随着越来越多的企业通过将其工业流程连接到云计算来实现现代化,给攻击者提供了更多途径,通过勒索软件攻击来危害工业运营。
根据Claroty最新发布的报告,随着针对关键基础设施和工业企业的高调网络攻击将工业控制系统(ICS)安全问题提升为一个主流问题,工业控制系统的漏洞披露也急剧增加。
该报告涵盖了今年上半年披露的ICS和OT漏洞,不仅提供了关于工业设备中普遍存在的漏洞的数据,还提供了围绕它们的必要背景,以评估各自环境中的风险。
一、ICS安全研究和披露趋势
1. ICS漏洞披露
ICS漏洞披露正在显着加速,揭示了在运营技术(OT)环境中发现的安全漏洞的严重程度。2021年上半年披露了637个ICS漏洞,比2020年下半年披露的449个漏洞增加了41%。其中81%是由受影响供应商的外部来源发现的,包括第三方公司、独立研究人员、学者和其他研究组。此外,42名新研究人员报告了漏洞。
Team82在2021年上半年发现并披露了70个漏洞,超过了Claroty在2020年披露的所有漏洞。总的来说,Team82已经披露了超过150个影响ICS设备和OT协议的漏洞。
Team82的研究调查了影响该行业众多部门的各种供应商和产品。由于这些参数,Claroty还研究第三方产品。Team82在2021年上半年发现的70个漏洞影响了20家自动化和技术供应商。以下两个图表分别列出了受影响的供应商和ICS产品类型:
图1 Team 82发现的受影响的ICS供应商
图2 Team 82发现的受影响的ICS产品类型
2. 受影响的ICS产品
每个披露的漏洞都可标记为固件或软件漏洞。在某些情况下,一个漏洞会影响这两个方面的多个组件。在2021年上半年,大多数漏洞会影响软件组件,鉴于软件打补丁比固件打补丁相对容易,防御者有能力在其环境中优先打补丁。
在检查产品系列中的固件和软件漏洞时,重要的是要了解,虽然在可分为固件或软件的组件中发现漏洞,但需要考虑受其影响的产品。例如,HMI上可能存在易受攻击的软件配置,或者可能存在连接到泵的以太网模块。下图显示了受这些漏洞影响的产品系列,其类别如下所示:
图3 受影响产品细分
由于23.55%的漏洞影响普渡模型的运营管理(第三层)层级,这就解释了为什么许多漏洞影响软件组件。此外,发现的大约30%的漏洞影响普渡模型的基本控制(第一层)和监督控制(第二层)层级。当然,在影响这些层级时,攻击者也可以到达较低的层级并影响过程本身,这使其成为有吸引力的目标。
图4 工业控制系统普渡模型0-3层
图5 产品系列中的固件或软件漏洞分类
二、评估2021年上半年披露的所有ICS漏洞
在2021年上半年,发布了637个ICS漏洞,影响了76个ICS供应商。
图6 2021年上半年发现的ICS漏洞数量及影响厂商数量
下图分析了以第三方公司为首的外部来源披露的漏洞数量,在2021年上半年发现了341个漏洞(占53.87%)。这些公开的漏洞中,有许多是由网络安全公司的研究人员发现的,这表明,在IT安全研究的同时,重点也转移到了工业控制系统。需要指出的是,一些披露是多个研究小组之间的合作,或者不同的研究人员分别发现和披露了相同的漏洞,在2021年上半年有139个漏洞。
2021年上半年披露的637个ICS漏洞影响了76家供应商的产品,受影响的供应商数量比2020年下半年有所增加(59家),该数据2020年上半年为53家。
西门子是报告漏洞最多的供应商,共有146个漏洞,其中许多漏洞是西门子CERT团队进行的内部研究披露的,其次是施耐德电气、罗克韦尔自动化、WAGO和研华科技。
重要的是要认识到,受到大量公开漏洞的影响并不一定意味着供应商的安全状况不佳或研究能力有限。一个分配了大量资源来测试其产品安全性的供应商,很可能比一个忽略了在相同程度上检查其产品的供应商发现更多的漏洞。每个供应商的目录和安装基础也往往会影响其产品所披露的漏洞的数量。
图9 受漏洞影响的前五家供应商
