2020年，一個(gè)名為耶路撒冷電子軍(Jerusalem Electronic Army)的黑客組織在社交媒體上發(fā)布了幾條帖子，聲稱已經(jīng)破壞了屬于以色列公共供水基礎(chǔ)設(shè)施的控制系統(tǒng)。以色列國家網(wǎng)絡(luò)局(INCD)發(fā)出安全警報(bào)，要求能源和供水部門立即更改所有聯(lián)網(wǎng)連接控制系統(tǒng)的密碼，減少聯(lián)網(wǎng)連接，并確保安裝最新版本的控制器。

后續(xù)的媒體報(bào)道披露了該次安全攻擊事件的一些細(xì)節(jié)，值得關(guān)注的是黑客將SCADA（數(shù)據(jù)采集與監(jiān)控）系統(tǒng)作為攻擊目標(biāo)——工業(yè)從業(yè)者都知道，數(shù)據(jù)采集和監(jiān)測控制是工業(yè)過程中極為重要的環(huán)節(jié)，它能幫助管理者實(shí)時(shí)發(fā)現(xiàn)生產(chǎn)問題并調(diào)整生產(chǎn)計(jì)劃。可以說，作為工業(yè)控制系統(tǒng)重要組成部分的SCADA的安全至關(guān)重要，一旦遭遇黑客攻擊，輕則某個(gè)工業(yè)領(lǐng)域受到重創(chuàng)，重則整個(gè)國家關(guān)鍵基礎(chǔ)設(shè)施癱瘓。

好消息是，該組織最終沒有擾亂或破壞以色列的供水，而是在展示自己的能力，試圖發(fā)表政治或文化聲明。不過，類似的事件已經(jīng)在全球范圍為工業(yè)運(yùn)營的網(wǎng)絡(luò)安全敲響了警鐘。

上個(gè)月，羅克韋爾自動(dòng)化（Rockwell Automation）發(fā)布了名為《工業(yè)運(yùn)營中100多起網(wǎng)絡(luò)安全事件解剖》的調(diào)研報(bào)告，該份報(bào)告分析了122起網(wǎng)絡(luò)安全事件，其中包括對(duì)OT/ICS(工業(yè)控制系統(tǒng))的直接威脅，每起安全事件都收集和審查了近100個(gè)數(shù)據(jù)點(diǎn)。

根據(jù)對(duì)這些安全事件的分析，關(guān)鍵發(fā)現(xiàn)如下：

• 在過去短短幾年的時(shí)間內(nèi)， OT/ICS 安全事件已超過 1991 年至 2000 年期間報(bào)告的總數(shù)。
• 能源行業(yè)受到的安全攻擊最為集中（39%），受到攻擊的頻率是排行第二垂直行業(yè)的三倍多。
• 網(wǎng)絡(luò)釣魚仍然是最為流行的攻擊技術(shù) (34%)，這突顯了安全策略（例如氣隙、網(wǎng)絡(luò)分段、隔離、零信任和安全意識(shí)培訓(xùn)）對(duì)于降低風(fēng)險(xiǎn)的重要性。
• 在超過一半的 OT/ICS 安全事件中，SCADA系統(tǒng)都被作為攻擊目標(biāo) (53%)，PLC則是第二常見的攻擊目標(biāo) (22%)。
• 超過 80% 的威脅者來自外部組織，但在大約三分之一的安全事件中，內(nèi)部人員無意中為威脅者打開了大門。
• 在報(bào)告調(diào)研的 OT/ICS 安全事件中，60% 導(dǎo)致運(yùn)營中斷，40% 導(dǎo)致未經(jīng)授權(quán)的訪問或數(shù)據(jù)泄露。然而，安全攻擊的損害超出了受影響的企業(yè)范圍，因?yàn)楦鼜V泛的供應(yīng)鏈在 65% 的情況下也會(huì)受到影響。
• 研究表明，在大多數(shù)OT事件中，攻擊者首先進(jìn)入IT網(wǎng)絡(luò)。所以加強(qiáng) IT 系統(tǒng)的安全對(duì)于打擊關(guān)鍵基礎(chǔ)設(shè)施和制造設(shè)施的網(wǎng)絡(luò)攻擊至關(guān)重要。

本文將對(duì)報(bào)告的精華內(nèi)容進(jìn)行編譯：

關(guān)鍵發(fā)現(xiàn)（1）

在最近短短幾年的時(shí)間里，OT/ICS 安全事件已超過 1991 年至 2000 年期間報(bào)告的總數(shù)。

在2022年，報(bào)告顯示，針對(duì)Modbus/TCP端口502(一種常用的工業(yè)協(xié)議)的對(duì)抗性偵察增加了2000%，這可能允許黑客控制物理設(shè)備并破壞OT操作。

