2018工控安全发展趋势 8个方向直击工业控制系统要害

SecureList预测，2018年工控安全将会面临这些方面的风险，包括恶意软件及恶意工具不断出现、地下黑市提供攻击服务、定向勒索攻击、工业间谍，但犯罪团伙尚未找到攻击工控系统盈利的办法。与此同时，国家规定也在发生变化，工业安全保险日益走热。

2017年工控安全态势 2017年影响工控信息安全事件最集中爆发的年头之一。安全研究员发现并上报了数百个新漏洞，警告称工控系统和工艺流程中存在新威胁向量，提供了工业系统突发感染数据，并发现了定向攻击(例如， Shamoon 2.0 / StoneDrill )。自从震网( Stuxnet )病毒曝光以来，研究员首次发现了恶意工具包 CrashOverride / Industroyer ，即一种用于攻击物理系统的网络工具。 然而，2017年工业系统遭遇的最严重威胁是加密勒索软件攻击。卡巴斯基实验室发布的ICS CERT(工业控制系统网络应急小组)报告指出，专家上半年发现了33个 恶意软件 家族的加密勒索软件。全球63个国家的大量攻击被拦截。WannaCry 和 ExPetr 毁灭性勒索软件攻击似乎使工业企业对关键生产系统防护的态度开始发生转变。 2018年工控安全预测 面临8个方面的威胁 1. 一般和突发恶意软件感染有所上升 除极少数个例之外，网络犯罪团伙尚未研究出通过攻击工业信息系统而获利的简单可靠的方案。他们通常利用通用恶意代码攻击更为传统的目标(如公司网络)，引起工业网络的突发感染和事件。这种趋势在2018年仍将持续。同时，我们还可能会看到这种趋势会为工业环境带来更为严峻的安全挑战。尽管安全社区不止一次地警告工业公司要定期更新工业系统中的软件与公司网络保持一致，但仍未引起公司的重视。 2. 定向勒索软件攻击的风险更高 WannaCry和ExPetr攻击发生后，安全专家和 网络犯罪分子均得出：运营技术(OT)系统一般可通过网络接入，与IT系统相比，更容易受到攻击，而且，恶意软件造成的损害更大，更难防护。工业公司展示了防御针对OT 基础设施 的网络攻击的难度。所有这些因素促使工业系统成为勒索软件攻击所青睐的目标。 3. 工业网络间谍事件增长 勒索攻击 为工业公司带来的威胁日益增长，催生了其他领域的网络犯罪：通过窃取工业信息系统的数据筹备和实施定向(包括勒索软件)攻击。 4. 地下黑市的新活动主要集中于提供攻击服务和入侵工具 近些年，我们发现黑市对于ICS 0Day漏洞 攻击的需求日益增长，可以断定犯罪分子正在筹备定向攻击活动。我们预计2018年攻击者对此类活动的热情更高，这将带动黑市的增长，导致工业公司的一部分新的ICS配置数据和凭证被窃取，还可能会出现基于工业节点产品组建的僵尸网络。设计和开展针对物理对象和系统的高级网络攻击需要ICS和相关行业的专业知识。预计这些需求会推动 恶意软件即服务 、攻击向量设计即服务、攻击行动即服务等领域的增长。 5. 新型恶意软件和恶意工具 可能会出现用于攻击工业网络和资产的新恶意软件。这些恶意软件行动隐蔽，潜伏在IT网络中逃避检测，只在不太安全的OT设施中激活。还可能出现面向低级的ICS设备和物理资产(泵和电源开关等)的勒索软件。 6. 犯罪分子可能会利用安全厂商发布的 ICS 威胁分析文章 研究员公开发布了工业资产和基础设施相关的各种攻击向量，并分析了所发现的恶意工具集，这些工作做得很出色。然而，这也给犯罪分子提供了新的可乘之机。例如，CrashOverride/Industroyer工具集披露后，黑客就向电力和能源设施发起了拒绝服务 DDoS攻击 。犯罪分子还引入了勒索软件，甚至制定了停电期间的获利计划。他们还可基于 可编程逻辑控制器(PLC)蠕虫 概念构建可运行的恶意蠕虫。还有犯罪分子还试图利用一种标准的PLC编程语言实现恶意软件。此外，他们还可能会对这一PLC感染概念进行了改进。目前，现有安全方案还无法发现这两类恶意软件。 7. 国家规定发生变化 2018年将实行多个工业系统相关网络安全规定。例如，涉及 关键基础设施 和工业资产设施的公司可能须进行更多的安全评估 。这必定会提升防护和 安全意识 ，使我们可能会发现更多新漏洞，曝光更多威胁。 8. 工业安全保险日益走热 ， 投资呈上升趋势 对于工业企业来说，工业网络风险保险正逐渐成为风险管理的不可或缺的一部分。以前，网络安全事件与恐怖事件一样不会在保险合同中体现。然而，当前形势正在发生变化，网络安全公司和保险公司都采取了新举措。2018年，安全审计/评估和事件响应 均呈上升趋势，促使工业设施负责者和经营者提升网络安全意识。 来源：安全加