OT 系統是勒索軟件的既定目標，其中的關鍵設備也是如此。公共和私營部門必須采取更全面的方法來保護這一層。

2021 年發生的大量引人注目的事件應該可以消除惡意行為者使用勒索軟件以工業控制系統 (ICS) 為目標的任何懷疑。

對這些系統的攻擊起源于數據密集型企業/IT 級別以及運營核心的控制室。隨著全球沖突在 2022 年提高世界各國政府和行業的威脅水平，威脅可能已經升高。

不幸的是，在 ICS 中提供足夠的安全控制方面，我們仍在追趕。現有最關鍵的差距在于設備級別：使我們的電網保持在線的執行器、傳感器、安全設備和電子控制單元 (ECU)、快速和安全的電信網絡以及在安全狀態下運行的制造工廠。

缺乏設備上的勒索軟件保護可能會導致單個設備受到威脅——或通過網絡橫向傳播導致多個設備鎖定。雖然我們尚未在現場看到此類攻擊的可靠證據，但很明顯，活動增加和揮之不去的安全漏洞使我們處于轉折點。嵌入式設備現在需要更多的勒索軟件保護。然而，將足夠的安全性提高到這個級別需要大量的時間和投資——遠遠超過開發和部署在這個級別有效的勒索軟件所需的時間。

去年的行政命令等指令是在多次備受矚目的攻擊之后發布的，有助于提高對 ICS 勒索軟件威脅的認識。但我審查過的任何指令或安全標準都遠遠不夠。勒索軟件和 ICS、固件和嵌入式設備安全性經常被討論。但到目前為止，政府和行業領導者尚未將這些部分整合成有效的指導或行動計劃。

在攻擊者通過將勒索軟件降低到 ICS 技術并降低到設備級別來破壞基本系統之前，我們可能還有時間。在攻擊者為我們提出理由之前，這三個事實應該提供改善保護的動力：

事實 1：固件不安全是一個嚴重的問題，尤其是對于嵌入式設備

在企業和控制室級別為設備和網絡帶來強大的安全控制已經花費了 20 年的大部分時間。我們還沒有將類似的控制擴展到直接在 ICS 物理過程中工作的嵌入式設備。

許多這些設備的固件是一個特別值得關注的問題。固件由直接與設備硬件交互的程序和數據組成，對設備的功能至關重要，但通常缺乏強大的保護。

事實 2：嵌入式設備是合法的勒索軟件目標

由于嵌入式設備通常包含有限的數據，因此勒索軟件攻擊似乎違反直覺。但有證據表明，攻擊者已將固件本身作為勒索軟件負載的目標，并且還將固件用作將勒索軟件傳播到其他敏感系統的手段。

許多關鍵的 ICS 設備在公開市場上出售，通常標有四位數的價格標簽。雖然需要高級技能來對它們進行逆向工程以發現可利用的漏洞，但惡意行為者已經證明他們有時間和資源來做到這一點，特別是當 ICS 勒索軟件攻擊的支出達到八位數時。

事實 3：已建立的保護措施不會阻止設備上的勒索軟件

大多數嵌入式設備都位于外圍防御和訪問控制之后，這導致人們在為它們提供基于主機的保護方面有些自滿。但這些設備的功能和與用戶交互的方式之間存在重要差異。

與對單個 PC 的攻擊不同，勒索軟件不會在嵌入式設備上激活，因為有人點擊了惡意鏈接或下載了勒索軟件有效負載。嵌入式設備入侵很可能是通過針對服務器和策略系統對企業采取大規模方法的攻擊的結果 - 這可以允許攻擊者直接向端點發送惡意命令而無需任何人工交互。

在最可能的情況下，這些命令將源自受感染的工程工作站或通過供應商監控/更新渠道，然后直接傳播，設備到設備，就像蠕蟲在 90 年代和 2000 年代所做的那樣。

如果勒索軟件在授權的通信路徑和協議上傳播，防火墻、基于角色的訪問控制和其他保護措施將無效。一旦設備遭到入侵，他們也無法阻止東/西勒索軟件的傳播，因為此活動將發生在受保護的范圍內。

為了提高安全標準，我們必須突出對嵌入式設備的勒索軟件威脅

我擔心一年后我們會處于同樣的境地，或者更糟的是，為了應對勒索軟件攻擊，我們將爭先恐后地升級設備上的安全性，這些攻擊會劫持我們的關鍵基礎設施或使其嚴重受損。為了避免這種情況，我們需要采取以下步驟：

認識到嵌入式設備面臨的更高威脅。在當前的全球動蕩中，威脅行為者被鼓勵在基本基礎設施中發現可利用的弱點。嵌入式設備通常是關鍵任務，因此是勒索軟件和其他網絡攻擊的合法目標。

在固件工程和安全方面投入更多資金。盡管達到此級別的攻擊的潛在嚴重性，許多行業仍然不愿意對固件的安全化進行深入投資。ICS 運營商必須為更高的安全性提出要求和預算，制造商必須為其產品帶來更多的原生保護。

確保供應鏈手頭有足夠的替換設備。在此級別的勒索軟件攻擊后，設備更換很容易成為恢復操作的唯一選擇。目前，如果許多設備在一次攻擊中失敗，供應鏈不太可能產生足夠的替代品。

備份設備配置。并非所有勒索軟件攻擊都會導致設備完全丟失。最終用戶應確保所有設備備份都是最新且可訪問的。

審核編輯 黃昊宇