍保持战略态势,保护海上关键基础设施免受先进网络威胁行为者的侵害。”媒体声明。

CGCYBER 报告披露,2023 年,民族国家行为者针对美国关键基础设施的海洋环境行业报告有所增加。 “作为回应,CGCYBER 将 CPT 资源集中用于寻找这些参与者,并重点将 OT 纳入 CPT 任务中。 2023 年的 CTIME 报告反映了优先级的变化,增加了狩猎和事件响应 RECAP 以及保护 OT 部分。”

CGCYBER 继续进行能力建设,以支持 ME 中寻求 CPT 援助的合作伙伴不断增长的需求。 2003年CPT于去年8月达到初始运营能力,预计今年将达到全面运营能力。此外,CGCYBER 还建立了后备部队 CPT(1941 CPT),它将补充现役 CPT 并提供专业知识来支持和增强作战行动。

2023 年,MCRB 和当地海岸警卫队单位对网络事件报告进行了 46 项调查。其中包括几起对大型国际组织产生重大影响的事件。尽管自 2022 年以来报告的事件总数有所下降,但 MCRB 认为,由于担心公众对网络事件的看法,组​​织没有发现或报告许多事件。鉴于美国每年 90% 以上的进出口都流经美国海港,民族国家黑客和机会主义网络犯罪分子始终以海洋环境为目标。

与其他年份相比,MCRB在 2023 年观察到的网络钓鱼/欺骗事件数量相似。 2023 年,22% 的事件是网络钓鱼/欺骗事件,而 2022 年为 25%,2021 年为 20%。对于其他类型的网络事件,拒绝服务 (DoS) 是攻击者继续使用的一种方法扰乱海上作业。

海运公司继续成为网络犯罪分子的目标。然而,MCRB 还观察到针对海运物流集成商和技术服务提供商的恶意网络行为者显着增加。除了针对海运物流集成商和技术服务提供商之外,还观察到恶意网络行为者利用面向公众的系统中的漏洞来获取对海洋环境中实体网络的初始访问权限。

例如,微软报告称,威胁行为者 Volt Typhoon 通过利用面向互联网的设备中的漏洞,未经授权地访问了美国关键基础设施提供商网络。获得初始访问权限后,Volt Typhoon 威胁行为者将利用本地管理工具和功能(称为“离地生存技术”)来查找系统信息、发现其他设备并窃取数据。

除了 Volt Typhoon 之外,CGCYBER 报告还发现CL0P 勒索软件团伙还被发现利用面向互联网的设备中的漏洞,特别是 Progress Software 的托管文件传输解决方案 MOVEit Transfer。它补充说:“据观察,CL0P 使用 SQL 注入漏洞获得了 MOVEit Transfer 数据库的初始访问权限,并利用未经授权的访问来窃取数据。”

随着海岸警卫队继续打击恶意网络行为者的非法行为,CGCYBER 报告显示,该机构依靠向国家响应中心 (NRC) 提交的网络事件报告来激活响应能力并提高整个海洋环境的认识。法规要求某些实体报告网络事件,但海岸警卫队敦促中东地区的所有组织向 NRC 报告所有网络事件。通过在海洋环境中自由流动的多向信息共享,海岸警卫队和海洋环境组织可以最好地应对这些不断变化的网络威胁。

针对最近有关恶意网络行为者继续使用“Living off the Land”TTP 的报道,CGCYBER建议各组织审查 CISA 网络安全咨询 (CSA) 中详细说明的建议。要检测恶意 LotL 活动,组织应首先建立系统实用程序在环境中使用方式的准确基线,长时间保留日志,然后调查与该基线不同的使用情况。

展望未来,CGCYBER 报告详细介绍了勒索软件呈上升趋势,因为网络犯罪将继续影响海洋环境。 “2023 年,各种新漏洞影响了 ME,新的威胁行为者瞄准了这些漏洞。 ME 组织经常使用专门用于海事功能的网络连接软件和硬件,其中漏洞识别和修补可能比主流 IT 应用程序慢。”

此外,从 2022 年到 2023 年,报告的海洋环境中的勒索软件事件显着增加。MCRB 在 2023 年第一季度收到的勒索软件事件报告比 2022 年全年还要多。根据 MCRB 调查的 CPT 任务和网络事件,经济激励措施似乎仍然是海洋环境中大多数威胁活动背后的驱动动机,这与 2023 年勒索软件行业报告一致。

该报告还认识到,对受感染组织的财务影响仍然很大。基于海洋环境中报告的勒索软件事件数量的激增、对威胁行为者的持续经济激励以及影响海洋环境中技术的漏洞,出于经济动机的网络犯罪很可能在 2024 年继续产生重大影响海岸警卫队于 2023 年扩大了网络行动能力,并计划扩大与海洋环境行业合作伙伴和政府利益相关者的合作伙伴关系,以打击勒索软件和网络犯罪的趋势。

它还表示,海洋环境中基于人工智能的技术的采用可能会继续增加。尽管对网络安全风险和缓解措施的了解还处于起步阶段,但海洋环境组织仍应将已知的网络安全最佳实践应用于人工智能系统。这包括最大限度地减少直接暴露于互联网的接口、监控系统活动以及实施严格的访问控制策略。 CGCYBER 将继续加深对这些技术的理解,并确定如何更好地评估、监控和利用新的基于人工智能的系统。

分享到:微信
+13赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66