安全攻擊事件的數(shù)據(jù)和頻率增加，不僅是因?yàn)榇_實(shí)有更多目標(biāo)遭受其害，還因?yàn)橛懈玫臋z測工具和能力來幫助識(shí)別安全攻擊事件。

下圖具體顯示了該份報(bào)告分析的122起網(wǎng)絡(luò)安全事件的調(diào)查結(jié)果。

羅克韋爾自動(dòng)化發(fā)現(xiàn)：

美國和整個(gè)歐洲對(duì)OT網(wǎng)絡(luò)安全的監(jiān)管正越來越強(qiáng)，尤其是對(duì)涉及關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域的行業(yè)。更強(qiáng)的監(jiān)管意味著工業(yè)組織應(yīng)該評(píng)估他們目前的網(wǎng)絡(luò)安全保護(hù)措施是否存在潛在漏洞，增加更多的主動(dòng)安全措施以更好地保護(hù)他們的工業(yè)運(yùn)營。

關(guān)鍵發(fā)現(xiàn)（2）

在本報(bào)告分析的所有安全事件中，60%的OT/ICS事故會(huì)導(dǎo)致運(yùn)營中斷。

40%的OT/ICS事故會(huì)導(dǎo)致未經(jīng)授權(quán)的訪問或數(shù)據(jù)暴露。

在超過一半的OT/ICS安全事件中，SCADA系統(tǒng)都是攻擊目標(biāo)，其次的目標(biāo)是PLC。中鋼協(xié)和美國國家安全局在一份OT網(wǎng)絡(luò)安全咨詢報(bào)告中對(duì)PLC的攻擊提出了警告。

更廣泛的供應(yīng)鏈在大約65%的時(shí)間內(nèi)也會(huì)受到影響。一家日本汽車制造商暫停了14家工廠的28條生產(chǎn)線的運(yùn)營，至少持續(xù)了一天。此前，該公司的一個(gè)關(guān)鍵供應(yīng)鏈合作伙伴——一家塑料零部件和電子元件制造商——疑似遭到了網(wǎng)絡(luò)攻擊。

關(guān)鍵發(fā)現(xiàn)（3）

如下圖所示的數(shù)據(jù)，能源行業(yè)受到的安全攻擊最為集中（39%），受到攻擊的頻率是排行第二垂直行業(yè)的三倍多。正如所報(bào)道的那樣，基礎(chǔ)設(shè)施受到攻擊后可能造成的巨大影響也為勒索軟件和敵對(duì)勢力創(chuàng)造了更大的機(jī)會(huì)。然而，發(fā)電廠、變電站和相關(guān)基礎(chǔ)設(shè)施也在逐步老化，其中許多甚至是在50年前建成的，舊的基礎(chǔ)設(shè)施顯然在安全控制方面有所不足。

美國政府已經(jīng)認(rèn)識(shí)到越來越多針對(duì)供水和廢水處理部門的安全事件，并在相關(guān)部門和其他關(guān)鍵基礎(chǔ)設(shè)施部門實(shí)施了應(yīng)急法規(guī)。

監(jiān)管機(jī)構(gòu)加強(qiáng)報(bào)告要求是全球趨勢。政府正在強(qiáng)迫公共和私營實(shí)體披露安全攻擊事件、數(shù)據(jù)被盜和贖金支付情況。歐盟的一項(xiàng)此類法規(guī)是《安全網(wǎng)絡(luò)和信息系統(tǒng)指令》。

關(guān)鍵發(fā)現(xiàn)（4）

超過80%的安全事件都始于IT系統(tǒng)的威脅。這可以歸因于不斷增加的互聯(lián)性；大多數(shù)OT網(wǎng)絡(luò)通過IT網(wǎng)絡(luò)與外界通信。此外，攻擊者越來越多地利用面向互聯(lián)網(wǎng)的系統(tǒng)，如人機(jī)界面（HMIs）和工程工作站應(yīng)用程序，這些都是主要的攻擊目標(biāo)。

這強(qiáng)調(diào)了在工業(yè)互聯(lián)不斷增加的時(shí)代，建立正確的網(wǎng)絡(luò)架構(gòu)以支持企業(yè)安全的重要性。如果不正確地設(shè)置網(wǎng)絡(luò)、將OT網(wǎng)絡(luò)分隔并進(jìn)行氣隙隔離，以及采用其他最佳實(shí)踐，如不斷進(jìn)行員工安全意識(shí)培訓(xùn)，告知他們攻擊的潛在風(fēng)險(xiǎn)會(huì)增加。

