能源问答Rafe抗起球

马克:美国能源公司最近经历了一波又一波的侦察扫描,也就是最新的威胁,保持能源细语和首席技术官夜不能寐。你能谈谈什么是利害攸关的这些公司和他们的客户?

r .抗起球:近年来,安全领导人已经看到增加体积和攻击在能源行业的影响。这是在很大程度上由激进cybercriminal活动,特别是ransomware和勒索。在大部分情况下威胁演员获得通过不安全的基础设施。侦察扫描是发现脆弱的基础设施的一种方法。我们也看到引入风险基础设施是如何管理的。看看2021年的殖民管道事故,一个弱密码在VPN导致重大故障和不可估量的市场影响。这不是一个常见的场景。公用事业作为一个行业专注于韧性,权宜之计和成本效益。然而,不安全的基础设施可以迅速成为一个主要的风险,如果我们把我们的焦点良好的安全实践。

Secureworks®是看到更多的破坏性攻击关键的基础设施。大多数来源于刑事ransomware或DDoS活动但最近的一个例子涉及疑似敌对国家的演员是Skylogic (Viasat公司)攻击中断多个企业包括成千上万的风力涡轮机的操作在德国。

这些团体针对关键基础设施与敌对国家演员已经在我们的雷达。最近,美国政府未证实的指控在一组,我们的反恐组™的痕迹。这组名为铁的自由,一直专注于能源行业近十年。它包括几个俄罗斯情报人员和经常目标我们能源领域中的实体。有相当多的股份在打击这些攻击:金融资产,知识产权,操作卫生,和客户的个人资料,仅举几例。

马克:从你的角度来看,大型网络安全趋势和威胁,公用事业和能源行业高管必须准备好战斗?

r .抗起球:我们2021事件反应的报告指出,高管们需要考虑一些定义良好的趋势。首先,Secureworks发现85%的事件可以归因于经济动机的网络犯罪。我们观察到的第二件事是,有一个43%的初始访问向量来自apple设备的漏洞。最后,公用事业公司应该注意ransomware,业务邮件妥协(BEC) cryptominers,黑客和泄漏勒索计划,所有这些可能会针对公用事业和能源部门组织机会犯罪演员。

许多人会回忆起著名的ransomware攻击发生在2017年,WannaCry,恶意“蠕虫”,渗透到控制网络和绝对的破坏造成的。这种蠕虫公布了一个充满敌意的状态,继续跳弹,不受控制的,在互联网上偶尔感染和破坏企业,包括操作技术网络。WannaCry是不同寻常的,它是一个经济动机的攻击发起一个敌对国家的演员,朝鲜,尽管大规模的金融犯罪一直是他们的一个核心活动作为一种方法来支持他们的经济。

以外的经济动机的犯罪活动,更隐晦的威胁来自敌对国家演员预置访问正在进行间谍活动的目的,供应链未来cyber-physical攻击或破坏。特别是公用事业供应商,经营基础设施可以独特吸引演员的威胁。预置访问,网络罪犯或敌对状态的演员(俄罗斯和中国近年来,新闻报道)可能会在网络上几个月,甚至几年。它们可以隐藏在普通的场景中,监控操作,访问业务合作伙伴或客户和发射破坏性攻击如果他们有订单。

俄罗斯已经展示了多个攻击能源公司在乌克兰,每次进化的攻击他们的方法。2015年恶意软件使操作员能够连接和使用受害者退出人机接口(HMIs)切断电源。到2016年模块化功能已被添加到他们的恶意软件实现与电力工业控制系统直接交互。演员在2022年同样的威胁,铁维京(又名沙虫)推出另一个攻击乌克兰能源公司与他们的恶意软件的升级版本。这些攻击的武装冲突和争议进行前面的攻击(2015和2016)也推出了低强度冲突的一部分,已经运行自2014年俄罗斯吞并克里米亚。然而,经验可以从这些功能的部署,我们不应该认为他们总是会用动能后爆发冲突。在所有情况下,演员首先必须获得初始访问和侦察威胁环境理解他们需要做什么来发布他们的破坏性的攻击。这样做可以提前数周或数月。在寻找这一阶段是至关重要的。

马克:这些威胁的公用事业行业或基础设施通常依赖于能源和公用事业的设置?

r .抗起球:是的,没有。不,在大部分的外部网络威胁在大多数行业将是相同的。正如前面所提到的85%的事件,我们看到的是机会网络犯罪和跨越多个垂直行业和区域。Ransomware持久性和高影响所有组织所面临的威胁,使用互联网的钱。我们看到了越来越多的受害者ransomware泄漏网站上发布这些仅占总体的一小部分受害者。

也就是说,有区别的因素在能源和公共事业部门,使其敌对国家的浓厚兴趣。

例如,俄罗斯,伊朗,朝鲜和中国威胁的演员都感兴趣获得进入公用事业公司网络。有时他们是成功的。他们可能有多个互补的目标收集个人身份信息(PII)等情报的目的,提取商业秘密和知识产权的经济收入,但是他们也可能寻求在电网的战略信息,它是如何工作的,如何把它离线,和更多,以支持未来的军事行动。威胁演员寻求获得,还要维护访问,因为这使他们能够通过快速有效地攻击的阶段,通过捕获的证书,他们可以利用恶意软件,或任何其他机制。这一方案的好处是犯罪威胁和敌对国家演员威胁没有以截然不同的方式加以解决。通过有效地准备预防、检测和响应信封ransomware威胁演员使用的间谍情报技术你也准备好检测许多敌对国家赞助的团体。

