近日，卡巴斯基實(shí)驗(yàn)室通過分析卡巴斯基安全網(wǎng)絡(luò)（KSN）收集的數(shù)據(jù)，形成了《2023年H1工業(yè)自動化系統(tǒng)威脅形勢報告》，為2023年上半年的工業(yè)自動化系統(tǒng)威脅形勢提供了全面的分析和解讀，旨在幫助組織更好地應(yīng)對潛在威脅。

全球統(tǒng)計數(shù)據(jù)

整體威脅

2023年上半年，34%的ICS計算機(jī)阻止了惡意對象（所有類型的威脅），這一數(shù)據(jù)比2022年下半年（34.3%）減少了0.3個百分點(diǎn)。

【2023年上半年阻止惡意對象的ICS計算機(jī)百分比】

受攻擊的ICS計算機(jī)百分比在2023年第一季度下降，但隨后在2023年第二季度再次上升，達(dá)到自2022年以來的最高季度數(shù)字——26.8%。

【攔截惡意對象的ICS計算機(jī)百分比，按季度劃分】

在春季（3月至5月），阻止惡意對象的ICS計算機(jī)百分比仍然高于其他三個月。

【2023年1月至6月，阻止惡意對象的ICS計算機(jī)百分比】

地區(qū)表現(xiàn)差異

攔截惡意對象的ICS計算機(jī)比例在不同地區(qū)表現(xiàn)得有所不同，其中，占比最高的是非洲（40.3%），最低的是北歐（14.7%）。

【阻止惡意對象的ICS計算機(jī)的百分比（按地區(qū)分布）】

在過去的半年里，俄羅斯和中亞地區(qū)阻止惡意對象的ICS計算機(jī)百分比顯著增加，原因是大量網(wǎng)站受到感染（包括那些由工業(yè)公司運(yùn)營的網(wǎng)站），這些網(wǎng)站通常使用過時版本的流行俄羅斯CMS。在2023年上半年，這兩個地區(qū)的數(shù)據(jù)都回到了接近2022年上半年的水平。

如上所述，在阻止惡意對象的ICS計算機(jī)百分比中，增幅最大的是西歐（4.6個百分點(diǎn)）、美國和加拿大（1.9個百分點(diǎn)）以及澳大利亞和新西蘭（1.3個百分點(diǎn)）。值得注意的是，北歐和中東地區(qū)增幅雖小但呈穩(wěn)定增長趨勢（各增長0.3個百分點(diǎn)）。

西歐是所有地區(qū)中增幅最大的地區(qū)，在2023年上半年，受到攻擊的ICS計算機(jī)百分比逐月增長（直到5月份），然后在6月份下降至1月份的水平。

【2023年1月至6月，西歐地區(qū)攔截惡意對象的ICS計算機(jī)百分比】

數(shù)據(jù)表明，在2023年上半年，一些威脅行為者重新利用老式網(wǎng)絡(luò)釣魚技術(shù)，瞄準(zhǔn)歐洲組織，包括工業(yè)組織。該技術(shù)涉及用惡意腳本感染網(wǎng)站，該腳本會觸發(fā)一個類似微軟技術(shù)支持窗口的彈出窗口。彈出窗口不包含任何鏈接，而是顯示釣魚信息和可撥打的本地電話號碼。當(dāng)用戶撥打該號碼時，威脅行為者會接聽電話并用當(dāng)?shù)卣Z言進(jìn)行通信，操縱毫無戒心的用戶下載并安裝遠(yuǎn)程訪問工具或多功能間諜軟件。該技術(shù)利用社會工程策略欺騙用戶并獲得對其系統(tǒng)的未經(jīng)授權(quán)訪問，對組織（包括工業(yè)組織）構(gòu)成了嚴(yán)重威脅。

而在西歐地區(qū)，增幅最大的行業(yè)是工程和ICS集成（增幅為6.1個百分點(diǎn)）。

【在選定行業(yè)中阻止惡意對象的ICS計算機(jī)百分比（西歐地區(qū)）】

國家表現(xiàn)差異

攔截惡意對象的ICS計算機(jī)比例在不同國家也有所不同，其中，占比最高的是埃塞俄比亞（53.3%），最低的是盧森堡（7.4%）。

【2023年上半年，攔截惡意對象的ICS計算機(jī)比例最高的15個國家和地區(qū)】

2023年上半年，在阻止惡意對象的ICS計算機(jī)比例最高的15個國家和地區(qū)中，有7個非洲國家、3個中東國家和3個中亞國家。

而在比例最低的10個國家中，有一半位于北歐。

【2023年上半年，攔截惡意對象的ICS計算機(jī)百分比最低的10個國家和地區(qū)】

行業(yè)統(tǒng)計數(shù)據(jù)

