2024年工业控制系统(ICS)和运营技术(OT)威胁预测

醉关公

微信公众号：计算机与网络安全
卡巴斯基预计工业网络威胁形势在 2024 年不会发生急剧变化。下面描述的大多数趋势以前就已经观察到了，其中许多趋势已经存在了多年。但是，其中一些趋势已经达到了缓慢变化的临界点，这可能导致威胁格局最早在明年发生质的变化。




勒索软件

• 2024年，勒索软件仍是工业企业的头号祸患。
  2023年，勒索软件攻击巩固了其在工业企业信息安全威胁排行榜上的前排地位。从2023年上半年受网络事件影响的组织的官方声明中可以看出，至少六分之一的勒索软件攻击导致产品生产或交付停止。在某些情况下，攻击造成的损失估计高达数亿美元。目前，没有理由相信这种威胁在不久的将来会减少。
  
• 针对大型组织、提供独特产品（设备、材料）的供应商或大型物流和运输公司的勒索软件攻击可能会造成严重的经济和社会后果。
  目前，据受攻击的公司称，不少于18%的针对工业企业的勒索软件攻击导致生产和/或产品交付中断。此外，网络罪犯在选择受害者时明显瞄准高端市场，更倾向于攻击能够支付巨额赎金的大型组织。
  就造成了这样一种局面，攻击者无论是故意还是意外地可能再次越过界限，导致攻击后果成为基础设施级别的，就像科洛尼尔管道被攻击案例一样。另一个例子是，总部位于迪拜的国际集装箱码头和供应链运营商 DP World 最近遭到攻击，导致墨尔本、悉尼、布里斯班和弗里曼特尔港口的工作陷入停顿，约 30,000 个集装箱无法交付。
  
• 勒索软件市场正在走向高峰，随后可能会出现下滑或停滞。潜在受害者不太可能在短期内对攻击免疫。不过，他们可以学会更有效地减轻影响（例如，通过更好地保护最机密的数据，并制定适当的备份和事件响应计划）。
  如果这导致受害者支付的金额减少且频率降低，网络罪犯将不得不寻找新的目标类型和攻击变现方案。可能的发展途径包括：
  

对物流和运输公司的攻击可能不再是针对支持运营的IT基础设施，而是针对车辆本身（汽车、轮船）。
乍一看，停车场和车队中的车辆种类繁多，似乎阻碍了此类攻击的实施，大大增加了攻击者的开发成本。不过，攻击的目标可以是具有相同或类似内部控制系统的多辆同类型车辆，而不是针对某个特定的车主或运营商。
另一个促进攻击的因素是，车队所有者和运营商还为车辆配备了他们自己定制的遥测收集系统，这些系统通常默认具有远程控制功能（例如，远程重新刷新固件或更改要收集的数据集）。汽车制造商和服务提供商有时也会这样做。因此，这种攻击载体变得可行。
在发生此类攻击的情况下，受害者将无法自行恢复运营，否则将产生使企业无法继续生存的成本。恢复加密的IT系统的运行（例如，从备份中恢复）要比解决影响广泛分布在大范围内的车辆的甚至是技术上简单的问题要容易得多（例如，删除阻止车辆发动机启动或切断船舶内部电力的恶意软件）。公司可能会发现自己无法在不造成不可接受的经济损失的情况下及时自行恢复正常运营。

同样的攻击载体还适用于在偏远的难以到达的场地上运行的各种专用设备的所有者和运营商，例如矿业或农业领域。

对于石油和天然气公司、公用事业以及一般行业来说，任何具有高度分布式运营技术基础设施的组织，多个难以到达的场地的网络安全问题同样具有相关性。对于远离主要地点的场地的攻击，排除了远程恢复的可能性（例如，由于恶意软件阻塞了常规的远程访问通道），这就保证了赎金的支付。

非传统的攻击变现方式（例如，通过股市投机）针对经济上重要的企业，如大型运输和物流组织、大型矿业公司、材料制造商和供应商（如金属、合金或复合材料）、农业和食品产品、难以迅速弥补短缺的独特/紧缺产品（如微型芯片或化肥）的供应商。
这些企业的产品供应中断会严重影响其市场价格。除了直接后果，还可能产生连锁反应和间接副作用。沙特阿美石油公司（Saudi Aramco）在受到 Shamoon 攻击后，出人意料地决定将所有受攻击影响的计算机硬盘更换为新硬盘，这对全球硬盘价格产生了爆炸性影响。


