OT世界中的網絡安全威脅與IT不同，因為其影響不僅僅是數據丟失、聲譽受損或客戶信任度下降。OT 網絡安全事件可能導致生產損失、設備損壞和環(huán)境泄漏，甚至生命損失。保護OT免受網絡攻擊需要一套不同于保護IT的工具和策略。IT和OT融合發(fā)展加速，許多工業(yè)系統都連接到公司網絡，可以訪問互聯網，并使用從連接的傳感器采集的數據和大數據分析系統來改進運營。OT和 IT這種融合和集成導致了越來越多的網絡風險，包括跨IT和OT的有效和有影響的網絡事件。歷史上對OT系統攻擊的典型事件和當前現狀表明，USB設備仍然是惡意行為者攻入OT網絡的主要手段之一。

USB 設備繼續(xù)帶來的風險仍然嚴重

《2021年霍尼韋爾工業(yè)網絡安全 USB 威脅報告》發(fā)現，從USB設備檢測到的威脅中有79% 有可能導致OT中斷，包括失去可見性和失去控制。

這份報告發(fā)現 USB 使用率增加了30%，而其中許多USB威脅 (51%) 試圖遠程訪問受保護的氣密設施?；裟犴f爾審查了2020 年來自其全球分析研究與防御 (GARD) 引擎的匿名數據，該引擎分析基于文件的內容，驗證每個文件，并檢測通過USB 傳入或傳出實際OT系統的惡意軟件威脅。

霍尼韋爾：工業(yè)企業(yè)應特別關注基于USB的網絡威脅

尤其是當組織越來越依賴這些便攜式存儲設備來傳輸補丁、收集日志等時。USB 通常是鍵盤和鼠標支持的唯一接口，因此無法禁用它，從而啟用備用USB端口。因此，存在在我們試圖保護的機器上插入外來設備的風險。

眾所周知，黑客會在他們所針對的設施內和周圍植入受感染的USB 驅動器。員工有時會發(fā)現這些受損的驅動器并將它們插入系統，因為這是確定其中一個驅動器上的內容的唯一方法——即使沒有任何標簽，如“財務業(yè)績”或“員工人數變化”。

2016 年，來自伊利諾伊大學、密歇根大學和谷歌的研究人員在他們的大學校園內隨機投放了297 個U 盤。據研究人員稱，“校園內廢棄的 U盤 98%被路人拿走，其中至少45% 的U盤連接到計算機檢查內容?！? 在同意回答研究人員問題的人中，只有13%的人表示他們“在打開閃存驅動器之前采取了特殊的預防措施。68%的人承認他們打開它時并沒有懷疑它可能包含什么”。雖然研究人員的實驗對用戶來說是安全的，但插入您遇到的USB 設備可能會產生嚴重后果。應該注意的是，USB存儲并不是唯一有風險的硬件：人機接口設備或一般的“HID”，例如鍵盤、鼠標、智能手機充電器或任何其他連接的對象，都可能被惡意行為者篡改。后果很嚴重：數據被盜或破壞、破壞、勒索贖金等。

惡作劇設備也是一種可怕的攻擊形式。USB Killer (https://www.darkreading.com/endpoint/rule-of-thumb-usb-killers-pose-real-threat/a/d-id/1337741) 攻擊只需將惡意驅動器插入目標工作站，就能夠在幾秒鐘內損壞無法修復的機器。這可以看作是第一次“電子”USB 攻擊。USB Killer包含一個由USB端口充電的小型電容器組，一旦充電(發(fā)生在幾分之一秒內)，就會將整個電力負載轉回數據線，從而對硬件造成各種損壞。有些人稱其為“惡作劇設備”，但在任何計算機上使用它——或者讓毫無戒心的用戶插入它——至少是一種滋擾。