马克:公用事业和能源公司可以采取什么步骤来预先创建高度警觉意识和周围的威胁?控制应该在他们的“基线”工具?

r .抗起球:第一步是一个消息灵通的景观的威胁。威胁情报来自可信和可靠的来源,可以提供一个真实的观点影响组织的公用事业和能源领域。一般来说,媒体将报道罕见的和不寻常的事件,但大量报告可以让它看起来好像这些都是日常事件和倾斜的感知网络威胁的风景。

我们也看到“警惕性”一词出现更多的这些天,但现实是,技术和网络安全的核心,总有人类在屏幕后面。

人类不能长期保持高度警惕状态,这是不可持续的。所以,关键是真的把适当的技术和流程做繁重的分析师和急救员和保持新鲜和准备好应对真正的事件发生时。

我们的研究让我们意识到,在几乎所有情况下的路径操作技术(OT)贯穿整个IT环境。无论是妥协VPN或周边利用的漏洞。威胁演员在整个IT环境通常需要横向移动之前能够达到网络。因此,安全是一个巨大的不安全的一部分。这里的关键是了解你的组织的周边,做漏洞扫描,确保完整和最新的补丁,在理想的情况下,以确保所有登录受到多因素身份验证(MFA)的保护。OT环境有特殊要求,不能用同样的做法,因为它保护环境,但两者之间有很大的依赖性。

这是一个强大的安全实践是建立在短期内——与其说喷的警觉,但持续的良好的安全卫生的模式和政策。当有具体情报可信的威胁,员工可以解决它,知道他们正在从一个坚实的基础。

马克:技术发展减少新兴风险如何?相反,你看到威胁发展的方式风险的速度超过安全创新?

r .抗起球:当前和未来技术的加速度将挑战每一个行业,而不仅仅是能源和公用事业公司。我们看到越来越多的互连,5 g的扩张,更多的物联网(物联网)设备发挥作用的组织需要准备安全威胁。但是物联网系统、人工智能(AI)和其他新技术引进标准化和互操作性和同质性戏剧演员的利益威胁。攻击链可以开发环境之间可以很容易地重新利用,而不是为每个新客户开发和定制的环境他们妥协。

创新的数据驱动的操作平台或分析,它是一把双刃剑——当然这些技术帮助提供更大的可见性,可以突出网络中的可疑活动,但他们也创造潜在的新入口点进入环境。我们应该认为糟糕的演员将尝试使用,最终对他们有利。

马克:什么是一个全面的安全状况,公用事业的基本要素应该雇佣面临这个景观变化的威胁?能源CISOs和首席技术官应该什么措施?

r .抗起球:通常,我们倾向于把监管的行业,如金融,具有较强的网络安全合规制度,不受重大网络安全事件的影响。这并不是说,仅遵从性标准是一个神奇的子弹。往往成为关注实现合规,通常在安全的成本。我的意思是,法规遵循需求是一个很好的起点,但它们不是终点线。美国能源部门有北美电力可靠性公司的CIP框架在一段时间,包括安全的指导框架。但是组织可能需要超越合规标准,以确保他们的组织,应该与数据驱动的威胁保持消息灵通的情报。

大多数网络威胁来自外部业务。然而,正如我们在2021事件反应的报告,概述了在大多数情况下Secureworks看到2021年由财务网络犯罪动机或敌对国家的演员,我们仍然看到网络犯罪的比例来自内部的威胁。在建立一个安全的姿势,CISOs和首席技术官不需要是完美的,他们只需要比他们面对的对手。

对于公用事业公司的高管,IT环境总是不断变化的,而你的操作技术环境往往是难以改变,专注于日常的连续性。这是一个力量。通过实现一个强大的安全基线,持续的监控和管理静态操作环境可以帮助你突出的网络和区域的变化或猜疑。特别是如果你有一个真正的扩展检测和响应(XDR)解决方案,让您的组织的“单一窗格玻璃”视图系统和安全。

马克:相比于其他敏感行业,能源行业如何率而言,准备未来网络威胁的演进?

r .抗起球:公用事业行业已经很长一段时间关注健康和安全,已经成功地降低风险和受伤员工。同样的方法可以应用于网络安全。就像实用程序创建健壮的安全控制,减轻事件的网站上,他们可以完成同样的成功与安全措施和长期投资网络安全计划。公司技术进化的理想时刻退一步看看网络犯罪在能源行业的影响可能会对客户的生活质量、声誉损失和难以置信的经济损失。一旦你考虑所有风险,投资的时间和资源在打击这不断发展的威胁是一个业务弹性和连续性决定职位这些公司未来的成功。

更多地了解Secureworks,雷夫抗起球和其他的工作Secureworks计数器威胁单元™(反恐组)的访问Secureworks在线和阅读他们2021事件反应:在审查。