在2021年上半年,其产品未受到2020年披露的ICS漏洞影响的20家供应商受到了2021年上半年披露的至少一个ICS漏洞的影响。
这些供应商中有六家专门从事医疗技术,三家专门从事自动化,两家专门从事制造业。影响这些新受影响的供应商(20个供应商中的16个)的漏洞是由先前披露漏洞的研究人员发现的。
图10 受漏洞影响的供应商
三、ICS漏洞带来的威胁和风险
虽然报告中的许多数字令人大开眼界,令人印象深刻,但确实说明了一种持续趋势:披露的漏洞数量及修补或缓解的漏洞持续呈上升趋势。这一增长背后有许多因素,首先是越来越多的研究人员正在寻找ICS产品和OT协议中的漏洞。
此外,在IT下集成了OT管理或将云引入OT的组织不仅提高了业务效率和分析能力,而且还在扩大了威胁攻击面,并将本不打算连接的设备暴露在互联网中。
最重要的是,深入研究了补丁和其他补救措施,包括供应商提供的缓解措施。软件漏洞的修补速度比固件漏洞高得多。在ICS和OT安全圈中,由于打补丁和产品更新需要停机时间,这在许多领域是无法接受的。因此,对于使用者来说,缓解措施具有重大意义。通过衡量供应商和行业CERT最推荐的缓解措施,发现网络分段和安全远程访问无疑是2021年上半年最主要的缓解措施。
随着气隙式OT网络成为过去,网络分段在缓解措施中占据了突出地位。虚拟分区(专为工程或其他面向流程的功能量身定做的特定于区域的策略)等技术也将成为不可或缺的缓解手段。
与此同时,安全远程访问是仅次于分段的首要缓解步骤。适当的访问控制和特权管理对于阻止下一个Oldsmar类型的事件有很长的路要走,更重要的是,防止以利润为导向的参与者通过IT和OT网络横向移动,窃取数据,并释放勒索软件等恶意软件。
针对固件修复的很少。几乎62%的固件漏洞没有得到修复或建议进行部分修复,而其中大多数漏洞都是部署在普渡模型第一层的产品中。
四、下半年值得关注的趋势
下半年会有三个重要的趋势:OT云迁移、针对关键基础设施和OT的勒索软件攻击,以及即将出台的美国网络立法。
1. OT云迁移
推动企业将云引入工业流程的势头是不可否认的。当公司开始从云计算管理OT和IT时,这种融合将带来许多共同的风险。
数据安全曾经是工业流程的一个风险较低的变量,但现在也将被提升为优先事项,特别是在监管严格的行业,组织不仅必须评估威胁,还必须评估风险。
例如,加密可能会使一些工具无法获得对网络资产的完全可见性。在气隙环境中,这可以被认为是可接受的风险,但一旦资产暴露在网上,情况就不同了。最好的做法是在传输过程中对数据进行加密,并在数据静止时进行加密,以确保在发生事故时能够充分恢复数据。随着公司开始将服务和应用放到云端,从第一层设备如PLC接收数据,这一点将尤为明显。
身份验证和身份管理也必须是组织的云OT深度防御计划的一部分。2019年新冠疫情大流行加速了远程工作,今年2月的Oldsmar事件已经证明了对系统访问和特权管理控制不力所带来的风险。
迁移到基于云的基础设施通常意味着组织基础设施(IT或OT)的一部分托管在第三方云提供商(如谷歌、Amazon和Microsoft)的远程 服务器 上。基础设施包括一个基于云的管理平台,以支持组织服务的不同用户,例如管理员或工程师。基于用户和角色的策略必须定义用户可以执行哪些功能,以及根据他们的角色拥有哪些特权。
云计算有三种类型:公共云计算、私有云计算和混合云计算。
2. 勒索软件和勒索攻击
虽然目前还没有看到勒索软件专门影响第一层设备,但攻击者已经成功地影响了工业运营。最著名的例子是针对Colonial Pipeline的攻击,在IT系统被勒索软件感染后,该公司非常谨慎地关闭了美国东海岸上下的燃料输送。
攻击者在使用勒索软件时变得更加谨慎,他们会搜寻他们认为最有可能支付高额赎金的受害者。虽然市政府、医疗保健和教育部门一度被认为是勒索软件攻击的目标,但大型制造企业和关键基础设施现在成了众矢之的。
