您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
2024年工業(yè)控制系統(tǒng)(ICS)和運營技術(shù)(OT)威脅與風險預測
預計2024年工業(yè)網(wǎng)絡威脅形勢不會發(fā)生急劇變化。下面描述的大多數(shù)趨勢以前就已被觀察到,其中許多趨勢甚至已經(jīng)存在了很多年。然而,其中一些趨勢已經(jīng)達到了緩慢變化的臨界點,這可能導致威脅格局最早在明年發(fā)生質(zhì)的變化。
勒索軟件
2024年,勒索軟件仍將是工業(yè)企業(yè)的頭號禍患。
2023年,勒索軟件攻擊鞏固了其在工業(yè)企業(yè)信息安全威脅排行榜上的領(lǐng)先地位。從2023年上半年受網(wǎng)絡事件影響的組織的官方聲明中來看,至少六分之一的勒索軟件攻擊導致產(chǎn)品生產(chǎn)或交付停止。在某些情況下,攻擊造成的損失估計高達數(shù)億美元。目前,似乎沒有理由相信這種威脅會在不久的將來會減少。
【勒索軟件受災行業(yè)分布,圖源:卡巴斯基】
針對大型組織、獨特產(chǎn)品(設備、材料)供應商或大型物流和運輸公司的勒索軟件攻擊可能會造成嚴重的經(jīng)濟和社會后果。
如今,根據(jù)目標公司的數(shù)據(jù)顯示,不少于18%的針對工業(yè)企業(yè)的勒索軟件攻擊導致生產(chǎn)和/或產(chǎn)品交付中斷。此外,網(wǎng)絡犯罪分子在選擇受害者時明顯瞄準了“高端市場”,他們更傾向于以能夠支付巨額贖金的大型組織為目標。
這就造成了一種局面,即攻擊者可能故意或意外地再次越過界限,造成基礎(chǔ)設施級別的攻擊后果,就像Colonial Pipeline的情況一樣。另一個例子是,最近對迪拜國際集裝箱碼頭和供應鏈運營商 DP World的攻擊活動,導致墨爾本、悉尼、布里斯班和弗里曼特爾港口的工作陷入停頓,致使約 3萬個集裝箱無法交付。
勒索軟件市場正在走向高峰,隨后可能會出現(xiàn)下滑或停滯。
不過,潛在受害者不太可能在短期內(nèi)對攻擊免疫。但他們可以學習如何更有效地減輕影響(例如,通過更好地保護最機密的數(shù)據(jù),并制定適當?shù)膫浞莺褪录憫媱?。
如果這導致受害者支付的金額減少,網(wǎng)絡犯罪分子將不得不尋找新的目標類型和攻擊貨幣化方案。潛在的發(fā)展途徑包括以下幾條:
1. 對物流和運輸公司的攻擊可能不再針對支持運營的IT基礎(chǔ)設施,而是針對車輛本身(汽車、輪船)。
乍一看,停車場和車隊中種類繁多的車輛似乎阻礙了此類攻擊的實施,大大增加了攻擊者的開發(fā)成本。然而,攻擊的目標不是某個特定的車主或運營商,而是具有相同或類似內(nèi)部控制系統(tǒng)的多輛同類型車輛。
另一個促進攻擊的因素是車隊所有者和運營商額外為車輛配備了他們自己定制的遙測收集系統(tǒng),這些系統(tǒng)通常默認具有遠程控制功能(例如,遠程重新刷新固件或更改要收集的數(shù)據(jù)集)。汽車制造商和服務提供商有時也會這樣做。因此,這種攻擊向量是可行的。
在這種攻擊情況下,受害者將無法自行恢復運營,否則將產(chǎn)生使企業(yè)無法繼續(xù)生存的成本。恢復加密的IT系統(tǒng)的運行(例如,從備份中恢復)比解決一個技術(shù)上簡單的問題要容易得多,即使是影響分散在廣泛區(qū)域的車輛的問題(例如,刪除阻止車輛發(fā)動機啟動或切斷船舶內(nèi)部電力的惡意軟件)。公司可能會發(fā)現(xiàn)自己無法在不造成不可接受的經(jīng)濟損失的情況下及時自行恢復正常運營。
