2022年網(wǎng)絡安全事件頻發(fā)，給工業(yè)基礎設施所有者和運營商帶來了諸多問題。然而，幸運的是，我們并未在整個威脅格局中看到任何突發(fā)的或災難性的變化，換句話說，沒有一個是難以處理的，盡管媒體為許多事件附上了聳人聽聞的標題。

不過，卡巴斯基預測，未來一年的形勢可能要復雜得多。在分析2022年的網(wǎng)絡安全事件時，我們必須承認，我們已經(jīng)邁入了一個新時代：工業(yè)企業(yè)和運營技術（OT）基礎設施的威脅格局中最重大的變化，主要由地緣政治趨勢和相關的宏觀經(jīng)濟因素決定。

網(wǎng)絡犯罪分子具有無國界屬性；他們也會密切關注全球政治和經(jīng)濟趨勢，因為他們想要輕松獲利，同時確保自己的人身安全。傳統(tǒng)上歸咎于各國政府情報機構的APT活動，總是隨著外交政策的發(fā)展以及國家和政府間集團內部目標的變化而進行。

APT世界的發(fā)展

內部和外部的政治變化將為APT活動提供新的方向。

攻擊地域的變化

隨著現(xiàn)有戰(zhàn)術和戰(zhàn)略聯(lián)盟的轉變，以及新的戰(zhàn)術和戰(zhàn)略聯(lián)盟的出現(xiàn)，攻擊地域將不可避免地發(fā)生變化。隨著聯(lián)盟的轉變，我們看到國家間出現(xiàn)了前所未見的網(wǎng)絡安全緊張關系。昨天的盟友可能變成今天的目標。

行業(yè)焦點的變化

我們將看到APT活動很快就會改變對特定行業(yè)的關注，因為不斷變化的地緣政治現(xiàn)實與經(jīng)濟變化密切相關。因此，我們應該很快就會看到針對以下行業(yè)的攻擊：

• 農(nóng)業(yè)、化肥、農(nóng)業(yè)機械和食品制造業(yè)，這一切都是由于即將到來的糧食危機和不斷變化的糧食市場；
• 物流和運輸（包括能源資源的運輸），由于全球物流鏈的不斷變化；
• 能源部門、礦產(chǎn)資源的開采和加工、有色和黑色金屬冶金、化學工業(yè)、造船、儀器和機床制造，因為這些公司的產(chǎn)品和技術的可用性是單個國家和政治聯(lián)盟的經(jīng)濟安全基礎的一部分；
• 替代能源領域，特別是在地緣政治議程上的位置；
• 高科技、制藥和醫(yī)療設備生產(chǎn)商，因為這些是確保技術獨立性不可或缺的部分。

針對傳統(tǒng)目標的持續(xù)攻擊

當然，我們仍然會看到針對傳統(tǒng)目標的APT攻擊，主要的APT攻擊重點包括：

• 軍工企業(yè)，隨著地緣政治持續(xù)緊張，對抗升級到紅色警戒狀態(tài)，軍事對抗的可能性越來越大，成為攻擊者的主要驅動因素；
• 政府部門——預計攻擊將集中在與經(jīng)濟工業(yè)部門增長相關的政府舉措和項目的信息收集上；
• 關鍵基礎設施——攻擊的目標是獲得立足點以備將來使用，但有時，當特定國家之間的沖突處于激烈狀態(tài)時，目標甚至可能轉變?yōu)樵斐杉磿r和直接的破壞。

