今日彙整幾個會搞混的「Remote Service」,分別有可遠端連線的服務、直接暴露在外網的服務、用第三方軟體/程式可提供連線的服務、從 IT 進入到 OT 網路的遠端服務。
工控網路內的設備開啟可遠端連線的服務(如遠端桌面 RDP、SMB、SSH),而這些服務遭受到駭客利用,導致駭客可以進行遠端連線到工控網路內部或是傳輸敏感資料。常見提供遠端服務的工控設備如 HMI 或工程師的工作站,也會提供圖形化介面( RDP 或 VNC )加以連線,若駭客進入這些設備,還有機會橫向移動到其他機器。
在工控場域內部可能有設備直接對外,暴露於公開網路中,這些設備可能是因為設定失誤導致暴露在外,這些設備可以透過 nmap 等掃描工具,發現這些設備,並且利用已知漏洞進行攻擊或是透過暴力破解密碼的方式,甚至設備本身沒有防護機制(身分驗證),因此當服務直接暴露於外網中,將導致任何人可以瀏覽、操作設備功能。
工控場域若使用外部遠端服務如 VPN、Citrix,透過這些服務進行身分驗證(帳號密碼驗證後)可進入工控網路,因此惡意攻擊者的目標為 VPN,包含 VPN 帳號密碼竊取、利用已知漏洞攻擊 VPN 軟體。
攻擊者透過蒐集資訊了解工控網路內部有哪些軟體、設備、作業系統,並透過軟體漏洞、作業系統已知漏洞進行攻擊。如著名的攻擊為 WannaCry 透過 SMB 相關的漏洞,從 IT 網路攻擊到 OT 網路產生重大危害。