TRITON、Mirai以及Stuxnet等惡意軟件的大爆發(fā)，無一不在警告我們：數(shù)據(jù)顯示的威脅遠比我們預(yù)期的要嚴重得多!

[[250207]]

互聯(lián)工業(yè)企業(yè)Honeywell(霍尼韋爾)在其針對50個工業(yè)站點的掃描結(jié)果中發(fā)現(xiàn)，近一半(44%)的USB設(shè)備存在包含惡意軟件的文件。

此次識別出的威脅(其中55%為木馬病毒)主要針對一系列工業(yè)場所(包括煉油廠、化工廠以及紙漿和紙張制造廠)實施攻擊活動。

Honeywell公司表示，在此次監(jiān)測到的威脅中，大約有26%的威脅能夠“導(dǎo)致運營商失去對其運營的可見性或控制權(quán)，從而造成嚴重的服務(wù)/運營中斷后果”。

據(jù)悉，該研究是第一份專注于工業(yè)控制環(huán)境中USB安全的商業(yè)研究報告。

USB惡意軟件風(fēng)險：許多公司禁止使用

該報告發(fā)布之際，包括IBM在內(nèi)的許多公司都因為安全風(fēng)險問題而明令禁止使用U盤等便攜式存儲設(shè)備。

例如，在2018年5月發(fā)布的一份咨詢報告中，IBM的全球首席信息官Shamla Naidoo就曾表示，其公司正在進一步深入“禁止向所有可移動便攜式存儲設(shè)備(如USB、SD卡、閃存驅(qū)動器等)傳輸數(shù)據(jù)的實踐做法。”

隨著越來越多的滲透測試人員和黑帽子攻擊者加速利用愛德華·斯諾登(Edward Snowden)所泄露的NSA技術(shù)，諸如此類(禁用USB等設(shè)備)的步驟也開始隨之而來。根據(jù)斯諾登泄露的資料顯示：NSA可以通過一項私密技術(shù)侵入并未接入網(wǎng)絡(luò)的電腦，這項技術(shù)至少自2008年以來就一直在使用，它依賴的是一條無線電波隱蔽信道。而無線電波通過秘密插入在電腦中的小型電路板和USB卡進行傳輸。

這表明NSA使用隱蔽的基于USB的通道，可以完成軟件修改、數(shù)據(jù)滲入和滲出等操作，同時還提升了企業(yè)對USB使用風(fēng)險的認識。

比我們預(yù)期的更嚴重的威脅

霍尼韋爾公司表示，數(shù)據(jù)顯示出了比我們預(yù)期更嚴重的威脅，而且研究結(jié)果表明，其中一些威脅是針對性的、蓄意的。此外，這項研究也證實了我們多年來一直懷疑的一個問題——即USB威脅對于工業(yè)運營商而言是真實存在的。而令人驚訝的只是沒想到威脅的范圍和嚴重程度會達到如此地步。

據(jù)悉，該報告所審查的數(shù)據(jù)主要來自Honeywell的Secure Media Exchange(SMX)智能網(wǎng)關(guān)技術(shù)，SMX是一種媒體掃描解決方案，可以在USB驅(qū)動器連接到網(wǎng)絡(luò)之前對驅(qū)動器上的惡意軟件及病毒進行徹底掃描。而且SMX軟件會隨著最新威脅的變化而自動更新，以便在有效期限范圍內(nèi)獲得不間斷的技術(shù)支持以及數(shù)據(jù)庫的更新。

在檢測到的威脅中(其中55%為木馬病毒)存在很多備受矚目且眾所周知的問題，例如TRITON和Mirai，以及Stuxnet的變種，其中Stuxnet(震網(wǎng))蠕蟲就是一種民族國家用來破壞工業(yè)運營的攻擊類型。

在發(fā)現(xiàn)的惡意軟件中，9%被設(shè)計為直接利用USB協(xié)議或接口漏洞，使USB傳輸更加有效——特別是在較易受USB攻擊影響的較舊或配置較差的計算機上。

而有些惡意軟件更為先進，會直接攻擊USB接口本身：2%與常見的人機接口設(shè)備(HID)攻擊有關(guān)，這會使USB主機控制器誤認為存在鍵盤連接，從而允許惡意軟件鍵入命令并操縱應(yīng)用程序。

最后，霍尼韋爾表示，根據(jù)對比測試顯示，在我們檢測到的威脅中有高達11%的威脅未被更傳統(tǒng)的反惡意軟件技術(shù)檢測出來。