吳德福

SecureList預(yù)測，2018年工控安全將會面臨以下這些方面的風(fēng)險，包括惡意軟件及惡意工具不斷出現(xiàn)、地下黑市提供攻擊服務(wù)、定向勒索攻擊以及工業(yè)間諜，但犯罪團(tuán)伙尚未找到攻擊工控系統(tǒng)盈利的辦法。與此同時，國家規(guī)定也在發(fā)生變化，工業(yè)安全保險日益走熱。

2017年工控安全態(tài)勢

2017年是影響工控信息安全事件最集中爆發(fā)的年頭之一。安全研究員發(fā)現(xiàn)并上報了數(shù)百個新漏洞，警告稱工控系統(tǒng)和工藝流程中存在新威脅向量，提供了工業(yè)系統(tǒng)突發(fā)感染數(shù)據(jù)，并發(fā)現(xiàn)了定向攻擊（例如，Shamoon 2.0 / StoneDrill）。自從震網(wǎng)（Stuxnet）病毒曝光以來，研究員首次發(fā)現(xiàn)了惡意工具包CrashOverride / Industroyer，即一種用于攻擊物理系統(tǒng)的網(wǎng)絡(luò)工具。

然而，2017年工業(yè)系統(tǒng)遭遇的最嚴(yán)重威脅是加密勒索軟件攻擊?？ò退够鶎?shí)驗(yàn)室發(fā)布的ICS CERT（工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急小組）報告指出，專家上半年發(fā)現(xiàn)了33個惡意軟件家族的加密勒索軟件。全球63個國家的大量攻擊被攔截。WannaCry和ExPetr毀滅性勒索軟件攻擊似乎使工業(yè)企業(yè)對關(guān)鍵生產(chǎn)系統(tǒng)防護(hù)的態(tài)度開始發(fā)生轉(zhuǎn)變。

2018年工控安全預(yù)測面臨8個方面的威脅

1.一般和突發(fā)惡意軟件感染有所上升

除極少數(shù)個例之外，網(wǎng)絡(luò)犯罪團(tuán)伙尚未研究出通過攻擊工業(yè)信息系統(tǒng)而獲利的簡單可靠的方案。他們通常利用通用惡意代碼攻擊更為傳統(tǒng)的目標(biāo)（如公司網(wǎng)絡(luò)），引起工業(yè)網(wǎng)絡(luò)的突發(fā)感染和事件。這種趨勢在2018年仍將持續(xù)。同時，我們還可能會看到這種趨勢會為工業(yè)環(huán)境帶來更為嚴(yán)峻的安全挑戰(zhàn)。盡管安全社區(qū)不止一次地警告工業(yè)公司要定期更新工業(yè)系統(tǒng)中的軟件與公司網(wǎng)絡(luò)保持一致，但仍未引起公司的重視。

2.定向勒索軟件攻擊的風(fēng)險更高

WannaCry和ExPetr攻擊發(fā)生后，安全專家和網(wǎng)絡(luò)犯罪分子均得出：運(yùn)營技術(shù)（OT）系統(tǒng)一般可通過網(wǎng)絡(luò)接入，與IT系統(tǒng)相比，更容易受到攻擊，而且，惡意軟件造成的損害更大，更難防護(hù)。工業(yè)公司展示了防御針對OT基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊的難度。所有這些因素促使工業(yè)系統(tǒng)成為勒索軟件攻擊所青睞的目標(biāo)。

3.工業(yè)網(wǎng)絡(luò)間諜事件增長

勒索攻擊為工業(yè)公司帶來的威脅日益增長，催生了其他領(lǐng)域的網(wǎng)絡(luò)犯罪：通過竊取工業(yè)信息系統(tǒng)的數(shù)據(jù)籌備和實(shí)施定向（包括勒索軟件）攻擊。

4.地下黑市活動主要集中于提供攻擊服務(wù)和入侵工具

近些年，我們發(fā)現(xiàn)黑市對于ICS 0Day漏洞攻擊的需求日益增長，可以斷定犯罪分子正在籌備定向攻擊活動。預(yù)計(jì)2018年攻擊者對此類活動的熱情更高，這將帶動黑市的增長，導(dǎo)致工業(yè)公司的一部分新的ICS配置數(shù)據(jù)和憑證被竊取，還可能會出現(xiàn)基于工業(yè)節(jié)點(diǎn)產(chǎn)品組建的僵尸網(wǎng)絡(luò)。設(shè)計(jì)和開展針對物理對象和系統(tǒng)的高級網(wǎng)絡(luò)攻擊需要ICS和相關(guān)行業(yè)的專業(yè)知識。預(yù)計(jì)這些需求會推動惡意軟件及服務(wù)、攻擊向量設(shè)計(jì)及服務(wù)、攻擊行動及服務(wù)等領(lǐng)域的增長。

5.新型惡意軟件和惡意工具

可能會出現(xiàn)用于攻擊工業(yè)網(wǎng)絡(luò)和資產(chǎn)的新惡意軟件。這些惡意軟件行動隱蔽，潛伏在IT網(wǎng)絡(luò)中逃避檢測，只在不太安全的OT設(shè)施中激活。還可能出現(xiàn)面向低級的ICS設(shè)備和物理資產(chǎn)（泵和電源開關(guān)等）的勒索軟件。

6.犯罪分子可能會利用安全廠商發(fā)布的威脅分析文章

研究員公開發(fā)布了工業(yè)資產(chǎn)和基礎(chǔ)設(shè)施相關(guān)的各種攻擊向量，并分析了所發(fā)現(xiàn)的惡意工具集，這些工作做得很出色。然而，這也給犯罪分子提供了新的可乘之機(jī)。例如，CrashOverride/Industroyer工具集披露后，黑客就向電力和能源設(shè)施發(fā)起了拒絕服務(wù)DDoS攻擊。犯罪分子還引入了勒索軟件，甚至制定了停電期間的獲利計(jì)劃。他們還可基于可編程邏輯控制器（PLC）蠕蟲概念構(gòu)建可運(yùn)行的惡意蠕蟲。還有犯罪分子還試圖利用一種標(biāo)準(zhǔn)的PLC編程語言實(shí)現(xiàn)惡意軟件。此外，他們還可能會對這一PLC感染概念進(jìn)行了改進(jìn)。目前，現(xiàn)有安全方案還無法發(fā)現(xiàn)這兩類惡意軟件。

7.國家規(guī)定發(fā)生變化

2018年將實(shí)行多個工業(yè)系統(tǒng)相關(guān)網(wǎng)絡(luò)安全規(guī)定。例如，涉及關(guān)鍵基礎(chǔ)設(shè)施和工業(yè)資產(chǎn)設(shè)施的公司，可能須進(jìn)行更多的安全評估。這必定會提升防護(hù)和安全意識，使我們可能會發(fā)現(xiàn)更多新漏洞，曝光更多威脅。

8.工業(yè)安全保險日益走熱，投資呈上升趨勢

對于工業(yè)企業(yè)來說，工業(yè)網(wǎng)絡(luò)風(fēng)險保險正逐漸成為風(fēng)險管理的不可或缺的一部分。以前，網(wǎng)絡(luò)安全事件與恐怖事件一樣不會在保險合同中體現(xiàn)。然而，當(dāng)前形勢正在發(fā)生變化，網(wǎng)絡(luò)安全公司和保險公司都采取了新舉措。2018年，安全審計(jì)/評估和事件響應(yīng)均呈上升趨勢，促使工業(yè)設(shè)施負(fù)責(zé)者和經(jīng)營者提升網(wǎng)絡(luò)安全意識。