Log4j漏洞对运营技术(OT)网络有哪些影响?

时间:2022-06-01 21:58:21

Log4j漏洞对运营技术(OT)网络有哪些影响?

网络安全技术商Waterfall Security Solutions公司行业安全副总裁Andrew Ginter日前指出,运营技术(OT)网络目前面临着Apache Log4j(CVE-2021-44228)漏洞带来的风险。

该漏洞影响了全球数百万台Web服务器,使网络攻击者能够将任意代码注入互联网上易受攻击的Java应用程序。这一缺陷正在被网络攻击者广泛利用。这就是世界各地的安全团队都在争先恐后地确定哪些Web应用程序可能存在Log4j漏洞,然后努力重建或升级这些系统的主要原因。

在互联网上使用控制管道、电力系统或铁路网络的OT应用程序的企业通常具有网络安全知识。那么,为什么这么多OT企业对Log4j漏洞如此担心呢?

工业互联网

一些关键基础设施和制造商将他们的生产设施连接到工业互联,这些通常是与Web服务和云服务的加密连接。这些连接穿透或绕过部署在互联网和大多数自动化系统之间的六层防火墙。这就是问题所在,尽管这些企业可能已经完成了所有供应链的尽职调查。

企业通常会信任其软件和云计算服务提供商。但是即使信任这些提供商,那么应该信任他们的网站吗?供应商网站上的Web服务可能会受到威胁。而且OT网络中的工业互联网设备已经连接到这些有风险的云服务。

更糟糕的是,一旦复杂的勒索软件组织或其他网络攻击者入侵工业供应商的Web服务,这些企业很难发现或清除Log4j漏洞,而网络攻击者将继续嵌入OT网络所连接的云服务中。

一旦这些网络攻击者有时间查看并弄清楚如何利用OT系统对这些云服务的信任,他们将能够使用这些云服务将他们的网络攻击深入到工业基础设施中。这种攻击有可能同时危及数千个工业场所。

基于云计算的OT勒索软件

Waterfall Security Solutions公司在供应链报告中预测了OT/ICS勒索软件中OT供应链和基于云计算的攻击行为。不幸的是,最近的网络安全事件已经证明了这些预测。美国Colonial Pipeline公司和肉类包装商JBS公司遭遇的勒索软件事件表明,被勒索软件关闭或破坏的关键基础设施服务商更有可能支付上百万美元的赎金。这使得关键基础设施在未来更有可能成为勒索软件攻击者的目标。

远程IT管理软件厂商Kaseya公司遭遇的安全漏洞事件清楚地表明,勒索软件组织有能力利用易受攻击的云计算基础设施同时对数千个目标发起攻击。工业供应商的受损云服务对全世界的工业运营构成了巨大威胁,因此人们对Log4j漏洞感到十分担忧。

保护OT网络

大多数安全从业者的直觉是将传统用于保护IT网络免受勒索软件侵害的安全工具和技术应用于OT网络,但并不起作用。为什么会这样?因为解决IT网络上的勒索软件威胁是美国国家标准与技术研究院(NIST)的“检测、响应和恢复”支柱,也就是识别受影响的机器,隔离它们,擦除它们,从备份中恢复它们,然后重复操作。

这种方法在OT网络出现的问题在于,网络攻击和不受控制的关闭措施可能会带来物理方面的危险和损害。例如发电厂正在运行的重达百吨的涡轮机,其转速为1200转/分;炼油厂正在生产的六层楼高的催化裂化炉,里面充满了高温高压的碳氢化合物,如果这些生产设施遭到破坏,后果不堪设想。而即使是大型建筑物中的自动扶梯突然关闭,也会对扶梯上的人员造成伤害。而依赖“检测、响应和恢复”措施的一个主要问题是无法从备份中恢复生命、损坏的设备和生产损失。OT网络通常具有事件响应能力,但这些能力只是在一定程度上减少了网络攻击和漏洞带来的后果——防止漏洞和网络攻击才是OT网络的首要任务。

为此,工业站点针对该问题应用的OT安全解决方案是单向网关。单向网关包括在物理上只能向一个方向推送信息的硬件——从关键OT网络到互联网。网关部署在互联网和易受攻击的OT网络的工业互联网设备之间。网关之所以有效,因为所有勒索软件和其他网络破坏攻击都是信息——这就是“网络”的含义。

因此,当网关在物理上能够将信息推送到互联网上工业供应商的云服务上,并且不能让任何信息返回时,那么遭到破坏的云服务就不再对安全或可靠的工业运营构成威胁。

这种漏洞可能仍然对高效运营构成威胁,因为工业站点使用工业云服务是为了提高效率。但效率的暂时降低通常是可以容忍的风险,而对员工人身安全、公共安全和环境安全的威胁通常是不可接受的。

如何应对Log4j漏洞

归根结底,Log4j漏洞是一个巨大的问题。云服务供应商(尤其是工业云服务供应商)需要仔细检查他们曾经出现过漏洞的云计算和互联网系统。所有这些系统以及与其相连的任何事物都有可能藏匿被网络攻击者和勒索软件组织利用的漏洞。

工业企业需要转移关注重点。这些企业可能正在询问他的每一个软件供应商,他们的产品是否使用Log4j或存在这个漏洞。一个更重要的目标是询问所有工业云提供商,他们的云服务是否曾经受到和Log4j漏洞相关的攻击。

不管这些措施如何查找或解决Log4j漏洞,尚未这样做的工业企业应该考虑为OT系统部署基于硬件的、不可破解的保护措施,尤其是那些连接到互联网的OT系统。而OT系统使用的云服务不可避免地会存在其他漏洞和其他危害。

需要记住的是,勒索软件已经对Kaseya公司1500名客户造成了危害。人们不希望勒索软件组织或其他人通过Log4j漏洞或任何一个云系统漏洞关闭输油管道或瘫痪发电厂等基础设施。