2023年上半年，在工程和ICS集成（增加2個百分點(diǎn)），制造（增加1.9個百分點(diǎn)）和能源（增加1.5個百分點(diǎn)）等行業(yè)中阻止惡意對象的ICS計算機(jī)百分比呈現(xiàn)增長趨勢。

【在選定行業(yè)中阻止惡意對象的ICS計算機(jī)百分比】

其中，樓宇自動化在這些行業(yè)中仍處于領(lǐng)先地位。

自2021年以來，能源、石油和天然氣領(lǐng)域攔截惡意對象的ICS計算機(jī)比例呈現(xiàn)相反的趨勢。

【在選定行業(yè)中阻止惡意對象的ICS計算機(jī)百分比，紅色為能源；藍(lán)色為石油和天然氣】

惡意對象類別

2023年上半年，卡巴斯基安全解決方案在工業(yè)自動化系統(tǒng)中攔截了11727種不同的惡意軟件家族。

【ICS計算機(jī)上攔截的惡意軟件家族】

ICS計算機(jī)上被卡巴斯基產(chǎn)品阻止的惡意對象種類繁多，其中占比最大的惡意對象類別包括：

• 惡意腳本和網(wǎng)絡(luò)釣魚頁面，占比7%；
• 列入黑名單（Denylisted）的互聯(lián)網(wǎng)資源，占比3%；
• 間諜軟件，占比6%；
• 惡意文件，占比4%；
• 勒索軟件，占比32%。這是自2020年初以來的最低比例。

【阻止各類惡意對象活動的ICS計算機(jī)百分比】

其中，只有一個類別在2023年上半年有所增長：列入黑名單的互聯(lián)網(wǎng)資源。阻止此類威脅的ICS計算機(jī)百分比實(shí)現(xiàn)了連續(xù)二年的增長。

2022年之前，列入黑名單的互聯(lián)網(wǎng)資源一直穩(wěn)居威脅類別列表的榜首，但在2022年，它開始掉到第二名，僅次于惡意腳本和網(wǎng)絡(luò)釣魚頁面，后者仍然位居榜首。然而，這兩種威脅的價值正在趨同。

【攔截惡意腳本和網(wǎng)絡(luò)釣魚頁面 VS 攔截Denylisted互聯(lián)網(wǎng)資源的ICS計算機(jī)百分比】

惡意腳本和網(wǎng)絡(luò)釣魚頁面（JS和HTML）

惡意腳本和網(wǎng)絡(luò)釣魚頁面（JS和HTML）通過互聯(lián)網(wǎng)和電子郵件傳播。惡意腳本服務(wù)于廣泛的目標(biāo)：從收集數(shù)據(jù)，跟蹤和重定向用戶到惡意網(wǎng)站，到下載各種惡意軟件（如間諜軟件和/或隱蔽的加密礦工）到系統(tǒng)或?yàn)g覽器。

在攔截惡意腳本和釣魚網(wǎng)頁的ICS計算機(jī)中，占比最高的地區(qū)是中東和俄羅斯。半年來，這一數(shù)字在五個地區(qū)有所增長，主要是在美國和加拿大（增長3.3個百分點(diǎn)）、西歐（增長2.2個百分點(diǎn)）以及澳大利亞和新西蘭（增長1.9個百分點(diǎn)）。

攔截惡意腳本和網(wǎng)絡(luò)釣魚頁面的ICS計算機(jī)比例最高的國家是吉爾吉斯斯坦（21%）和阿富汗（20.9%）。

列入黑名單（Denylisted）的互聯(lián)網(wǎng)資源

在阻止Denylisted互聯(lián)網(wǎng)資源的ICS計算機(jī)中，比例最高的地區(qū)是非洲。而就增長趨勢而言，其中增幅最大的是美國和加拿大（3.2個百分點(diǎn)）、東歐（2.6個百分點(diǎn)）以及澳大利亞和新西蘭（2.5個百分點(diǎn)）。

