嵌入式设备仍然容易受到勒索软件威胁

OT 系统是勒索软件的既定目标，其中的关键设备也是如此。公共和私营部门必须采取更全面的方法来保护这一层。

2021 年发生的大量引人注目的事件应该可以消除恶意行为者使用勒索软件以工业控制系统 (ICS) 为目标的任何怀疑。

对这些系统的攻击起源于数据密集型企业/IT 级别以及运营核心的控制室。随着全球冲突在 2022 年提高世界各国政府和行业的威胁水平，威胁可能已经升高。

不幸的是，在 ICS 中提供足够的安全控制方面，我们仍在追赶。现有最关键的差距在于设备级别：使我们的电网保持在线的执行器、传感器、安全设备和电子控制单元 (ECU)、快速和安全的电信网络以及在安全状态下运行的制造工厂。

缺乏设备上的勒索软件保护可能会导致单个设备受到威胁——或通过网络横向传播导致多个设备锁定。虽然我们尚未在现场看到此类攻击的可靠证据，但很明显，活动增加和挥之不去的安全漏洞使我们处于转折点。嵌入式设备现在需要更多的勒索软件保护。然而，将足够的安全性提高到这个级别需要大量的时间和投资——远远超过开发和部署在这个级别有效的勒索软件所需的时间。

去年的行政命令等指令是在多次备受瞩目的攻击之后发布的，有助于提高对 ICS 勒索软件威胁的认识。但我审查过的任何指令或安全标准都远远不够。勒索软件和 ICS、固件和嵌入式设备安全性经常被讨论。但到目前为止，政府和行业领导者尚未将这些部分整合成有效的指导或行动计划。

在攻击者通过将勒索软件降低到 ICS 技术并降低到设备级别来破坏基本系统之前，我们可能还有时间。在攻击者为我们提出理由之前，这三个事实应该提供改善保护的动力：

事实 1：固件不安全是一个严重的问题，尤其是对于嵌入式设备

在企业和控制室级别为设备和网络带来强大的安全控制已经花费了 20 年的大部分时间。我们还没有将类似的控制扩展到直接在 ICS 物理过程中工作的嵌入式设备。

许多这些设备的固件是一个特别值得关注的问题。固件由直接与设备硬件交互的程序和数据组成，对设备的功能至关重要，但通常缺乏强大的保护。

事实 2：嵌入式设备是合法的勒索软件目标

由于嵌入式设备通常包含有限的数据，因此勒索软件攻击似乎违反直觉。但有证据表明，攻击者已将固件本身作为勒索软件负载的目标，并且还将固件用作将勒索软件传播到其他敏感系统的手段。

许多关键的 ICS 设备在公开市场上出售，通常标有四位数的价格标签。虽然需要高级技能来对它们进行逆向工程以发现可利用的漏洞，但恶意行为者已经证明他们有时间和资源来做到这一点，特别是当 ICS 勒索软件攻击的支出达到八位数时。

事实 3：已建立的保护措施不会阻止设备上的勒索软件

大多数嵌入式设备都位于外围防御和访问控制之后，这导致人们在为它们提供基于主机的保护方面有些自满。但这些设备的功能和与用户交互的方式之间存在重要差异。

与对单个 PC 的攻击不同，勒索软件不会在嵌入式设备上激活，因为有人点击了恶意链接或下载了勒索软件有效负载。嵌入式设备入侵很可能是通过针对服务器和策略系统对企业采取大规模方法的攻击的结果 - 这可以允许攻击者直接向端点发送恶意命令而无需任何人工交互。

在最可能的情况下，这些命令将源自受感染的工程工作站或通过供应商监控/更新渠道，然后直接传播，设备到设备，就像蠕虫在 90 年代和 2000 年代所做的那样。

如果勒索软件在授权的通信路径和协议上传播，防火墙、基于角色的访问控制和其他保护措施将无效。一旦设备遭到入侵，他们也无法阻止东/西勒索软件的传播，因为此活动将发生在受保护的范围内。

为了提高安全标准，我们必须突出对嵌入式设备的勒索软件威胁

我担心一年后我们会处于同样的境地，或者更糟的是，为了应对勒索软件攻击，我们将争先恐后地升级设备上的安全性，这些攻击会劫持我们的关键基础设施或使其严重受损。为了避免这种情况，我们需要采取以下步骤：

认识到嵌入式设备面临的更高威胁。在当前的全球动荡中，威胁行为者被鼓励在基本基础设施中发现可利用的弱点。嵌入式设备通常是关键任务，因此是勒索软件和其他网络攻击的合法目标。

在固件工程和安全方面投入更多资金。尽管达到此级别的攻击的潜在严重性，许多行业仍然不愿意对固件的安全化进行深入投资。ICS 运营商必须为更高的安全性提出要求和预算，制造商必须为其产品带来更多的原生保护。

确保供应链手头有足够的替换设备。在此级别的勒索软件攻击后，设备更换很容易成为恢复操作的唯一选择。目前，如果许多设备在一次攻击中失败，供应链不太可能产生足够的替代品。

备份设备配置。并非所有勒索软件攻击都会导致设备完全丢失。最终用户应确保所有设备备份都是最新且可访问的。

审核编辑 黄昊宇