羅克韋爾自動(dòng)化建議：

隨著安全意識(shí)的進(jìn)一步進(jìn)化，對(duì)更強(qiáng)大的OT安全保護(hù)的需求也在增加。僅僅在IT和OT環(huán)境之間設(shè)置防火墻不再足以有效地分隔IT和OT網(wǎng)絡(luò)以防止攻擊。遠(yuǎn)程訪問也是如此，攻擊者經(jīng)常能夠輕易地規(guī)避標(biāo)準(zhǔn)做法，比如密碼。如果沒有更強(qiáng)大的保護(hù)措施，終端設(shè)備將有可能被滲透。必須考慮額外的對(duì)策，包括一個(gè)明確定義的事件響應(yīng)計(jì)劃，可以幫助您的組織迅速應(yīng)對(duì)和從網(wǎng)絡(luò)安全事件中恢復(fù)元?dú)狻?/p>

關(guān)鍵發(fā)現(xiàn)（5）

超過80%的攻擊者來自組織外部。

內(nèi)部人員在超過三分之一的安全事件中扮演了一個(gè)“間接”的角色。內(nèi)部人員的“間接”角色主要是成為釣魚攻擊的受害者。

在Cyentia的研究中，將近60%的攻擊者來自與國家相關(guān)的團(tuán)體。許多攻擊者的身份和地理位置都被隱藏起來。威脅行為者付出了巨大的努力來掩蓋這些信息。

報(bào)告顯示，發(fā)起安全攻擊最常見的動(dòng)機(jī)是政治或經(jīng)濟(jì)驅(qū)動(dòng)。

關(guān)鍵發(fā)現(xiàn)（6）

在本報(bào)告選取的樣本中，歸因于國家相關(guān)團(tuán)體的攻擊比其他研究更高，幾乎占所有攻擊的60%。在其他研究中——比如Cyentia研究院發(fā)現(xiàn)，只有略超過1%的網(wǎng)絡(luò)攻擊事件可以歸因于國家行為。

然而，令人驚訝的是，考慮到國家相關(guān)團(tuán)體通常想要影響關(guān)鍵基礎(chǔ)設(shè)施、供應(yīng)鏈、從關(guān)鍵系統(tǒng)中竊取數(shù)據(jù)，或者只是讓OT系統(tǒng)脫機(jī)，上述結(jié)論并非不合邏輯。

在2020年一次臭名昭著的攻擊中，俄羅斯政府支持的黑客利用系統(tǒng)漏洞入侵了200多個(gè)系統(tǒng)。攻擊者使用來自至少三個(gè)組織的憑證來執(zhí)行攻擊，影響了多個(gè)美國政府系統(tǒng)、北約、英國和歐盟系統(tǒng)。結(jié)果，美國對(duì)俄羅斯實(shí)施了制裁。而滲透和泄露國際政府?dāng)?shù)據(jù)的影響需要數(shù)年時(shí)間才能完全消解。

關(guān)鍵發(fā)現(xiàn)（7）

釣魚在初始訪問（攻擊）技術(shù)中一直占據(jù)著最簡單、最成功的地位。釣魚已經(jīng)發(fā)展到包括電子郵件、在線、短信/文本消息和語音/電話等多個(gè)領(lǐng)域，使其成為網(wǎng)絡(luò)犯罪分子的強(qiáng)大武器。

外部遠(yuǎn)程服務(wù)在IT和OT事件的初始訪問方法中排名第二。雖然其意圖是為合法用戶提供遠(yuǎn)程訪問權(quán)限，但自2020年以來，這已成為攻擊者的入口。

智能目標(biāo)：隨著攻擊者的技術(shù)水平提升，網(wǎng)絡(luò)上的任何“智能”設(shè)備都可能成為攻擊目標(biāo)。使用實(shí)時(shí)網(wǎng)絡(luò)資產(chǎn)清單、全天候威脅檢測以及有關(guān)可移動(dòng)媒體的適當(dāng)策略和程序等最佳實(shí)踐，有助于防止IT攻擊轉(zhuǎn)向OT，從而有可能關(guān)閉組織的供應(yīng)鏈、流程，甚至整個(gè)物理工廠。

關(guān)鍵發(fā)現(xiàn)（8）

根據(jù)MITRE的說法，“ATT&CK for ICS側(cè)重于那些以攻擊工業(yè)控制系統(tǒng)為主要目標(biāo)，試圖干擾工業(yè)控制流程、破壞財(cái)產(chǎn)或通過攻擊工業(yè)控制系統(tǒng)來對(duì)人類造成臨時(shí)或永久傷害或死亡的對(duì)手。”

