SecureList預(yù)測，2018年工控安全將會面臨這些方面的風(fēng)險， 包括惡意軟件及惡意工具不斷出現(xiàn)、地下黑市提供攻擊服務(wù)、定向勒索攻擊、工業(yè)間諜，但犯罪團(tuán)伙尚未找到攻擊工控系統(tǒng)盈利的辦法。與此同時，國家規(guī)定也在發(fā)生變化，工業(yè)安全保險日益走熱。

[[214244]]

2017年工控安全態(tài)勢

2017年影響工控信息安全事件最集中爆發(fā)的年頭之一。安全研究員發(fā)現(xiàn)并上報了數(shù)百個新漏洞，警告稱工控系統(tǒng)和工藝流程中存在新威脅向量，提供了工業(yè)系統(tǒng)突發(fā)感染數(shù)據(jù)，并發(fā)現(xiàn)了定向攻擊(例如， Shamoon 2.0 / StoneDrill )。自從震網(wǎng)( Stuxnet )病毒曝光以來，研究員首次發(fā)現(xiàn)了惡意工具包 CrashOverride / Industroyer ，即一種用于攻擊物理系統(tǒng)的網(wǎng)絡(luò)工具。

然而，2017年工業(yè)系統(tǒng)遭遇的最嚴(yán)重威脅是加密勒索軟件攻擊。卡巴斯基實驗室發(fā)布的ICS CERT(工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急小組)報告指出，專家上半年發(fā)現(xiàn)了33個 惡意軟件 家族的加密勒索軟件。全球63個國家的大量攻擊被攔截。WannaCry 和 ExPetr 毀滅性勒索軟件攻擊似乎使工業(yè)企業(yè)對關(guān)鍵生產(chǎn)系統(tǒng)防護(hù)的態(tài)度開始發(fā)生轉(zhuǎn)變。

2018年工控安全預(yù)測 面臨8個方面的威脅

1. 一般和突發(fā)惡意軟件感染有所上升

除極少數(shù)個例之外，網(wǎng)絡(luò)犯罪團(tuán)伙尚未研究出通過攻擊工業(yè)信息系統(tǒng)而獲利的簡單可靠的方案。他們通常利用通用惡意代碼攻擊更為傳統(tǒng)的目標(biāo)(如公司網(wǎng)絡(luò))，引起工業(yè)網(wǎng)絡(luò)的突發(fā)感染和事件。這種趨勢在2018年仍將持續(xù)。同時，我們還可能會看到這種趨勢會為工業(yè)環(huán)境帶來更為嚴(yán)峻的安全挑戰(zhàn)。盡管安全社區(qū)不止一次地警告工業(yè)公司要定期更新工業(yè)系統(tǒng)中的軟件與公司網(wǎng)絡(luò)保持一致，但仍未引起公司的重視。

2. 定向勒索軟件攻擊的風(fēng)險更高

WannaCry和ExPetr攻擊發(fā)生后，安全專家和 網(wǎng)絡(luò)犯罪 分子均得出：運營技術(shù)(OT)系統(tǒng)一般可通過網(wǎng)絡(luò)接入，與IT系統(tǒng)相比，更容易受到攻擊，而且，惡意軟件造成的損害更大，更難防護(hù)。工業(yè)公司展示了防御針對OT 基礎(chǔ)設(shè)施 的網(wǎng)絡(luò)攻擊的難度。所有這些因素促使工業(yè)系統(tǒng)成為勒索軟件攻擊所青睞的目標(biāo)。

3. 工業(yè)網(wǎng)絡(luò)間諜事件增長

勒索攻擊 為工業(yè)公司帶來的威脅日益增長，催生了其他領(lǐng)域的網(wǎng)絡(luò)犯罪：通過竊取工業(yè)信息系統(tǒng)的數(shù)據(jù)籌備和實施定向(包括勒索軟件)攻擊。

4. 地下黑市的新活動主要集中于提供攻擊服務(wù)和入侵工具

近些年，我們發(fā)現(xiàn)黑市對于ICS 0Day漏洞 攻擊的需求日益增長，可以斷定犯罪分子正在籌備定向攻擊活動。我們預(yù)計2018年攻擊者對此類活動的熱情更高，這將帶動黑市的增長，導(dǎo)致工業(yè)公司的一部分新的ICS配置數(shù)據(jù)和憑證被竊取，還可能會出現(xiàn)基于工業(yè)節(jié)點產(chǎn)品組建的僵尸網(wǎng)絡(luò)。設(shè)計和開展針對物理對象和系統(tǒng)的高級網(wǎng)絡(luò)攻擊需要ICS和相關(guān)行業(yè)的專業(yè)知識。預(yù)計這些需求會推動 惡意軟件即服務(wù) 、攻擊向量設(shè)計即服務(wù)、攻擊行動即服務(wù)等領(lǐng)域的增長。

5. 新型惡意軟件和惡意工具

可能會出現(xiàn)用于攻擊工業(yè)網(wǎng)絡(luò)和資產(chǎn)的新惡意軟件。這些惡意軟件行動隱蔽，潛伏在IT網(wǎng)絡(luò)中逃避檢測，只在不太安全的OT設(shè)施中激活。還可能出現(xiàn)面向低級的ICS設(shè)備和物理資產(chǎn)(泵和電源開關(guān)等)的勒索軟件。

6. 犯罪分子可能會利用安全廠商發(fā)布的 ICS 威脅分析文章

研究員公開發(fā)布了工業(yè)資產(chǎn)和基礎(chǔ)設(shè)施相關(guān)的各種攻擊向量，并分析了所發(fā)現(xiàn)的惡意工具集，這些工作做得很出色。然而，這也給犯罪分子提供了新的可乘之機(jī)。例如，CrashOverride/Industroyer工具集披露后，黑客就向電力和能源設(shè)施發(fā)起了拒絕服務(wù) DDoS攻擊 。犯罪分子還引入了勒索軟件，甚至制定了停電期間的獲利計劃。他們還可基于 可編程邏輯控制器(PLC)蠕蟲 概念構(gòu)建可運行的惡意蠕蟲。還有犯罪分子還試圖利用一種標(biāo)準(zhǔn)的PLC編程語言實現(xiàn)惡意軟件。此外，他們還可能會對這一PLC感染概念進(jìn)行了改進(jìn)。目前，現(xiàn)有安全方案還無法發(fā)現(xiàn)這兩類惡意軟件。

7. 國家規(guī)定發(fā)生變化

2018年將實行多個工業(yè)系統(tǒng)相關(guān)網(wǎng)絡(luò)安全規(guī)定。例如，涉及 關(guān)鍵基礎(chǔ)設(shè)施 和工業(yè)資產(chǎn)設(shè)施的公司可能須進(jìn)行更多的 安全評估 。這必定會提升防護(hù)和 安全意識 ，使我們可能會發(fā)現(xiàn)更多新漏洞，曝光更多威脅。

8. 工業(yè)安全保險日益走熱 ， 投資呈上升趨勢

 對于工業(yè)企業(yè)來說，工業(yè)網(wǎng)絡(luò)風(fēng)險保險正逐漸成為風(fēng)險管理的不可或缺的一部分。以前，網(wǎng)絡(luò)安全事件與恐怖事件一樣不會在保險合同中體現(xiàn)。然而，當(dāng)前形勢正在發(fā)生變化， 網(wǎng)絡(luò)安全公司和保險公司都采取了新舉措。2018年，安全審計/評估和 事件響應(yīng) 均呈上升趨勢，促使工業(yè)設(shè)施負(fù)責(zé)者和經(jīng)營者提升網(wǎng)絡(luò)安全意識。