SecureList預(yù)測(cè)，2018年工控安全將會(huì)面臨這些方面的風(fēng)險(xiǎn)， 包括惡意軟件及惡意工具不斷出現(xiàn)、地下黑市提供攻擊服務(wù)、定向勒索攻擊、工業(yè)間諜，但犯罪團(tuán)伙尚未找到攻擊工控系統(tǒng)盈利的辦法。與此同時(shí)，國(guó)家規(guī)定也在發(fā)生變化，工業(yè)安全保險(xiǎn)日益走熱。

[[214244]]

2017年工控安全態(tài)勢(shì)

2017年影響工控信息安全事件最集中爆發(fā)的年頭之一。安全研究員發(fā)現(xiàn)并上報(bào)了數(shù)百個(gè)新漏洞，警告稱工控系統(tǒng)和工藝流程中存在新威脅向量，提供了工業(yè)系統(tǒng)突發(fā)感染數(shù)據(jù)，并發(fā)現(xiàn)了定向攻擊(例如， Shamoon 2.0 / StoneDrill )。自從震網(wǎng)( Stuxnet )病毒曝光以來(lái)，研究員首次發(fā)現(xiàn)了惡意工具包 CrashOverride / Industroyer ，即一種用于攻擊物理系統(tǒng)的網(wǎng)絡(luò)工具。

然而，2017年工業(yè)系統(tǒng)遭遇的最嚴(yán)重威脅是加密勒索軟件攻擊。卡巴斯基實(shí)驗(yàn)室發(fā)布的ICS CERT(工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急小組)報(bào)告指出，專家上半年發(fā)現(xiàn)了33個(gè) 惡意軟件 家族的加密勒索軟件。全球63個(gè)國(guó)家的大量攻擊被攔截。WannaCry 和 ExPetr 毀滅性勒索軟件攻擊似乎使工業(yè)企業(yè)對(duì)關(guān)鍵生產(chǎn)系統(tǒng)防護(hù)的態(tài)度開始發(fā)生轉(zhuǎn)變。

2018年工控安全預(yù)測(cè) 面臨8個(gè)方面的威脅

1. 一般和突發(fā)惡意軟件感染有所上升

除極少數(shù)個(gè)例之外，網(wǎng)絡(luò)犯罪團(tuán)伙尚未研究出通過(guò)攻擊工業(yè)信息系統(tǒng)而獲利的簡(jiǎn)單可靠的方案。他們通常利用通用惡意代碼攻擊更為傳統(tǒng)的目標(biāo)(如公司網(wǎng)絡(luò))，引起工業(yè)網(wǎng)絡(luò)的突發(fā)感染和事件。這種趨勢(shì)在2018年仍將持續(xù)。同時(shí)，我們還可能會(huì)看到這種趨勢(shì)會(huì)為工業(yè)環(huán)境帶來(lái)更為嚴(yán)峻的安全挑戰(zhàn)。盡管安全社區(qū)不止一次地警告工業(yè)公司要定期更新工業(yè)系統(tǒng)中的軟件與公司網(wǎng)絡(luò)保持一致，但仍未引起公司的重視。

2. 定向勒索軟件攻擊的風(fēng)險(xiǎn)更高

WannaCry和ExPetr攻擊發(fā)生后，安全專家和 網(wǎng)絡(luò)犯罪 分子均得出：運(yùn)營(yíng)技術(shù)(OT)系統(tǒng)一般可通過(guò)網(wǎng)絡(luò)接入，與IT系統(tǒng)相比，更容易受到攻擊，而且，惡意軟件造成的損害更大，更難防護(hù)。工業(yè)公司展示了防御針對(duì)OT 基礎(chǔ)設(shè)施 的網(wǎng)絡(luò)攻擊的難度。所有這些因素促使工業(yè)系統(tǒng)成為勒索軟件攻擊所青睞的目標(biāo)。

3. 工業(yè)網(wǎng)絡(luò)間諜事件增長(zhǎng)

勒索攻擊 為工業(yè)公司帶來(lái)的威脅日益增長(zhǎng)，催生了其他領(lǐng)域的網(wǎng)絡(luò)犯罪：通過(guò)竊取工業(yè)信息系統(tǒng)的數(shù)據(jù)籌備和實(shí)施定向(包括勒索軟件)攻擊。

