Wilhoit是信息安全供應(yīng)商Trend Micro的威脅研究員，他通過(guò)實(shí)驗(yàn)發(fā)現(xiàn)攻擊和攻擊者現(xiàn)在將攻擊目標(biāo)對(duì)準(zhǔn)工業(yè)控制系統(tǒng)（ICS）和SCADA系統(tǒng)，這些系統(tǒng)控制著許多關(guān)鍵基礎(chǔ)架構(gòu)設(shè)備，如發(fā)電站和水處理設(shè)施。

經(jīng)過(guò)28天的工作，Wilhoit一共建立了3個(gè)專門用于模擬ICS和SCADA系統(tǒng)安全形勢(shì)的蜜罐架構(gòu)，如果實(shí)驗(yàn)結(jié)果反映了什么問(wèn)題，那就是工業(yè)控制系統(tǒng)已經(jīng)成為全世界網(wǎng)絡(luò)攻擊者的首選目標(biāo)，其中包括通常較薄弱的ICS安全領(lǐng)域，如使用默認(rèn)登錄身份信息。實(shí)驗(yàn)結(jié)果慘不忍睹：Wilhoit發(fā)現(xiàn)，攻擊者只需要18個(gè)小時(shí)就能夠發(fā)現(xiàn)并啟動(dòng)對(duì)蜜罐的攻擊。這是一個(gè)危險(xiǎn)的信號(hào)，它反映了對(duì)手是如何發(fā)現(xiàn)和暴露重要基礎(chǔ)架構(gòu)。

在Trend Micro上周發(fā)表的一篇標(biāo)題為“誰(shuí)在攻擊您的ICS設(shè)備？”的報(bào)告中，Wilhoit詳細(xì)說(shuō)明了他所觀察的29個(gè)不同攻擊，并將其定義為“任何事情都可能成為面向互聯(lián)網(wǎng)的ICS/SCADA系統(tǒng)的威脅”。其中還不包含自動(dòng)化攻擊，如SQL注入或端口掃描?；蛟S不出所料，來(lái)自中國(guó)的攻擊最多，占所記錄攻擊的35%，但是就連Wilhoit也沒(méi)有料到攻擊范圍會(huì)涉及如此之多的國(guó)家，其中包括日本、荷蘭和英國(guó)。

攻擊：通過(guò)魚(yú)叉式釣魚(yú)的惡意軟件

來(lái)自美國(guó)的攻擊占所有攻擊的19%。Wilhoit拒絕公開(kāi)這些攻擊的更詳細(xì)信息，因?yàn)榕cTrend Micro合作完成調(diào)查工作的法律執(zhí)法機(jī)構(gòu)不允許公開(kāi)這些信息。

Wilhoit在黑帽歐洲2013大會(huì)上展示了研究結(jié)果。他預(yù)計(jì)實(shí)驗(yàn)將發(fā)現(xiàn)通常針對(duì)上網(wǎng)設(shè)備的典型自動(dòng)化攻擊。但是，蜜罐環(huán)境卻吸引了大范圍的攻擊，其中包括一個(gè)重大攻擊：通過(guò)魚(yú)叉式釣魚(yú)的惡意軟件。雖然網(wǎng)絡(luò)釣魚(yú)中包含的惡意軟件并不是很高明，但是它們發(fā)送/攻擊的方式很讓人意外。

這份報(bào)告可以從Trend Micro免費(fèi)下載，里面有保證面向互聯(lián)網(wǎng)的ICS與SCADA系統(tǒng)的安全建議，其中包括禁用可信資源的互聯(lián)網(wǎng)訪問(wèn)、保證應(yīng)用最新軟件補(bǔ)丁和設(shè)置安全的登錄身份（而不使用默認(rèn)設(shè)置）。雖然這些措施并不一定能夠保護(hù)ICS和SCADA系統(tǒng)不受最高級(jí)攻擊的破壞，但是它們能夠抵擋最常見(jiàn)的攻擊行為。

Wilhoit說(shuō)：“這些措施中，有一些并不一定能夠?qū)Ω禨tuxnet或相似的攻擊，但是它可以延緩惡意軟件本身的傳播和蔓延。報(bào)告所提出的建議是一些更安全的最佳實(shí)踐做法，它們可以幫助提高ICS設(shè)備的安全級(jí)別。”

即使該報(bào)告列舉了一些重要基礎(chǔ)架構(gòu)供應(yīng)商很可能會(huì)遇到的各種真實(shí)攻擊樣例。但是，Wilhoit認(rèn)為還需要公布更多的危害問(wèn)題，這樣負(fù)責(zé)ICS和SCADA設(shè)備的公司才會(huì)認(rèn)真對(duì)待這些攻擊。他說(shuō)：“一定要讓一些大型公司公布其ICS設(shè)備所受攻擊的信息，然后才會(huì)引起更多公司的注意。”