另一种在以盈利为目的的攻击团体中流行的策略是高级入侵,即窃取敏感的业务或客户数据,以及公开泄露这些信息的威胁,同时可能会使关键系统受到勒索软件的感染。再次,攻击者把目标对准了可能满足他们需求的高价值组织。据称,Colonial Pipeline和JBS Foods都向威胁参与者支付了数百万美元加密货币,以恢复加密系统。
随着越来越多的公司将ICS设备连接到互联网并融合OT和IT,对网络资产的可见性至关重要,关于可能被攻击者利用的软件和固件漏洞的信息也是如此。例如,运行在基于Windows的机器上的工程工作站的缺陷,可能会让攻击者破坏IT和OT网络之间的这些交叉点,并修改流程,或者投放勒索软件,阻碍可能影响公共安全或国家安全的关键服务的提供。
除了传播钓鱼攻击的基于电子邮件的威胁外,防御者还需要关注安全的远程访问,以及在虚拟专用网络和其他基于网络的攻击载体中发现的漏洞集合。Team82数据中超过60%的漏洞可以通过网络攻击载体进行远程攻击。这强调了保护远程访问连接和面向互联网的ICS设备的重要性,并在攻击者能够在网络和域之间横向移动以窃取数据和丢弃勒索软件等恶意软件之前将其切断。
3. 悬而未决的美国网络立法
在2021年上半年,对Oldsmar、Colonial Pipeline和JBS Foods的攻击表明,关键基础设施和制造业暴露于互联网的脆弱性。这些攻击表明,攻击者可以找到弱点,改变公共饮用水中的化学物质含量,或者使用大宗商品勒索软件关闭燃料和食品运输系统。
这些恶意攻击活动也引起了美国政府的关注。许多政府支持的网络相关活动特别指出,工业网络安全对于国家安全和美国经济至关重要。
美国总统拜登在7月签署了一份关键基础设施国家安全备忘录,该备忘录建立了工业控制系统网络安全倡议,这是一项针对私营部门所有者和运营商的自愿行动,旨在使其系统与当前威胁保持一致。美国政府将在9月前制定性能目标,这些自愿计划将不可避免地成为强制性措施,以部署能够提供OT网络可视性和威胁检测的技术。
备忘录是在5月份签署的一项行政命令之后签署的,该命令旨在改善私营和公共部门之间的威胁信息共享、实现联邦网络安全标准的现代化,加强供应链安全、建立网络安全审查委员会,制定应对网络事件的标准手册,改进联邦网络上的事件检测,以及更好的调查和补救能力。
此前,为改善电网网络安全进行了为期100天的冲刺,这也强化了公共事业私营部门所有者和政府之间更好地共享信息的主题。拜登政府还通过TSA对殖民地管道事件做出了强烈反应,并发布了一项安全指令,要求提高管道网络的恢复能力,包括在检测后12小时内强制报告事件、定期进行脆弱性评估,以及防止勒索软件攻击。
展望未来,华盛顿的法案草案包括在事件发生后严格的报告要求。必须保持谨慎和耐心,确保这些规定不会给资源不足的小型公用事业和关键基础设施运营商,带来额外风险或不切实际的期望。
政府必须在识别和清除网络攻击者的目标与对公司监管之间取得平衡,而这些公司将从指导和资金中受益。此外,还必须了解OT漏洞管理的现实情况,以及在高可用性环境中为工业设备打补丁,或更新数十年未连接到互联网或更新的老设备所面临的挑战。
这是关键基础设施内的动态防御者必须面对的问题,以确保在没有立即修补选项的情况下,或在提供完整的软件或固件更新之前,能够为需要缓解措施的防御者提供缓解措施。
五、上半年关键事件
以下事件和趋势可能在一定程度上帮助塑造了2021年上半年的ICS风险和漏洞格局。
1. COLONIAL PIPELINE攻击事件
美国东海岸最大的汽油、柴油和天然气分销商Colonial Pipeline遭到勒索软件攻击,影响了石油和天然气运输。5月7日的停产对该行业造成了立竿见影的影响,因为东海岸大约45%的燃料由殖民地供应。停电导致汽油和家庭取暖油价格上涨,许多加油站燃料耗尽。这是殖民地公司57年历史上的第一次关闭。殖民地于5月13日恢复运营。
