以色列现身说法,被勒索的工业--SCADA/PLC成重点攻击目标,能源行业最惨...

作者 | 物联网智库2023-10-19

2020年，一个名为耶路撒冷电子军(Jerusalem Electronic Army)的黑客组织在社交媒体上发布了几条帖子，声称已经破坏了属于以色列公共供水基础设施的控制系统。以色列国家网络局(INCD)发出安全警报，要求能源和供水部门立即更改所有联网连接控制系统的密码，减少联网连接，并确保安装最新版本的控制器。

后续的媒体报道披露了该次安全攻击事件的一些细节，值得关注的是黑客将SCADA(数据采集与监控)系统作为攻击目标——工业从业者都知道，数据采集和监测控制是工业过程中极为重要的环节，它能帮助管理者实时发现生产问题并调整生产计划。可以说，作为工业控制系统重要组成部分的SCADA的安全至关重要，一旦遭遇黑客攻击，轻则某个工业领域受到重创，重则整个国家关键基础设施瘫痪。

好消息是，该组织最终没有扰乱或破坏以色列的供水，而是在展示自己的能力，试图发表政治或文化声明。不过，类似的事件已经在全球范围为工业运营的网络安全敲响了警钟。

上个月，罗克韦尔自动化(Rockwell Automation)发布了名为《工业运营中100多起网络安全事件解剖》的调研报告，该份报告分析了122起网络安全事件，其中包括对OT/ICS(工业控制系统)的直接威胁，每起安全事件都收集和审查了近100个数据点。

根据对这些安全事件的分析，关键发现如下：

在过去短短几年的时间内， OT/ICS 安全事件已超过 1991 年至 2000 年期间报告的总数。

能源行业受到的安全攻击最为集中(39%)，受到攻击的频率是排行第二垂直行业的三倍多。

网络钓鱼仍然是最为流行的攻击技术 (34%)，这突显了安全策略(例如气隙、网络分段、隔离、零信任和安全意识培训)对于降低风险的重要性。

在超过一半的 OT/ICS 安全事件中，SCADA系统都被作为攻击目标 (53%)，PLC则是第二常见的攻击目标 (22%)。

超过 80% 的威胁者来自外部组织，但在大约三分之一的安全事件中，内部人员无意中为威胁者打开了大门。

在报告调研的 OT/ICS 安全事件中，60% 导致运营中断，40% 导致未经授权的访问或数据泄露。然而，安全攻击的损害超出了受影响的企业范围，因为更广泛的供应链在 65% 的情况下也会受到影响。

研究表明，在大多数OT事件中，攻击者首先进入IT网络。所以加强 IT 系统的安全对于打击关键基础设施和制造设施的网络攻击至关重要。

本文将对报告的精华内容进行编译：

关键发现(1)

在最近短短几年的时间里，OT/ICS 安全事件已超过 1991 年至 2000 年期间报告的总数。

在2022年，报告显示，针对Modbus/TCP端口502(一种常用的工业协议)的对抗性侦察增加了2000%，这可能允许黑客控制物理设备并破坏OT操作。

安全攻击事件的数据和频率增加，不仅是因为确实有更多目标遭受其害，还因为有更好的检测工具和能力来帮助识别安全攻击事件。

下图具体显示了该份报告分析的122起网络安全事件的调查结果。

罗克韦尔自动化发现：

美国和整个欧洲对OT网络安全的监管正越来越强，尤其是对涉及关键基础设施领域的行业。更强的监管意味着工业组织应该评估他们目前的网络安全保护措施是否存在潜在漏洞，增加更多的主动安全措施以更好地保护他们的工业运营。

关键发现(2)

在本报告分析的所有安全事件中，60%的OT/ICS事故会导致运营中断。

40%的OT/ICS事故会导致未经授权的访问或数据暴露。

在超过一半的OT/ICS安全事件中，SCADA系统都是攻击目标，其次的目标是PLC。中钢协和美国国家安全局在一份OT网络安全咨询报告中对PLC的攻击提出了警告。

更广泛的供应链在大约65%的时间内也会受到影响。一家日本汽车制造商暂停了14家工厂的28条生产线的运营，至少持续了一天。此前，该公司的一个关键供应链合作伙伴——一家塑料零部件和电子元件制造商——疑似遭到了网络攻击。

关键发现(3)

如下图所示的数据，能源行业受到的安全攻击最为集中(39%)，受到攻击的频率是排行第二垂直行业的三倍多。正如所报道的那样，基础设施受到攻击后可能造成的巨大影响也为勒索软件和敌对势力创造了更大的机会。然而，发电厂、变电站和相关基础设施也在逐步老化，其中许多甚至是在50年前建成的，旧的基础设施显然在安全控制方面有所不足。

美国政府已经认识到越来越多针对供水和废水处理部门的安全事件，并在相关部门和其他关键基础设施部门实施了应急法规。

监管机构加强报告要求是全球趋势。政府正在强迫公共和私营实体披露安全攻击事件、数据被盗和赎金支付情况。欧盟的一项此类法规是《安全网络和信息系统指令》。

关键发现(4)