2. 同樣的攻擊向量也適用于在偏遠地點(例如礦業(yè)或農(nóng)業(yè)領(lǐng)域)作業(yè)的各種專用設備的所有者和運營商。
3. 多個偏遠地點的網(wǎng)絡安全問題也與石油和天然氣公司、公用事業(yè)以及任何具有高度分布式OT基礎(chǔ)設施的組織有關(guān)。對偏遠地點的攻擊排除了遠程恢復的可能性(例如,由于常規(guī)的遠程訪問通道被惡意軟件阻塞),從而保證了贖金的支付。
4. 非常規(guī)的貨幣化攻擊方式(例如,通過股市投機)針對經(jīng)濟上重要的企業(yè),如大型運輸和物流組織、大型礦業(yè)公司、材料制造商和供應商(如金屬、合金或復合材料)、農(nóng)業(yè)和食品產(chǎn)品、難以迅速彌補短缺的獨特/緊缺產(chǎn)品(如微型芯片或化肥)的供應商。
這些企業(yè)的產(chǎn)品供應中斷會嚴重影響其市場價格。除直接后果外,還可能產(chǎn)生連鎖反應和間接副作用。例如,Shamoon在攻擊沙特阿美石油公司(Saudi Aramco)后對全球硬盤價格產(chǎn)生了爆炸性影響,因為該公司出人意料地決定將所有受攻擊影響的計算機硬盤更換為新硬盤。
黑客行為主義者
在地緣政治分歧線上,出于政治動機的黑客行動主義將變得更加尖銳,并產(chǎn)生更具破壞性的后果。
我們都記得,親以色列的黑客組織聲稱對2021年伊朗鐵路和加油站遭受的黑客攻擊負責。去年,我們又看到了更多的案例:以色列的灌溉系統(tǒng)遭到襲擊,以色列制造的Unitronics Vision All-in-One(PLC與集成HMI)解決方案在美國和愛爾蘭遭到攻擊,2023年伊朗加油站也遭到攻擊。撇開公關(guān)效應不談,在所有這些案例中,負面影響的實際規(guī)模都相當有限。
這就是說,最近的黑客行為主義攻擊活動已經(jīng)證實了其攻擊OT系統(tǒng)的能力。在卡巴斯基 ICS CERT 今年調(diào)查的一些類似案例中,攻擊者只是稍微欠缺一些準備工作和毅力,才使受害者免于遭受物理損害。不斷升級的緊張局勢很可能會將出于政治動機的黑客攻擊提升到一個全新的威脅水平。
世界政治抗議黑客行為主義(cosmopolitical protest hacktivism)日益增長。
例如由引入新的社會文化和宏觀經(jīng)濟議程所驅(qū)動的,或者相反地,旨在反對引入新的社會文化和宏觀經(jīng)濟議程的抗議。一個與環(huán)境保護和綠色技術(shù)有關(guān)的例子是所謂的“生態(tài)黑客行為主義”(eco-hacktivism),如 Guacamaya Roja 黑客行為主義團體對危地馬拉一家礦業(yè)公司的攻擊。
黑客行為主義在全球范圍內(nèi)的全面興起,將激發(fā)更多的個人和團體開始為“無所謂的理由”,甚至“只是為了好玩”而戰(zhàn)。
具體案例可以參見今年黑客組織SiegedSec對愛達荷國家實驗室實施的攻擊活動。
【愛達荷國家實驗室鳥瞰圖。圖源:Sam Beebe via Flickr】
從灰色地帶走向陰影
廣泛使用“進攻性網(wǎng)絡安全”來收集網(wǎng)絡威脅情報將產(chǎn)生積極和消極的后果。