据称,俄罗斯网络犯罪集团DarkSide对此次攻击负责,该集团销售勒索软件即服务(RaaS)。DarkSide窃取敏感数据并勒索受害者,并威胁称,如果赎金要求得不到满足,就会公布这些数据。根据之前的报道,DarkSide似乎只寻找有能力支付高额赎金的受害者,他们声称不针对医疗机构、教育机构或政府机构。Colonial为此支付了440万美元的比特币赎金,但其中230万美元被美国政府追回,但据报道,攻击发生后不久,DarkSide就放弃了运营。
2. Oldsmar水利攻击事件
2月5日,佛罗里达州奥尔兹马尔的一个水处理设施遭到袭击。Oldsmar设施内的操作员检测到来自工厂外的两次入侵,第二次入侵涉及一名远程攻击者,该攻击者通过TeamViewer桌面共享软件连接,TeamViewer桌面共享软件是用于技术支持的合法远程访问解决方案。
远程攻击者将住宅和商业饮用水中的氢氧化钠含量,从百万分之100改变为百万分之1100。氢氧化钠(又名碱液)被添加到水中以控制酸度和去除某些金属。碱液也是下水道清洁剂中的主要试剂,是一种腐蚀性物质,如果食用就会有危险。
运营商切断了攻击者的连接,并在水处理系统固有安全措施的支持下,防止污染水进入公众。
3. JBS FOODS攻击事件
5月30日,全球最大的肉类供应商JBS遭到勒索软件攻击,导致澳大利亚、加拿大和美国的工厂关闭。美国的工厂关闭也导致近五分之一的肉类加工能力丧失。联邦调查局将这次攻击归咎于REvil,也被称为Sodinokibi。
Revil是一个提供RAAS的黑客组织。他们以敲诈巨额赎金、针对大公司、在加密之前窃取数据进行双重勒索而闻名,并将这些数据发布在一个名为Happy Blog的暗站上。
JBS维护一个备份系统,并能够使用它恢复操作以恢复数据。尽管如此,该公司为挽回损失,还是向攻击者支付了1100万美元的赎金。
什么是企业的精益化管理
精益管理源自于精益生产(lean production),是衍生自丰田生产方式的一种管理哲学。 精益管理由最初的在生产系统的管理实践成功,已经逐步延伸到企业的各项管理业务,也由最初的具体业务管理方法,上升为战略管理理念。 精益管理要求企业的各项活动都必须运用“精益思维” (Lean Thinking)。 “精益思维”的核心就是以最小资源投入,包括人力、设备、资金、材料、时间和空间, 准时地(JIT)创造出尽可能多的价值,为顾客提供新产品和及时的服务。 扩展资料精益管理的目标可以概括为:企业在为顾客提供满意的产品与服务的同时,把浪费降到最低程度。 业务流程管理的主旋律之一就是使最终产出(不管是实体产品还是无形服务)具有更好的一致性和稳定性,它更能适应按需生产的要求和消费理性提高对产品和服务的高水准要求。 精益生产依托于制造流程,而业务流程管理依托于业务流程,从这个方面讲BPM追求的是业务流程的精益,精益管理和BPM追求的目标是一致的。 参考资料来源:网络百科——精益管理
EDA 数字电子时钟的设计
你应该先设计一个使用门电路实现的数字电子钟。 然后再用FPGA实现它。
或者,你只是使用仿真设计软件,做一个使用门电路实现的数字电子钟。 并仿真运行它。
工程造价、建筑工程技术、工商管理、土木工程的区别和作用
工程造价是指进行某项工程建设所花费的全部费用。 工程造价是一个广义概念,在不同的场合,工程造价含义不同。 由于研究对象不同,工程造价有建设工程造价,单项工程造价,单位工程造价以及建筑安装工程造价等。 工程造价专业培养具有良好的科学素养,掌握工程造价的基础知识,熟悉工程造价全过程的管理,经过严格的实践技能训练,以工程施工阶段工程造价的编制与控制为重点的高级技术应用型人才。 工程造价专业毕业生主要从事建筑、安装、市政等施工阶段工程预算及工程结算与决算,工程审计与估价,定额编制与管理;还可从事工业与民用建筑工程的施工和组织管理、工程监理、工程招投标及项目管理等方面的工作。 工程造价专业 培养目标:本专业培养德智体美全面发展,具备扎实的高等教育文化理论基础,适应我国和地方区域经济建设发展需要,具备管理学、经济学和土木工程技术的基本知识,掌握现代工程造价管理科学的理论、方法和手段,获得造价工程师、咨询(投资)工程师的基本训练,具有工程建设项目投资决策和全过程各阶段工程造价管理能力,有实践能力和创新精神的应用型高级工程造价管理人才。 