阻止Denylisted互聯(lián)網(wǎng)資源的ICS計算機(jī)比例最高的國家是阿爾及爾（21.8%）和阿富汗（20.2%）。

間諜軟件

阻止間諜軟件的ICS計算機(jī)百分比繼續(xù)下降。這種趨勢的轉(zhuǎn)折點(diǎn)出現(xiàn)在2022年上半年，在此之前（從2020年到2022年上半年）還始終呈現(xiàn)上升趨勢。

【攔截間諜軟件的ICS計算機(jī)百分比】

2023年上半年，在攔截間諜軟件的ICS計算機(jī)中，比例最高的地區(qū)是非洲。中東和東南亞的比例也同樣高。

而就國家而言，名列前茅的是塔吉克斯坦（18.9%）、阿爾及爾（16.7%）和阿富汗（16.6%）。

惡意文件（MSOffice +PDF）

黑客通過網(wǎng)絡(luò)釣魚信息傳播惡意文件，并利用它們進(jìn)行攻擊，目的是引起初次感染。在2022年上半年，全球阻止此類威脅的ICS計算機(jī)比例增加了一倍以上，此后便一直呈現(xiàn)下降趨勢。然而，在2023年上半年，這一比例仍高于2020-2021年。

【阻止惡意文檔的ICS計算機(jī)百分比】

受害者人數(shù)最多的地區(qū)是拉丁美洲和南歐。這些地區(qū)攔截電子郵件威脅的ICS計算機(jī)比例也最高。美國和加拿大攔截惡意文件的計算機(jī)百分比增幅最大（0.72個百分點(diǎn)）。

阻止惡意文件的ICS計算機(jī)比例最高的國家是阿爾及爾（16.7%）和阿富汗（16.6%）。

惡意加密貨幣礦工

礦工病毒通常通過網(wǎng)站傳播，黑客會在各種媒體和盜版網(wǎng)站上部署惡意腳本，并將用戶重定向到這些網(wǎng)站。

全球阻止惡意礦工（包括Windows可執(zhí)行文件和web礦工）的ICS計算機(jī)百分比在2023年上半年有所下降。

2023年上半年，在阻止惡意礦工的ICS計算機(jī)中，比例最高的地區(qū)是中亞。而就國家而言，比例最高的是塔吉克斯坦（7.9%）和土庫曼斯坦（7.4%）。

病毒和蠕蟲

阻止蠕蟲的ICS計算機(jī)百分比繼續(xù)下降，這可能間接表明各組織在OT環(huán)境中系統(tǒng)地使用了安全解決方案，從而消除了感染熱點(diǎn)并防止了自我傳播式惡意軟件的傳播。

與2022年下半年相比，2023年上半年阻止病毒和蠕蟲的ICS計算機(jī)百分比幾乎沒有變化。

【阻止病毒和蠕蟲的ICS計算機(jī)百分比】

病毒和蠕蟲通過可移動介質(zhì)、共享文件夾、受感染的文件（如備份）以及對過時軟件（如Radmin2）的網(wǎng)絡(luò)攻擊在ICS網(wǎng)絡(luò)中傳播。

有許多相對較舊的病毒和蠕蟲仍在傳播，例如Kido/Conficker。盡管命令和控制服務(wù)器已關(guān)閉，但這些較舊的蠕蟲和病毒構(gòu)成了兩個威脅：第一，破壞了受感染系統(tǒng)的安全性，例如它們打開網(wǎng)絡(luò)端口并更改設(shè)置，第二，可能導(dǎo)致軟件崩潰或拒絕服務(wù)情況。

然而，在ICS網(wǎng)絡(luò)中也可以看到新版本的蠕蟲，攻擊者用來在受感染的網(wǎng)絡(luò)中傳播間諜軟件、勒索軟件和礦工。通常，這些蠕蟲通過利用網(wǎng)絡(luò)服務(wù)中的漏洞進(jìn)行傳播，例如SMB 或RDP，這些漏洞已被供應(yīng)商修復(fù)但仍存在于OT 環(huán)境中，或者通過使用早期竊取的身份驗(yàn)證數(shù)據(jù)，甚至通過暴力破解密碼進(jìn)行傳播。