一方面,我們將看到企業(yè)安全方面的一些改進,因為進攻性網(wǎng)絡威脅情報將為用戶提供潛在威脅跡象,它并非像傳統(tǒng)的網(wǎng)絡威脅情報那樣,通過安全解決方案的遙測、事件研究、間接來源和暗網(wǎng)來獲取情報,還可以直接從攻擊者控制的基礎(chǔ)設施中獲取情報。這將使受害者能夠更快、更有效地恢復系統(tǒng)安全。
另一方面,進攻性網(wǎng)絡情報的發(fā)展在成為新規(guī)范(盡管沒有正式合法化,但在政府的默許下應用)的同時也將產(chǎn)生負面影響,因為灰色地帶與陰影之間的邊界可能過于模糊,越過它的誘惑可能難以抗拒。在一些國家的支持下,一些商業(yè)企業(yè)可能會嘗試從商業(yè)進攻性情報解決方案和服務提供商的幫助中受益,甚至可能不僅限于網(wǎng)絡安全目的。一些工業(yè)企業(yè)也可能參與其中。對于高度競爭的生態(tài)系統(tǒng)(例如建筑、采礦和能源以及許多其他工業(yè)部門),情況尤為如此。
這些“利益驅(qū)動”的網(wǎng)絡活動將比我們在APT活動中看到的更加精確。這些活動將主要使用商業(yè)和開源工具,這將使他們能夠在網(wǎng)絡犯罪攻擊普遍高發(fā)的背景下掩蓋自己的活動。因此,這些操作被發(fā)現(xiàn)和調(diào)查的幾率甚至會低于APT活動。
與物流和運輸相關(guān)的威脅
物流和運輸行業(yè)的快速自動化和數(shù)字化將導致:
1. 網(wǎng)絡犯罪和傳統(tǒng)犯罪更加緊密地交織在一起,特別是在由來已久的犯罪領(lǐng)域。
具體表現(xiàn)在以下方面:
● 汽車盜竊,適用于所有現(xiàn)代汽車,但尤其適用于亞洲品牌,預計也同樣適用于新汽車品牌,因為要迎合快速進入市場的激進戰(zhàn)略,新汽車品牌通常會將網(wǎng)絡安全成熟度作為首要犧牲的事項之一。
● 由網(wǎng)絡手段驅(qū)動的海盜和物流中斷——作為已知攻擊戰(zhàn)術(shù)和技術(shù)的合理延續(xù),如最近在紅海和印度洋對自動跟蹤系統(tǒng)(AIS)的攻擊,或者在2020年對伊朗Shahid Rajaee港口碼頭的攻擊。
● 利用網(wǎng)絡手段盜竊物品。
● 通過網(wǎng)絡手段進行走私——就像在Antwerp港臭名昭著的“十三羅漢”(Ocean’s Thirteen)案件中使用的戰(zhàn)術(shù)一樣。
● 其他物流和運輸欺詐,例如與保險索賠/取消罰款相關(guān)的款項,以及許多其他欺詐手段,有些難以預料,例如最近在波蘭一起案例中觀察到的利用DRM作為不公平競爭的手段。
2. 非針對性攻擊造成物理后果的可能性增加。
目前已經(jīng)有各類車輛感染惡意軟件的已知案例。如果我們展望不久的將來,由于“傳統(tǒng)”操作系統(tǒng)(如Android和Linux)在交通領(lǐng)域的采用,標準IT組件和通信協(xié)議的廣泛集成,以及涉及云服務連接的用例數(shù)量的增加,這種感染預計會成倍增加。其中一些可能會導致關(guān)鍵監(jiān)測和控制系統(tǒng)的故障,從而造成難以預測的后果。最重要的是,這種風險涉及河運、海運、卡車運輸和緊急運輸——這些車輛的信息安全情況通常不如客車。
參考資料:https://securelist.com/ksb-ics-predictions-2024/111835/
來源:FreeBuf