黑客行动主义者

• 在地缘政治分歧线上，出于政治动机的黑客行动主义将变得更加凶猛，并且会产生更具破坏性的后果。
  我们都还记得 2021 年伊朗铁路和加油站遭到黑客攻击登上头条新闻，一支亲以色列的黑客组织声称对此事负责。去年，我们看到了更多的案例：以色列的灌溉系统遭到袭击，以色列制造的 Unitronics Vision All-in-One（PLC与集成HMI）解决方案在美国和爱尔兰遭到攻击，伊朗的加油站在2023年再次遭到攻击。抛开公关效应不谈，在所有这些事件中，负面影响的实际规模都不大。
  这就是说，最近的黑客行动主义攻击活动表明攻击者有入侵OT系统的能力。在卡巴斯基 ICS CERT 今年调查的一些类似案例中，由于攻击者的准备工作和毅力稍有欠缺，才使受害者免于遭受实际损害。紧张局势的升级很可能会将出于政治动机的黑客攻击提升到一个全新的威胁级别。
  
• 除了在社会紧张局势加剧的背景下引发的国内抗议运动之外（由宗教和种族冲突以及全球许多地区日益加剧的经济不稳定引起），我们还将看到日益增长的世界主义抗议黑客行动主义，例如由引入新的社会文化和宏观经济议程所驱动的，或者相反，旨在反对引入新的社会文化和宏观经济议程的抗议。与环境保护和绿色技术有关的一个例子是所谓的“生态黑客行动主义”，如 Guacamaya Roja 黑客行动主义团体对危地马拉一家矿业公司的攻击。
  
• 黑客行动主义在全球范围内的全面崛起将激发更多的个人和团体开始为“无所谓的理由”而战，甚至“只是为了好玩”，类似于今年黑客组织SiegedSec对爱达荷国家实验室的攻击。
  

从灰色地带走向阴影



广泛使用“攻击性网络安全”来收集网络威胁情报将产生积极和消极的后果。


一方面，我们将看到企业安全方面的一些改善，因为攻击性网络威胁情报将为用户提供潜在威胁迹象，不仅通过安全解决方案的遥测、事件研究、间接信息来源和暗网等传统网络威胁情报，还可以直接从攻击者控制的基础设施中获取。这将使受害者能够更快、更高效地恢复系统安全。


另一方面，攻击性网络情报的发展在成为新规范（尽管没有正式合法化，但在政府的默许下应用）的同时，也会产生负面影响，因为灰色地带与阴影之间的边界可能过于脆弱，越过这个边界的诱惑可能难以抵挡。在一些国家的带头下，一些商业企业可能会尝试从商业攻击性情报解决方案和服务提供商的帮助中受益，甚至可能不仅限于网络安全目的。一些工业企业也可能参与其中。这在高度竞争的生态系统中特别明显，例如建筑、采矿和能源以及许多其他工业部门。


这些 "利益驱动型 "网络活动将比常见的 APT 活动更加精准。这些活动将主要使用商业和开源工具，这将使他们能够在网络犯罪攻击普遍高发的背景下掩盖自己的活动。因此，这些行动被发现和调查的几率甚至会低于 APT 活动。


与物流和运输相关的威胁



物流和运输行业的快速自动化和数字化将导致：

• 网络犯罪和传统犯罪更加紧密地交织在一起，特别是在由来已久的犯罪领域，例如：
  

汽车盗窃，适用于所有现代汽车，但与亚洲品牌尤其相关，而且由于快速进入市场的激进战略，新汽车品牌通常将网络安全成熟度作为首要牺牲的事项。

以网络手段驱动的海盗和物流中断——作为已知攻击战术和技术的合理延续，如最近在红海和印度洋对自动跟踪系统（AIS）的攻击，或 2020 年对伊朗 Shahid Rajaee 港口码头的攻击。

利用网络手段盗窃物品。


通过网络手段进行走私——就像在安特卫普港臭名昭著的“十三罗汉”案件中使用的战术发展一样。


其他物流和运输欺诈，例如与保险索赔/取消罚款相关的款项，以及许多其他欺诈手段，有些难以预料，例如我们最近在波兰看到的利用 DRM 作为不公平竞争的手段。

• 非针对性攻击造成物理后果的可能性增加。
  目前已经有各类车辆感染恶意软件的案例。如果我们展望不久的将来，由于在交通领域采用了像安卓和Linux这样的“传统”操作系统，标准IT组件和通信协议的广泛集成，以及涉及连接到云服务的使用案例数量的增加，此类感染将会成倍增加。有些可能会导致关键监测和控制系统的故障，从而产生难以预测的后果。最重要的是，这种风险涉及河运、海运、卡车运输和紧急运输——这类车辆的信息安全通常不如客车。
  

工业互联网园区生态图谱报告（2024）.pdf
粉丝群
来源：卡巴斯基

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！