勒索軟件

攔截勒索軟件的ICS計算機(jī)比例在2022年上半年有所增加，但在2023年上半年降至2020年以來的最低水平。

【攔截勒索軟件的ICS計算機(jī)百分比】

其中，東亞和中東是2023年上半年ICS計算機(jī)遭受勒索軟件攻擊比例最高的地區(qū)。

在全球大部分地區(qū)，受到勒索軟件攻擊的ICS計算機(jī)比例有所下降。在澳大利亞和新西蘭增長了0.19個百分點(diǎn)，在美國和加拿大增長了0.13個百分點(diǎn)，在北歐和東歐略有增長。

主要威脅來源

互聯(lián)網(wǎng)、電子郵件客戶端和可移動設(shè)備仍然是企業(yè)運(yùn)營技術(shù)基礎(chǔ)設(shè)施中計算機(jī)的主要威脅來源。

• 互聯(lián)網(wǎng)占3%；
• 電子郵件客戶端占6%；
• 可移動設(shè)備占4%。

【阻止各種威脅來源的ICS計算機(jī)百分比】

好消息是，在2023年上半年，幾乎所有主要威脅來源的ICS計算機(jī)上攔截惡意對象的百分比都有所下降。

與整體威脅統(tǒng)計數(shù)據(jù)的情況一樣，阻止各種威脅來源的ICS計算機(jī)百分比因地區(qū)和國家而異。

國家地區(qū)差異

互聯(lián)網(wǎng)威脅來源

2023年上半年，阻止互聯(lián)網(wǎng)威脅的ICS計算機(jī)比例最高的地區(qū)是非洲、中東和俄羅斯。

【2023年上半年，阻止互聯(lián)網(wǎng)威脅的ICS計算機(jī)百分比排名（按地區(qū)分布）】

2023年上半年，在阻止互聯(lián)網(wǎng)威脅的ICS計算機(jī)中，增幅最大的地區(qū)反而是那些被認(rèn)為是“最安全的”地區(qū)：西歐（增長2.6個百分點(diǎn)）、美國和加拿大（增長2個百分點(diǎn)）、澳大利亞和新西蘭（增長1.4個百分點(diǎn)）。

電子郵件客戶端

自2022年上半年以來，南歐一直是攔截惡意電子郵件附件和網(wǎng)絡(luò)釣魚鏈接的ICS計算機(jī)比例最高的地區(qū)。

在美國和加拿大（增長了0.3個百分點(diǎn)）、西歐（增長了0.4個百分點(diǎn)）和俄羅斯（增長了0.1個百分點(diǎn)），阻止電子郵件威脅的ICS計算機(jī)百分比有所增長。

【2023年上半年，阻止惡意電子郵件附件和網(wǎng)絡(luò)釣魚鏈接的ICS計算機(jī)百分比排序】

如圖所示，在這15個國家和地區(qū)的ICS計算機(jī)中，南歐和東歐的惡意電子郵件附件和網(wǎng)絡(luò)釣魚鏈接被攔截的比例最高。因此，格外提醒這些國家的信息安全專業(yè)人員要特別注意保護(hù)員工免受網(wǎng)絡(luò)釣魚電子郵件攻擊。

可移動設(shè)備

在阻止可移動設(shè)備威脅的ICS計算機(jī)中，比例最高的地區(qū)是非洲和亞洲。2023年上半年，非洲的這一數(shù)字略有增長（增長0.63個百分點(diǎn)），澳大利亞和新西蘭的這一數(shù)字增長了一倍多（增長1.2個百分點(diǎn)）。因此，建議這些國家的信息安全專業(yè)人員特別注意保護(hù)員工免受網(wǎng)絡(luò)釣魚電子郵件攻擊。

網(wǎng)絡(luò)文件夾

網(wǎng)絡(luò)文件夾是惡意對象的一個次要來源。東亞、東南亞和中亞地區(qū)阻止網(wǎng)絡(luò)文件夾威脅的ICS計算機(jī)比例最高。在澳大利亞和新西蘭，這一數(shù)字在半年時間里翻了一番，使該地區(qū)排名第四。

【2023年上半年，阻止網(wǎng)絡(luò)文件夾中惡意對象的ICS計算機(jī)百分比排序】

原文鏈接：https://securelist.com/threat-landscape-for-industrial-automation-systems-statistics-for-h1-2023/110605/