史上經典攻擊案例的教訓

Stuxnet 可能是最臭名昭著的惡意軟件被 USB帶入隔離設施的例子。這種極其專業(yè)和復雜的計算機蠕蟲被上傳到一個氣隙核設施中，以改變可編程邏輯控制器 (PLC) 的編程。最終結果是離心機旋轉太快太久，最終導致設備物理損壞。雖然“sneakernet”這個詞可能是新的或聽起來很尷尬，但它指的是這樣一個事實，即 USB 存儲設備和軟盤等設備可用于將信息和威脅上傳到關鍵的OT網絡和氣隙系統中，只需網絡攻擊者親自攜帶它們進入設施并將它們連接到適用的系統。

TRITON 是第一個被記錄使用的惡意軟件，旨在攻擊生產設施中的安全系統。安全儀表系統 (SIS) 是工業(yè)設施自動化安全防御的最后一道防線，旨在防止設備故障和爆炸或火災等災難性事故。攻擊者首先滲透到 IT 網絡，然后再通過兩種環(huán)境均可訪問的系統轉移到 OT 網絡。一旦進入 OT 網絡，黑客就會使用 TRITON 惡意軟件感染 SIS 的工程工作站。TRITON 的最終結果是 SIS 可能會被關閉，并使生產設施內的人員處于危險之中。

BADUSB或者武器化的USB更可能是用戶的惡夢。因為USB驅動器不需要繞過公司的虛擬邊界防御。因為它直接進入用戶工作站。所有這些因素使它們成為網絡犯罪分子的便捷攻擊工具。他們使用包含預定義攻擊腳本的“惡意” USB 記憶棒。這反過來又允許他們訪問和復制用戶的數據，訪問他們的鍵盤和屏幕，這使他們能夠看到他們所做的一切，或者最終加密他們的數據以換取贖金。

2010 年左右 ，“橡皮鴨”USB 驅動器 (https://blog.teamascend.com/rubber-ducky)成為一個常見問題。Rubber Ducky 是一種特殊的 USB 驅動器，內置微控制器，可以秘密打開命令行，并通過冒充模擬 USB HID 鍵盤自動執(zhí)行攻擊。任何人仍然可以以大約50美元的價格購買這些設備。

2020 年， 一名俄羅斯網絡犯罪分子與特斯拉員工接洽，該犯罪分子提供100萬美元使用受感染的USB驅動器在公司 IT系統內傳播惡意軟件。如果該員工沒有通知FBI從而挫敗了這次攻擊，特斯拉可能會加入USB驅動器攻擊的一長串受害者名單。

加強防范意識和USB設備管控

現在，生產環(huán)境比以往任何時候都面臨來自惡意USB設備的網絡安全威脅，這些設備能夠繞過氣隙和其他保護措施從內部中斷操作。USB使用面臨威脅呈上升趨勢，因此評估OT 操作風險以及您當前對 USB 設備、端口及其控制的保護措施的有效性非常重要。

案例意識教育必不可少。大部分時候，好奇心會害死人。讓用戶了解惡意US 設備如何導致系統感染和數據丟失，并教他們如何避免這些威脅。從外部無法識別惡意USB介質。無論是在會議上贈送還是在公共場所被發(fā)現，重要的是要小心對待它們，因為任何不熟悉的 USB 閃存驅動器都有潛在的危險。

專用掃描站也是一種可選方案，在將任何未知的 USB介質連接到任何其他系統之前，應將其存放在那里進行檢測。這種機器的目的是分析 U盤并對其進行凈化，以保護公司的信息系統免受可能的惡意軟件的侵害。消毒后，如果USB閃存驅動器用于存儲和傳輸任何數據，建議使用加密解決方案。加密系統通過使可能竊取USB驅動器的任何人無法讀取它們來保護所有文件和個人信息。甚至還有一些帶有內置硬件加密的高安全性閃存驅動器，盡管它們通常比較昂貴。

參考資源：

1、https://www.darkreading.com/edge-articles/how-threat-actors-get-into-ot-systems

2、https://www.gdatasoftware.com/blog/2021/11/usb-drives-still-a-danger

來源：網空閑話