在IT環(huán)境中，攻擊通常從網(wǎng)絡(luò)發(fā)現(xiàn)開始，這用于幫助攻擊者了解資產(chǎn)的位置以及如何訪問它們。

在OT領(lǐng)域，攻擊者通常試圖直接影響工業(yè)流程。許多人試圖以獲取金錢為目的，比如贖金，或是追求其他涉及經(jīng)濟(jì)或軍事優(yōu)勢的結(jié)果。2022年，美國境內(nèi)威脅行為者攻擊工業(yè)組織的數(shù)量增長了35％，導(dǎo)致同一時(shí)期內(nèi)數(shù)據(jù)泄露事件增加了87％。

• 攻擊者使用橫向工具傳輸，利用遠(yuǎn)程服務(wù)和標(biāo)準(zhǔn)應(yīng)用層協(xié)議來操縱操作員的視圖，并且在許多情況下接管特定的OT進(jìn)程。

關(guān)鍵發(fā)現(xiàn)（9）

數(shù)據(jù)泄露對(duì)企業(yè)的影響最大。

當(dāng)發(fā)生破壞業(yè)務(wù)的攻擊時(shí)，影響是廣泛的。即使沒有wannacry式的事件，組織也會(huì)受到負(fù)面影響。

讓我們來看看這些ATT&CK分類的影響——首先，我們從MITRE企業(yè)框架進(jìn)行比較。在“通過C2通道外傳”的攻擊中，攻擊者竊取數(shù)據(jù)，然后使用現(xiàn)有的命令和控制通道將數(shù)據(jù)外傳，這是此類事件影響企業(yè)運(yùn)營的主要方式。

另外兩種攻擊類型，“數(shù)據(jù)加密影響”和“數(shù)據(jù)破壞技術(shù)”，是網(wǎng)絡(luò)攻擊影響企業(yè)的前三種方式?？偟膩碚f，下圖中顯示的前三種MITRE攻擊和攻擊技術(shù)最常與勒索軟件攻擊相關(guān)聯(lián)。

關(guān)鍵發(fā)現(xiàn)（10）

“操縱視圖”和“操縱控制”是影響ICS環(huán)境的前兩種主要方法。

進(jìn)一步看，排名前三的ICS ATT&CK分類之一是“生產(chǎn)力和收入損失”。當(dāng)我們將這種方法與先前提到的“操縱視圖”和“操縱控制”的攻擊類型聯(lián)系起來，可以清楚地看到在這些事件中供應(yīng)鏈可能會(huì)受到影響。如果惡意用戶操縱了負(fù)責(zé)生產(chǎn)的OT/ICS系統(tǒng)的視圖和控制，他們還可能滲透并影響組織合作伙伴、供應(yīng)商和客戶的整個(gè)產(chǎn)品供應(yīng)鏈。

當(dāng)我們回顧在非能源領(lǐng)域使用的技術(shù)時(shí)，供應(yīng)鏈影響是最常見的三個(gè)結(jié)果之一。這種深遠(yuǎn)的影響，遠(yuǎn)遠(yuǎn)超出了組織的邊界，因此對(duì)于各行各業(yè)的組織來說，保護(hù)自身免受網(wǎng)絡(luò)攻擊極其重要。

寫在最后

隨著越來越多的系統(tǒng)、網(wǎng)絡(luò)和設(shè)備連接到OT/ICS環(huán)境中，建立強(qiáng)大的現(xiàn)代OT/ICS安全計(jì)劃必須成為每個(gè)工業(yè)組織維護(hù)安全、可靠運(yùn)營和持續(xù)可用性的責(zé)任的一部分。

報(bào)告的最后，羅克韋爾自動(dòng)化也給出了一些加強(qiáng)OT安全的建議：

• 專注于縱深防御，包括借鑒零信任（Zero Trust）和NIST網(wǎng)絡(luò)安全框架等。
• 通過更強(qiáng)的密碼和多因素身份驗(yàn)證來確保遠(yuǎn)程訪問的安全性。
• 24/7 全天候監(jiān)控威脅。
• 將IT和OT網(wǎng)絡(luò)進(jìn)行分隔，充分利用防火墻配置，以防止IT攻擊滲透到OT環(huán)境中。
• 持續(xù)培訓(xùn)內(nèi)部員工，使其了解最新的網(wǎng)絡(luò)釣魚詐騙，并學(xué)會(huì)如何避免它們。