威脅形勢的其他變化

我們也發(fā)現(xiàn)了其他一些重要變化，這些變化勢必將對整體威脅形勢產(chǎn)生越來越大的影響：

• 越來越多的黑客關注內部和外部政治議程。這些攻擊將獲得更多結果，實現(xiàn)從量變到質變的飛躍；
• 無論是在企業(yè)中，還是在技術開發(fā)商及供應商中，有意識形態(tài)和政治動機的內部人員，以及與犯罪（主要是勒索軟件）和APT集團合作的內部人員的風險越來越大；
• 對關鍵基礎設施的勒索軟件攻擊將變得更有可能；
• 由于不同國家執(zhí)法機構之間的溝通障礙，以及網(wǎng)絡安全方面的國際合作陷入停滯，網(wǎng)絡犯罪分子將能夠自由地攻擊“敵對”國家的目標。這適用于所有類型的網(wǎng)絡威脅，并將對所有行業(yè)的企業(yè)和所有類型的OT基礎設施造成威脅；
• 犯罪憑證收集活動將增加，以響應對企業(yè)系統(tǒng)初始訪問日益增長的需求。

地緣政治起伏帶來的風險因素

當前的形勢迫使工業(yè)組織做出一個極其復雜的選擇——他們應該使用哪些產(chǎn)品和來自哪個供應商的產(chǎn)品，以及為什么。

一方面，我們看到產(chǎn)品和服務（包括OEM）供應鏈中的信任關系缺失，這反過來將增加使用許多公司慣用產(chǎn)品的風險：

• 當供應商結束對產(chǎn)品的支持或離開市場時，部署安全更新將變得更加困難；
• 這同樣適用于由于安全供應商離開市場而停止定期更新時，安全解決方案質量下降的情況；
• 不能完全排除通過政治壓力將一些小市場主體的產(chǎn)品、技術和服務武器化的可能性。然而，當涉及到全球市場領導者和享有盛名的供應商時，這種可能性是極小的，甚至是不可能的。

另一方面，尋找替代解決方案可能是極其復雜的。本地供應商的產(chǎn)品，其安全開發(fā)文化通常明顯低于全球領先企業(yè)，很可能存在簡單的安全錯誤和零日漏洞，使它們很容易淪為網(wǎng)絡犯罪分子和黑客的目標。

除此之外，還需要考慮一些影響每個人的風險因素：

• 威脅檢測的質量下降，因為信息系統(tǒng)（IS）開發(fā)商失去了一些市場，導致流失部分合格的IS專家。對于所有面臨政治壓力的安全供應商來說，這是一個真正的風險因素；
• 位于新“鐵幕/無形屏障”兩端甚至同一端的IS開發(fā)商和研究人員之間的溝通中斷（由于當?shù)厥袌龅母偁幖觿。?，無疑將降低目前正在開發(fā)的安全解決方案的檢測率；
• CTI質量下降：毫無根據(jù)的出于政治動機的網(wǎng)絡威脅歸因，夸大的威脅，由于政治壓力和試圖利用政府的政治敘事來賺取額外的利潤而降低陳述的有效性標準；
• 政府試圖整合有關事件、威脅和漏洞的信息，并限制對這些信息的獲取，這削弱了整體意識，因為信息有時可能在沒有充分理由的情況下被保密。同時，這會增加機密數(shù)據(jù)泄露的風險（例如，在國家漏洞數(shù)據(jù)庫中錯誤發(fā)布的RCE的PoC）。這一問題可以通過在公共部門建立廣泛的網(wǎng)絡安全能力來解決，以確保敏感的網(wǎng)絡安全信息的負責任的處理和高效協(xié)調的漏洞披露能夠得到保證；
• 由于政府在工業(yè)企業(yè)運營中的作用越來越大，包括與政府云和服務的連接，有時這可能比一些最好的私人云和服務的保護程度更低，因此存在額外的IS風險；

額外的技術風險因素

競爭更高效率的數(shù)字化。工業(yè)物聯(lián)網(wǎng)（IIoT）和SmartXXX（包括預測性維護系統(tǒng)和數(shù)字孿生技術）導致攻擊面大大增加。CMMS（計算機化維護管理系統(tǒng)）上的攻擊統(tǒng)計數(shù)據(jù)證實了這一點。