4. 地下黑市的新活動(dòng)主要集中于提供攻擊服務(wù)和入侵工具

近些年，我們發(fā)現(xiàn)黑市對(duì)于ICS 0Day漏洞 攻擊的需求日益增長(zhǎng)，可以斷定犯罪分子正在籌備定向攻擊活動(dòng)。我們預(yù)計(jì)2018年攻擊者對(duì)此類活動(dòng)的熱情更高，這將帶動(dòng)黑市的增長(zhǎng)，導(dǎo)致工業(yè)公司的一部分新的ICS配置數(shù)據(jù)和憑證被竊取，還可能會(huì)出現(xiàn)基于工業(yè)節(jié)點(diǎn)產(chǎn)品組建的僵尸網(wǎng)絡(luò)。設(shè)計(jì)和開展針對(duì)物理對(duì)象和系統(tǒng)的高級(jí)網(wǎng)絡(luò)攻擊需要ICS和相關(guān)行業(yè)的專業(yè)知識(shí)。預(yù)計(jì)這些需求會(huì)推動(dòng) 惡意軟件即服務(wù) 、攻擊向量設(shè)計(jì)即服務(wù)、攻擊行動(dòng)即服務(wù)等領(lǐng)域的增長(zhǎng)。

5. 新型惡意軟件和惡意工具

可能會(huì)出現(xiàn)用于攻擊工業(yè)網(wǎng)絡(luò)和資產(chǎn)的新惡意軟件。這些惡意軟件行動(dòng)隱蔽，潛伏在IT網(wǎng)絡(luò)中逃避檢測(cè)，只在不太安全的OT設(shè)施中激活。還可能出現(xiàn)面向低級(jí)的ICS設(shè)備和物理資產(chǎn)(泵和電源開關(guān)等)的勒索軟件。

6. 犯罪分子可能會(huì)利用安全廠商發(fā)布的 ICS 威脅分析文章

研究員公開發(fā)布了工業(yè)資產(chǎn)和基礎(chǔ)設(shè)施相關(guān)的各種攻擊向量，并分析了所發(fā)現(xiàn)的惡意工具集，這些工作做得很出色。然而，這也給犯罪分子提供了新的可乘之機(jī)。例如，CrashOverride/Industroyer工具集披露后，黑客就向電力和能源設(shè)施發(fā)起了拒絕服務(wù) DDoS攻擊 。犯罪分子還引入了勒索軟件，甚至制定了停電期間的獲利計(jì)劃。他們還可基于 可編程邏輯控制器(PLC)蠕蟲 概念構(gòu)建可運(yùn)行的惡意蠕蟲。還有犯罪分子還試圖利用一種標(biāo)準(zhǔn)的PLC編程語(yǔ)言實(shí)現(xiàn)惡意軟件。此外，他們還可能會(huì)對(duì)這一PLC感染概念進(jìn)行了改進(jìn)。目前，現(xiàn)有安全方案還無(wú)法發(fā)現(xiàn)這兩類惡意軟件。

7. 國(guó)家規(guī)定發(fā)生變化

2018年將實(shí)行多個(gè)工業(yè)系統(tǒng)相關(guān)網(wǎng)絡(luò)安全規(guī)定。例如，涉及 關(guān)鍵基礎(chǔ)設(shè)施 和工業(yè)資產(chǎn)設(shè)施的公司可能須進(jìn)行更多的 安全評(píng)估 。這必定會(huì)提升防護(hù)和 安全意識(shí) ，使我們可能會(huì)發(fā)現(xiàn)更多新漏洞，曝光更多威脅。

8. 工業(yè)安全保險(xiǎn)日益走熱 ， 投資呈上升趨勢(shì)

 對(duì)于工業(yè)企業(yè)來(lái)說(shuō)，工業(yè)網(wǎng)絡(luò)風(fēng)險(xiǎn)保險(xiǎn)正逐漸成為風(fēng)險(xiǎn)管理的不可或缺的一部分。以前，網(wǎng)絡(luò)安全事件與恐怖事件一樣不會(huì)在保險(xiǎn)合同中體現(xiàn)。然而，當(dāng)前形勢(shì)正在發(fā)生變化， 網(wǎng)絡(luò)安全公司和保險(xiǎn)公司都采取了新舉措。2018年，安全審計(jì)/評(píng)估和 事件響應(yīng) 均呈上升趨勢(shì)，促使工業(yè)設(shè)施負(fù)責(zé)者和經(jīng)營(yíng)者提升網(wǎng)絡(luò)安全意識(shí)。