[[320312]]

自從2015年工控系統(tǒng)(ICS)安全成為黑帽大會的熱門話題以來，過去五年中工控系統(tǒng)安全事故頻率逐年增長，2019年創(chuàng)下新高，以下是《安全牛2019年網(wǎng)絡安全大事記》中工控安全事件統(tǒng)計：

2019年工控安全事件

工控安全威脅和攻擊不斷增長的一個主要原因是攻擊技術的工具化。近年來針對工控系統(tǒng)(ICS)的入侵和攻擊工具呈現(xiàn)快速增長趨勢，使得針對運營技術(OT)網(wǎng)絡和工業(yè)控制系統(tǒng)(ICS)的攻擊門檻大幅下降。

根據(jù)FireEye最新發(fā)布的工控系統(tǒng)安全報告，工控系統(tǒng)攻擊工具的大量涌現(xiàn)使得普通黑客也能實施過去需要特殊知識和高級黑客技術的工控系統(tǒng)攻擊，未來工控系統(tǒng)安全形勢變得極為嚴峻。

值得注意的是，高級工控系統(tǒng)攻擊者也會使用工控系統(tǒng)攻擊工具，以此隱瞞身份或大幅降低攻擊成本。

ICS攻擊工具的十大類別

多年以來，安全研究人員一直在跟蹤大量公開可用的，針對ICS的網(wǎng)絡操作工具，目前最常見的ICS攻擊工具主要可以分為以下十大類：

近年ICS攻擊工具具備三大特點：

• 它們大多數(shù)是在過去十年中開發(fā)的;
• 大多數(shù)工具與供應商無關;
• 主要針對最大的幾家ICS原始設備制造商(例如西門子、施耐德電氣、GE、ABB、Digi International、羅克韋爾自動化和Wind River Systems)使用最廣泛的解決方案。

目前網(wǎng)絡上常見的工控系統(tǒng)攻擊工具主要分為兩大類：一類是“獨立攻擊工具”，另一些則基于流行的利用框架和模塊開發(fā)。

數(shù)量最多的ICS攻擊工具類別：資產(chǎn)發(fā)現(xiàn)

超過一半的“獨立”ICS攻擊工具屬于“資產(chǎn)發(fā)現(xiàn)”，幫助攻擊者了解連接到網(wǎng)絡的ICS設備和軟件開發(fā)工具，十大類別的工控系統(tǒng)攻擊工具的數(shù)量占比統(tǒng)計如下：

通常來說，開發(fā)工控系統(tǒng)攻擊工具，例如ICS專用惡意軟件和勒索軟件，開發(fā)者必須具備有關目標系統(tǒng)和編碼技能的高級知識，這對于大多數(shù)攻擊者來說是無法實現(xiàn)的。

針對ICS的漏洞利用模塊，Metasploit最危險

常見的漏洞利用框架，例如Metasploit(免費)、Core Impact和Immunity Canvas(均為商業(yè)用途)以及最新的針對ICS的利用框架，例如Autosploit、工業(yè)開發(fā)框架(ICSSPLOIT)都提供針對ICS的漏洞利用模塊。在俄羅斯安全研究公司GLEG的不懈努力下，Immunity Canvas目前提供的漏洞利用最多：

FireEye研究人員指出：

在這三個非ICS專用框架中，Metasploit擁有最少的ICS專用漏洞利用程序，但是由于它是免費提供的，因此這些漏洞目前可能對防御者構成最大的危險。

被ICS攻擊工具針對最多的工控系統(tǒng)供應商(西門子、Advantech/Broadwin和施耐德電氣排前三)

總結

知己知彼，百戰(zhàn)不殆。工控系統(tǒng)攻擊工具極大拉低了工控系統(tǒng)攻擊的門檻，使其成為工控系統(tǒng)當下和未來一段時間面臨的最大威脅，對工控網(wǎng)絡攻擊工具的監(jiān)控應當成為工控安全領域的重要風險指標。那些對ICS攻擊工具不夠重視或者缺乏研究的企業(yè)，最有可能成為菜鳥工控黑客拿來練手的目標。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文