超过80%的安全事件都始于IT系统的威胁。这可以归因于不断增加的互联性;大多数OT网络通过IT网络与外界通信。此外，攻击者越来越多地利用面向互联网的系统，如人机界面(HMIs)和工程工作站应用程序，这些都是主要的攻击目标。

这强调了在工业互联不断增加的时代，建立正确的网络架构以支持企业安全的重要性。如果不正确地设置网络、将OT网络分隔并进行气隙隔离，以及采用其他最佳实践，如不断进行员工安全意识培训，告知他们攻击的潜在风险会增加。

罗克韦尔自动化建议：

随着安全意识的进一步进化，对更强大的OT安全保护的需求也在增加。仅仅在IT和OT环境之间设置防火墙不再足以有效地分隔IT和OT网络以防止攻击。远程访问也是如此，攻击者经常能够轻易地规避标准做法，比如密码。如果没有更强大的保护措施，终端设备将有可能被渗透。必须考虑额外的对策，包括一个明确定义的事件响应计划，可以帮助您的组织迅速应对和从网络安全事件中恢复元气。

关键发现(5)

超过80%的攻击者来自组织外部。

内部人员在超过三分之一的安全事件中扮演了一个“间接”的角色。内部人员的“间接”角色主要是成为钓鱼攻击的受害者。

在Cyentia的研究中，将近60%的攻击者来自与国家相关的团体。许多攻击者的身份和地理位置都被隐藏起来。威胁行为者付出了巨大的努力来掩盖这些信息。

报告显示，发起安全攻击最常见的动机是政治或经济驱动。

关键发现(6)

在本报告选取的样本中，归因于国家相关团体的攻击比其他研究更高，几乎占所有攻击的60%。在其他研究中——比如Cyentia研究院发现，只有略超过1%的网络攻击事件可以归因于国家行为。

然而，令人惊讶的是，考虑到国家相关团体通常想要影响关键基础设施、供应链、从关键系统中窃取数据，或者只是让OT系统脱机，上述结论并非不合逻辑。

在2020年一次臭名昭著的攻击中，俄罗斯政府支持的黑客利用系统漏洞入侵了200多个系统。攻击者使用来自至少三个组织的凭证来执行攻击，影响了多个美国政府系统、北约、英国和欧盟系统。结果，美国对俄罗斯实施了制裁。而渗透和泄露国际政府数据的影响需要数年时间才能完全消解。

关键发现(7)

钓鱼在初始访问(攻击)技术中一直占据着最简单、最成功的地位。钓鱼已经发展到包括电子邮件、在线、短信/文本消息和语音/电话等多个领域，使其成为网络犯罪分子的强大武器。

外部远程服务在IT和OT事件的初始访问方法中排名第二。虽然其意图是为合法用户提供远程访问权限，但自2020年以来，这已成为攻击者的入口。

智能目标：随着攻击者的技术水平提升，网络上的任何“智能”设备都可能成为攻击目标。使用实时网络资产清单、全天候威胁检测以及有关可移动媒体的适当策略和程序等最佳实践，有助于防止IT攻击转向OT，从而有可能关闭组织的供应链、流程，甚至整个物理工厂。

关键发现(8)

根据MITRE的说法，“ATT&CK for ICS侧重于那些以攻击工业控制系统为主要目标，试图干扰工业控制流程、破坏财产或通过攻击工业控制系统来对人类造成临时或永久伤害或死亡的对手。”

在IT环境中，攻击通常从网络发现开始，这用于帮助攻击者了解资产的位置以及如何访问它们。

在OT领域，攻击者通常试图直接影响工业流程。许多人试图以获取金钱为目的，比如赎金，或是追求其他涉及经济或军事优势的结果。2022年，美国境内威胁行为者攻击工业组织的数量增长了35%，导致同一时期内数据泄露事件增加了87%。

攻击者使用横向工具传输，利用远程服务和标准应用层协议来操纵操作员的视图，并且在许多情况下接管特定的OT进程。

关键发现(9)

数据泄露对企业的影响最大。

当发生破坏业务的攻击时，影响是广泛的。即使没有wannacry式的事件，组织也会受到负面影响。

让我们来看看这些ATT&CK分类的影响——首先，我们从MITRE企业框架进行比较。在“通过C2通道外传”的攻击中，攻击者窃取数据，然后使用现有的命令和控制通道将数据外传，这是此类事件影响企业运营的主要方式。

另外两种攻击类型，“数据加密影响”和“数据破坏技术”，是网络攻击影响企业的前三种方式。总的来说，下图中显示的前三种MITRE攻击和攻击技术最常与勒索软件攻击相关联。

关键发现(10)

“操纵视图”和“操纵控制”是影响ICS环境的前两种主要方法。

进一步看，排名前三的ICS ATT&CK分类之一是“生产力和收入损失”。当我们将这种方法与先前提到的“操纵视图”和“操纵控制”的攻击类型联系起来，可以清楚地看到在这些事件中供应链可能会受到影响。如果恶意用户操纵了负责生产的OT/ICS系统的视图和控制，他们还可能渗透并影响组织合作伙伴、供应商和客户的整个产品供应链。

当我们回顾在非能源领域使用的技术时，供应链影响是最常见的三个结果之一。这种深远的影响，远远超出了组织的边界，因此对于各行各业的组织来说，保护自身免受网络攻击极其重要。