2022年H1 CMMS遇襲百分比排名前10的國家：

• 一方面，不斷上漲的能源運營商價格和由此導致的硬件價格上漲，將迫使許多企業(yè)放棄部署本地基礎設施的計劃，轉而支持來自第三方供應商的云服務（這增加了IS風險）。此外，這將對分配給IT/OT安全的預算產(chǎn)生負面影響。
• 各種無人駕駛車輛和裝置（卡車、無人機、農(nóng)業(yè)設備等）的部署，可以被濫用為攻擊目標或工具。

未來攻擊中最值得注意的技術和戰(zhàn)術

不要沉迷于任何關于最先進的攻擊者所使用的戰(zhàn)術和技術的幻想中，例如與領先國家的情報機構相關聯(lián)的APT活動。也不要過度關注那些最不合格的威脅行為者所使用的戰(zhàn)術和技術，因為他們不太可能想出有趣的或新的東西，而且大多數(shù)組織已經(jīng)部署的安全解決方案可以有效地阻止他們的攻擊。

讓我們把注意力集中在中間部分——即更活躍的APT組織使用的技術和戰(zhàn)術，其活動通常被歸結為符合中東和遠東國家的利益，也被更先進的網(wǎng)絡犯罪分子使用，如勒索軟件組織。

根據(jù)對此類攻擊和相關事件的調查經(jīng)驗，我們認為ICS網(wǎng)絡安全專家需要關注以下戰(zhàn)術和技術：

• 在合法網(wǎng)站上嵌入釣魚網(wǎng)頁和腳本；
• 使用木馬化的“破解”發(fā)行包、“補丁”以及常用和專業(yè)軟件的密鑰生成器（這將受到許可成本上升和供應商因政治壓力而離開某些市場等因素的激化）；
• 釣魚郵件涉及的時事主題極具戲劇性，包括政治性的事件；
• 以前針對相關組織或合作伙伴的攻擊中竊取的文件將被用作釣魚郵件的誘餌；
• 通過被破壞的郵箱將釣魚郵件偽裝成合法的工作信函進行分發(fā)；
• day漏洞——關閉這些漏洞的速度會更慢，因為一些解決方案的安全更新將變得更難以訪問。
• 利用愚蠢的配置錯誤（如未能更改默認密碼）和“新”供應商產(chǎn)品的零日漏洞，包括本地產(chǎn)品。這類產(chǎn)品的大規(guī)模推出是不可避免的，盡管人們嚴重懷疑開發(fā)人員的安全成熟度。例如，“在密碼字段中輸入密碼xyz”這樣的建議可以在許多小型“本地”供應商產(chǎn)品的安裝說明和用戶手冊中找到。此外，很少能在這些供應商的網(wǎng)站上找到關于從通用組件和OEM技術繼承的漏洞的信息。
• 利用“本地”服務提供商和政府信息系統(tǒng)的云服務中的固有安全缺陷；
• 利用安全解決方案中的配置錯誤。這包括在不輸入管理員密碼的情況下禁用防病毒產(chǎn)品的可能性（如果攻擊者可以輕松禁用防病毒，那么防病毒幾乎是無用的）。另一個例子是IS解決方案的集中管理系統(tǒng)的安全性較弱。在這種情況下，IS解決方案不僅容易被繞過，而且還可以被用來橫向移動，例如，傳遞惡意軟件或獲得對“隔離”網(wǎng)段的訪問權限，并繞過訪問控制規(guī)則；
• 使用流行的云服務作為CnC/C2——即使在攻擊被識別后，受害者可能仍然無法阻止它，因為重要的業(yè)務流程可能依賴于云；
• 利用合法軟件的漏洞，例如，使用DLL劫持和BYOVD（自帶漏洞的驅動程序）來繞過終端安全解決方案；
• 通過可移動媒體傳播惡意軟件，以攻克氣隙系統(tǒng)。