2017年整体形势
工业系统信息安全在2017年受到巨大挑战。目前为止,安全研究员发现并报告了数百个新漏洞,并警告称工控系统(ICS)和技术过程中可能出现的新威胁途径。
除此之外,安全研究员提供了工业系统遭遇意外感染的数据,并检测到了针对性攻击(例如Shamoon 2.0/StoneDrill)。
自从震网蠕虫病毒Stuxnet出现以来,研究人员首次发现针对武器系统的“网络武器”:CrashOverride/Industroyer。
2017年工业系统面临的最严重威胁则是加密勒索软件攻击。卡巴斯基实验室ICS CERT(工控系统计算机应急响应小组)发布的报告显示,专家在2017上半年发现了33个不同的加密勒索软件家族。全球63个国家遭遇了数起勒索软件攻击。WannaCry和ExPetr这类破坏性勒索软件攻击似乎彻底改变了工业企业对保护重要生产系统的看法。
2018年预测
1. 普通及意外恶意软件感染数量将会增加
除了少数例外,网络犯罪组织尚未想出简单可靠的计划应对工业信息系统遭遇的普通攻击。据卡巴斯基实验室预测,2018年,由“普通”恶意软件针对工业网络发起的意外感染事件将会继续发生,其目标是传统的网络犯罪目标,例如企业网络。与此同时,此类情形可能会给工业环境造成更加严重的后果。尽管安全界一再发出警告,但定期更新工业系统和企业网络软件的问题仍未得到解决。
2. 针对性勒索软件攻击风险将加剧
WannaCry和 ExPetr攻击使网络专家和网络犯罪分子认识到,运营技术(OT)系统比IT系统更易遭受攻击,并且经常暴露在互联网上。此外,恶意软件给OT系统造成的损害可能会比相应的企业网络更严重,同时阻止OT系统的网络攻击困难得多。当OT基础设施遭遇网络攻击时,工业组织机构及员工的表现差劲。所有这些因素均促使工业系统成为勒索攻击的理想目标。
3. 工业网络间谍事件将增多
随着有组织的勒索软件攻击对工业企业带来的威胁与日俱增,可能引发另一类网络犯罪:窃取商业信息系统的数据以备后用,用于准备并实施针对性攻击,包括勒索软件攻击。
4. 地下黑市攻击服务、黑客工具市场繁荣
地下黑市活动将专注于提供攻击服务和黑客工具。近年来,黑市工控系统0Day漏洞利用的需求日益旺盛。这就说明,网络犯罪正在酝酿针对性的网络攻击。预测2018年此类需求将增加,刺激黑市需求增长将出现新的细分市场,包括ICS配置数据、从工业公司窃取得得来的ICS凭证、带有工业节点的僵尸网络等。对物理对象和系统发起先进的网络攻击需具备ICS和相关行业的专业知识。
据卡巴斯基实验室预测多项服务将驱动ICS黑市增长,例如:
- “恶意软件即服务”(Malware-as-a-Service)、
- “攻击途径设计即服务”(Attack-Vector-Design-as-a-Service)、
- “攻击活动即服务”(Attack-Campaign-as-a-Service)。
5. 新型恶意软件和恶意工具
2018年可能会出现针对工业网络和资产的新型恶意软件,其功能可能包括躲避检测的隐蔽功能,只在安全性欠佳的OT基础设施中激活等功能。另外,还可能出现针对较低级别的ICS设备和物理资产的攻击,例如泵、电源开关。
6. ICS威胁分析报告的利用与“犯利用”
犯罪分子将利用安全厂商发布的ICS威胁分析报告。研究人员一直在研究针对工业资产和基础设施的各种攻击方式,并对发现的恶意工具进行分析,最终会发布分析报告,研究人员为此做出的努力有利于防御此类攻击,但同时这也可能会给网络分子提供机会。
例如,披露的CrashOverride/Industroyer工具可能会激发激进黑客对电力和能源设施发起DoS攻击、勒索软件攻击,甚至策划停电活动。此外,可编程逻辑控制器(PLC)蠕虫概念可能会激发犯罪分子开发恶意蠕虫。犯罪分子还可能提出其它感染PLC的概念。关键是,现有的安全解决方案可能检测不到这些恶意软件。
7. 国家法规将会发生变化
2018年,各国将有必要采用大量不同的工业系统网络安全法规。
例如,拥有关键基础设施和工业资产的企业将必须执行更多安全评估工作。这样做有利于加强保护,且有利于增强安全意识。
8. 工业网络保险将扩大覆盖范围
工业网络保险将随形势变化扩大覆盖范围,工业企业也会加大网络保险投入。工业网络保险日益成为工业企业风险管理不可或缺的一部分。之前,网络安全事件的风险被排除在保险合同之外。但是,这种情况正在发生变化,网络安全公司和保险公司不断推出新方案。2018年,这种现象将促使相关方加强审计/评估和事件响应工作,增强工业企业管理层和操作人员的网络安全意识。