就业方向:学生毕业后能够在工程(造价)咨询公司、建筑施工企业(乙方)、建筑装潢装饰工程公司、工程建设监理公司、房地产开发企业、设计院、会计审计事务所、政府部门企事业单位基建部门(甲方)等企事业单位,从事工程造价招标代理、建设项目投融资和投资控制、工程造价确定与控制、投标报价决策、合同管理、工程预(结)决算、工程成本分析、工程咨询、工程监理以及工程造价管理相关软件的开发应用和技术支持等工作。 开设的主要课程:画法几何与工程制图、工程制图与 CAD 、管理学原理、房屋建筑学、建筑材料、工程力学、工程结构、建筑施工技术、工程项目管理、工程经济学、建筑工程计价、土建工程计量、安装工程施工技术、工程造价管理、建设工程合同管理、工程造价案例分析、电工学、流体力学、建筑电气与施工、安装工程计价与计量、建筑给排水与施工等。 授予学位:工学学士或管理学学士 建筑工程技术拥有一支理论基础坚实,教学和实践经验丰富,年龄结构合理的师资队伍,设有建筑工程技术、建筑工程项目管理、工程监理、道路桥梁工程技术、建筑施工等五个专业。 本专业主要开设建筑工程制图、建筑工程测量、建筑力学、建筑材料、房屋建筑学、地基与基础、钢筋混凝土结构、砌体结构、钢结构、建筑施工技术、建筑施工组织、建筑工程定额与预算等课程。 培养人才:培养拥护党的基本路线,德、智、体、美全面发展的基建生产第一线的,从事建筑结构设计、建筑工程施工与组织管理工作的应用型、复合型工程技术人才。 要求掌握房屋结构设计与计算的基本原理和方法,能独立完成八层和八层以下的民用建筑和单层工业厂房的结构设计; 熟悉建筑施工组织与管理的程序和方法,能运用建筑施工知识解决施工中的一般技术问题,具备施工操作的一般技能;了解计算机基本知识,能熟练运用计算机进行辅助设计。 主干学科:力学、结构工程;主干课程:材料力学、结构力学、钢筋混凝土结构、地基与基础、建筑施工;主要实践性教学环节:测量实习、毕业实习(施工实习)、结构课程设计、毕业设计工商管理英文名称:Industry & Business Administration(又译Business Administration)所属类别:管理学 [编辑本段]专业介绍工商管理学是研究盈利性组织经营活动规律以及企业管理的理论、方法与技术的学科。 这个专业的范围比较广,所学课程也较多,涵盖了经济学、管理学的很多课程,因此,工商管理是一门基础宽的学科,个人可以就此根据自己的爱好选择专业方向。 比如企业管理、市场营销、人力资源、企业投资等。 [编辑本段]业务培养目标本专业培养具备管理、经济、法律及企业管理方面的知识和能力,能在企、事业单位及政府部门从事管理以及教学、科研方面工作的工商管理学科高级专门人才。 [编辑本段]业务培养要求本专业学生主要学习管理学、经济学和企业管理的基本理论和基本知识,受到企业管理方法与技巧方面的基本训练,具有分析和解决企业管理问题的基本能力。 [编辑本段]毕业生应获得以下几方面的知识和能力1.掌握管理学、经济学的基本原理和现代企业管理的基本理论、基本知识;2.掌握企业管理的定性、定量分析方法;3.具有较强的语言与文字表达、人际沟通以及分析和解决企业管理工作和问题的基本能力;4.熟悉我国企业管理的有关方针、政策和法规以及国际企业管理的惯例与规则;5.了解本学科的理论前沿和发展动态;6.掌握文献检索、资料查询的基本方法,具有初步的科学研究和实际工作能力。 [编辑本段]主干学科经济学、工商管理 主要课程:管理学、微观经济学、宏观经济学、管理信息系统、统计学、会计学、财务管理、市场营销、经济法经营管理、人力资源管理、企业战略管理、企业财务管理、企业生产管理。 主要实践性教学环节:包括课程实习、毕业实习,一般安排10--12周。 修业年限:四年 授予学位:管理学学士
发表评论