您所在的位置: 首頁 >
新聞資訊 >
技術前沿 >
2023上半年OT網(wǎng)絡安全態(tài)勢概覽
知名OT/IoT網(wǎng)絡安全廠商Nozomi Networks Labs于當?shù)貢r間8月1日發(fā)布了新的安全研究報告,對2023年上半年公共OT/IoT網(wǎng)絡安全事件的趨勢進行分析,報告的數(shù)據(jù)來自Nozomi Networks部署的真實遙測數(shù)據(jù)。該報告重點關注基于ICS漏洞、物聯(lián)網(wǎng)蜜罐數(shù)據(jù)以及OT環(huán)境攻擊統(tǒng)計數(shù)據(jù)的調(diào)查結果。Nozomi Networks Labs從涵蓋全球各種用例和行業(yè)的OT和物聯(lián)網(wǎng)環(huán)境中收集的獨特遙測數(shù)據(jù)發(fā)現(xiàn),與惡意軟件相關的安全威脅在過去六個月內(nèi)激增了10倍。在廣泛的惡意軟件和潛在有害應用程序類別中 ,活動增加了96%。與訪問控制相關的威脅活動增加了一倍多。身份驗證和口令衛(wèi)生不良連續(xù)第二個報告期位居嚴重警報列表之首,盡管該類別的活動比上一個報告期下降了22%。
威脅態(tài)勢趨勢
報告認為,OT/IoT網(wǎng)絡事件主要分為三類:機會性事件、針對性事件和意外事件。對過去六個月公開披露的攻擊的回顧發(fā)現(xiàn),機會主義攻擊仍然是最普遍的,并繼續(xù)通過DDOS嘗試淹沒流量,列舉用于初始訪問的常見弱點和漏洞,以及無論網(wǎng)絡域和目標系統(tǒng)如何的試錯惡意軟件菌株。
有針對性的攻擊繼續(xù)針對特定的、經(jīng)過充分研究的受害者組織、位置或兩者進行攻擊。威脅行為者還繼續(xù)尋求依靠陸地技術來逃避安全,并擴大偵察力度,以增加潛在利用、破壞和/或損害的嚴重程度。
意外影響(人為錯誤或超出范圍的攻擊影響了OT和物聯(lián)網(wǎng))雖然并不總是公開報道,但仍然相當常見,并且隨著互操作性繼續(xù)推動組織使命和業(yè)務決策,成本將變得更高。
自今年年初以來,Nozomi不斷看到來自多種類型的威脅行為者的高調(diào)網(wǎng)絡活動,其中主要是部署離地技術的勒索軟件團伙。這些技術易于獲取、能夠逃避檢測、高度適應性且支持自動化。
制造、能源、醫(yī)療保健、水和廢水處理行業(yè)尤其受到影響,政府和城市服務也受到干擾。除了勒索軟件之外,還出現(xiàn)了分布式拒絕服務 (DDoS) 攻擊以及2016年 Mirai僵尸網(wǎng)絡的新變種。在此期間的至少三起事件中,工業(yè)控制系統(tǒng)受到直接影響。
上半年,世界各國政府也一直致力于加強國家層面的網(wǎng)絡安全立法和關鍵基礎設施政策,包括美國國家網(wǎng)絡安全戰(zhàn)略及其后續(xù)實施計劃、歐盟NIS 2指令、安全網(wǎng)絡安全法案等。澳大利亞《關鍵基礎設施法》。
2023年上半年值得注意的網(wǎng)絡事件時間表。
OT/IoT中的攻擊行為趨勢
基于從涵蓋全球各種用例和行業(yè)的OT和物聯(lián)網(wǎng)環(huán)境收集的遙測數(shù)據(jù),Nozomi繼續(xù)跟蹤水處理設施中的大量網(wǎng)絡掃描指標、整個建筑材料行業(yè)的明文口令警報、工業(yè)中的程序傳輸活動機械、石油和天然氣網(wǎng)絡中的OT協(xié)議數(shù)據(jù)包注入嘗試等等。
總體而言,與不良身份驗證和口令衛(wèi)生相關的活動連續(xù)第二個報告期位居嚴重警報列表之首,盡管該類別的活動在過去六個月中下降了22%。具體到惡意軟件,拒絕服務 (DOS) 活動仍然是針對OT系統(tǒng)的最普遍的攻擊之一。其次是遠程訪問木馬 (RAT) 類別,攻擊者通常使用它來控制受感染的計算機。分布式拒絕服務 (DDoS) 威脅是物聯(lián)網(wǎng)網(wǎng)絡域中的首要威脅。惡意物聯(lián)網(wǎng)僵尸網(wǎng)絡今年仍然活躍,威脅行為者繼續(xù)使用默認憑據(jù)嘗試訪問鏈式物聯(lián)網(wǎng)設備。
“特洛伊木馬”和“雙重使用”是OT和IOT環(huán)境中最常檢測到的警報?!袄账鬈浖比匀皇瞧髽I(yè)/IT領域中常見的惡意軟件類別,對全球正常業(yè)務運營造成重大損害。在分析跨域惡意軟件時,“網(wǎng)絡釣魚”警報是多個域下最常見的威脅活動,通常用于竊取敏感信息并建立初始訪問,有時會部署惡意軟件來感染目標。
最常觸發(fā)的客戶警報因行業(yè)而異。雖然水處理設施出現(xiàn)了更多通常與授權掃描或威脅參與者探測相關的通用網(wǎng)絡掃描警報,但石油和天然氣領域的客戶更有可能遇到與OT協(xié)議數(shù)據(jù)包注入相關的警報。OT協(xié)議包注入涉及在錯誤的上下文中注入正確的協(xié)議包,例如以錯誤的順序發(fā)送正確的協(xié)議消息。總體而言,許多部門都具有相似的常見警報類型,例如不良的憑證管理、明文密碼識別和 TCP 洪水警報。
