網絡安全技術商Waterfall Security Solutions公司行業安全副總裁Andrew Ginter日前指出，運營技術(OT)網絡目前面臨著Apache Log4j(CVE-2021-44228)漏洞帶來的風險。

該漏洞影響了全球數百萬臺Web服務器，使網絡攻擊者能夠將任意代碼注入互聯網上易受攻擊的Java應用程序。這一缺陷正在被網絡攻擊者廣泛利用。這就是世界各地的安全團隊都在爭先恐后地確定哪些Web應用程序可能存在Log4j漏洞，然后努力重建或升級這些系統的主要原因。

在互聯網上使用控制管道、電力系統或鐵路網絡的OT應用程序的企業通常具有網絡安全知識。那么，為什么這么多OT企業對Log4j漏洞如此擔心呢?

工業互聯網

一些關鍵基礎設施和制造商將他們的生產設施連接到工業互聯，這些通常是與Web服務和云服務的加密連接。這些連接穿透或繞過部署在互聯網和大多數自動化系統之間的六層防火墻。這就是問題所在，盡管這些企業可能已經完成了所有供應鏈的盡職調查。

企業通常會信任其軟件和云計算服務提供商。但是即使信任這些提供商，那么應該信任他們的網站嗎?供應商網站上的Web服務可能會受到威脅。而且OT網絡中的工業互聯網設備已經連接到這些有風險的云服務。

更糟糕的是，一旦復雜的勒索軟件組織或其他網絡攻擊者入侵工業供應商的Web服務，這些企業很難發現或清除Log4j漏洞，而網絡攻擊者將繼續嵌入OT網絡所連接的云服務中。

一旦這些網絡攻擊者有時間查看并弄清楚如何利用OT系統對這些云服務的信任，他們將能夠使用這些云服務將他們的網絡攻擊深入到工業基礎設施中。這種攻擊有可能同時危及數千個工業場所。

基于云計算的OT勒索軟件

Waterfall Security Solutions公司在供應鏈報告中預測了OT/ICS勒索軟件中OT供應鏈和基于云計算的攻擊行為。不幸的是，最近的網絡安全事件已經證明了這些預測。美國Colonial Pipeline公司和肉類包裝商JBS公司遭遇的勒索軟件事件表明，被勒索軟件關閉或破壞的關鍵基礎設施服務商更有可能支付上百萬美元的贖金。這使得關鍵基礎設施在未來更有可能成為勒索軟件攻擊者的目標。

遠程IT管理軟件廠商Kaseya公司遭遇的安全漏洞事件清楚地表明，勒索軟件組織有能力利用易受攻擊的云計算基礎設施同時對數千個目標發起攻擊。工業供應商的受損云服務對全世界的工業運營構成了巨大威脅，因此人們對Log4j漏洞感到十分擔憂。

保護OT網絡

大多數安全從業者的直覺是將傳統用于保護IT網絡免受勒索軟件侵害的安全工具和技術應用于OT網絡，但并不起作用。為什么會這樣?因為解決IT網絡上的勒索軟件威脅是美國國家標準與技術研究院(NIST)的“檢測、響應和恢復”支柱，也就是識別受影響的機器，隔離它們，擦除它們，從備份中恢復它們，然后重復操作。

這種方法在OT網絡出現的問題在于，網絡攻擊和不受控制的關閉措施可能會帶來物理方面的危險和損害。例如發電廠正在運行的重達百噸的渦輪機，其轉速為1200轉/分;煉油廠正在生產的六層樓高的催化裂化爐，里面充滿了高溫高壓的碳氫化合物，如果這些生產設施遭到破壞，后果不堪設想。而即使是大型建筑物中的自動扶梯突然關閉，也會對扶梯上的人員造成傷害。而依賴“檢測、響應和恢復”措施的一個主要問題是無法從備份中恢復生命、損壞的設備和生產損失。OT網絡通常具有事件響應能力，但這些能力只是在一定程度上減少了網絡攻擊和漏洞帶來的后果——防止漏洞和網絡攻擊才是OT網絡的首要任務。

為此，工業站點針對該問題應用的OT安全解決方案是單向網關。單向網關包括在物理上只能向一個方向推送信息的硬件——從關鍵OT網絡到互聯網。網關部署在互聯網和易受攻擊的OT網絡的工業互聯網設備之間。網關之所以有效，因為所有勒索軟件和其他網絡破壞攻擊都是信息——這就是“網絡”的含義。

因此，當網關在物理上能夠將信息推送到互聯網上工業供應商的云服務上，并且不能讓任何信息返回時，那么遭到破壞的云服務就不再對安全或可靠的工業運營構成威脅。

這種漏洞可能仍然對高效運營構成威脅，因為工業站點使用工業云服務是為了提高效率。但效率的暫時降低通常是可以容忍的風險，而對員工人身安全、公共安全和環境安全的威脅通常是不可接受的。

如何應對Log4j漏洞

歸根結底，Log4j漏洞是一個巨大的問題。云服務供應商(尤其是工業云服務供應商)需要仔細檢查他們曾經出現過漏洞的云計算和互聯網系統。所有這些系統以及與其相連的任何事物都有可能藏匿被網絡攻擊者和勒索軟件組織利用的漏洞。

工業企業需要轉移關注重點。這些企業可能正在詢問他的每一個軟件供應商，他們的產品是否使用Log4j或存在這個漏洞。一個更重要的目標是詢問所有工業云提供商，他們的云服務是否曾經受到和Log4j漏洞相關的攻擊。

不管這些措施如何查找或解決Log4j漏洞，尚未這樣做的工業企業應該考慮為OT系統部署基于硬件的、不可破解的保護措施，尤其是那些連接到互聯網的OT系統。而OT系統使用的云服務不可避免地會存在其他漏洞和其他危害。

需要記住的是，勒索軟件已經對Kaseya公司1500名客戶造成了危害。人們不希望勒索軟件組織或其他人通過Log4j漏洞或任何一個云系統漏洞關閉輸油管道或癱瘓發電廠等基礎設施。