ICS漏洞態(tài)勢
根據(jù)CISA和美國國家漏洞數(shù)據(jù)庫的報告和編目,OT/ICS機器和設備中仍然存在數(shù)千個已知漏洞。威脅行為者繼續(xù)積極探測全球范圍內(nèi)的企業(yè)/IT、OT和物聯(lián)網(wǎng)網(wǎng)絡,并且其能力和復雜性以及增強的TTP不斷增長。他們繼續(xù)在網(wǎng)絡通信、硬件、軟件、供應鏈入侵以及供應商訪問和管理等方面尋找新的接入點。即使IT攻擊沒有侵入OT系統(tǒng),OT網(wǎng)絡和流程也經(jīng)常會受到對其所依賴的IT系統(tǒng)的攻擊的阻礙。
報告發(fā)現(xiàn),截至2023年,OT和物聯(lián)網(wǎng)設備中發(fā)現(xiàn)的漏洞數(shù)量仍然很高,其中許多漏洞被認為是關鍵和/或易于利用。制造業(yè)、能源和水/廢水處理行業(yè)仍然是最脆弱的行業(yè)。食品、農(nóng)業(yè)和化學品進入前五名,取代了運輸和醫(yī)療保健,而在Nozomi之前的六個月報告期內(nèi),運輸和醫(yī)療保健位居最脆弱的5個行業(yè)之首。
CISA發(fā)布641個常見漏洞和暴露 (CVE);
62家供應商受到影響;
頂級CWE中仍然存在越界讀取和越界寫入漏洞 - 兩者都容易受到多種不同的攻擊,包括緩沖區(qū)溢出攻擊;
另據(jù)SynSaber編制的數(shù)據(jù),2023年上半年,美國網(wǎng)絡安全和基礎設施安全局(CISA)共報告了670個ICS產(chǎn)品漏洞,低于2022年上半年報告的681個。在670個CVE中,88 個CVE的嚴重程度被評為“嚴重”,349個被評為“高”,215個被評為“中”,18個被評為“低”嚴重程度。與Nozomi的數(shù)據(jù)略有出入。
物聯(lián)網(wǎng)探測攻擊態(tài)勢
Nozomi Networks的分布式物聯(lián)網(wǎng)蜜罐每天都會發(fā)現(xiàn)成百上千個獨特的攻擊者IP地址。竊取憑據(jù)后使用的一些命令是通用的,是用于訪問正確的shel 或管理終端的命令。其他的則非常有趣,具有硬編碼的公共SSH密鑰,攻擊者將其添加到“可信密鑰”列表中。受信任的密鑰用于維護持久訪問,提供稍后通過SSH連接到受感染計算機的方法。從2023年1月到6月,Nozomi Networks蜜罐發(fā)現(xiàn):
平均每天發(fā)生813次獨特攻擊——5月1日的最高攻擊日達到1,342次;
主要攻擊者IP地址與中國、美國、韓國、臺灣和印度相關;
暴力嘗試仍然是獲取系統(tǒng)訪問權限的一種流行技術——默認憑據(jù)是威脅行為者獲取物聯(lián)網(wǎng)訪問權限的主要方式之一;
主要結論
威脅行為者繼續(xù)在經(jīng)濟收益或造成的破壞方面追求最大的投資回報率。機會主義攻擊持續(xù)存在,而定制的OT和物聯(lián)網(wǎng)威脅活動對于幾乎不容忍停機的流程所有者和運營商來說是一個明顯的風險。在一個日益增加的技術依賴性伴隨著固有風險的世界中,自動化水平的提高以及機器學習和人工智能功能的采用已經(jīng)引起了網(wǎng)絡防御者和對手的注意。
Nozomi Networks Labs致力于持續(xù)跟蹤工業(yè)和關鍵基礎設施安全不斷變化的威脅形勢。2023年下半年的關注點,主要包括:
在OT和物聯(lián)網(wǎng)設備中發(fā)現(xiàn)了大量漏洞,其中一些被認為是關鍵和/或易于利用的漏洞。
由于勒索軟件繼續(xù)困擾組織,醫(yī)療保健、能源和制造業(yè)仍然是威脅行為者的高度目標行業(yè)。
生成式人工智能模型用于幫助網(wǎng)絡安全防御者和威脅行為者機會主義攻擊:
利用漏洞、濫用憑證、初始訪問的網(wǎng)絡釣魚嘗試、DDOS嘗試和特洛伊木馬執(zhí)行。
參考資源
1、https://www.nozominetworks.com/blog/new-nozomi-networks-labs-report-august-2023/
2、https://www.nozominetworks.com/resources/iot-ot-cybersecurity-research-report-august-2023/
3、https://industrialcyber.co/reports/malware-activity-surges-threatening-ot-and-iot-environments-with-nation-states-criminals-hackers/
來源: 網(wǎng)空閑話plus