網(wǎng)絡(luò)威脅針對(duì)能源行業(yè)的形式多種多樣，包括尋求破壞國(guó)家基礎(chǔ)設(shè)施的國(guó)家支持行為體、受利潤(rùn)驅(qū)使的網(wǎng)絡(luò)犯罪分子以及故意制造破壞的內(nèi)部人士。

Darktrace針對(duì)英國(guó)和美國(guó)能源行業(yè)進(jìn)行的一項(xiàng)為期三年(2021年11月至2024年12月)的研究顯示，網(wǎng)絡(luò)攻擊一旦成功，后果可能十分嚴(yán)重，可能會(huì)破壞能源供應(yīng)并造成經(jīng)濟(jì)和社會(huì)損失。

“我們的三年分析揭示，英國(guó)和美國(guó)能源行業(yè)存在亟待關(guān)注的重大漏洞。安全團(tuán)隊(duì)?wèi)?yīng)優(yōu)先考慮以下三個(gè)關(guān)鍵領(lǐng)域：首先，減少OT系統(tǒng)向互聯(lián)網(wǎng)的重大暴露，因?yàn)槟茉葱袠I(yè)在此類易受攻擊的配置方面首當(dāng)其沖，攻擊者可利用此類配置獲得初始訪問(wèn)權(quán)限。其次，實(shí)施全面的資產(chǎn)可見(jiàn)性解決方案，因?yàn)樵撔袠I(yè)大多數(shù)組織缺乏適當(dāng)?shù)膸?kù)存管理，而這一點(diǎn)在我們觀察到的整個(gè)行業(yè)的供應(yīng)鏈攻擊中已被利用。第三，加強(qiáng)電子郵件安全協(xié)議，因?yàn)槲覀兊难芯勘砻鳎?5%的成功攻擊仍然源自網(wǎng)絡(luò)釣魚(yú)活動(dòng)。我們已確定國(guó)家和高級(jí)持續(xù)性威脅(APT)行為體以及專門(mén)針對(duì)工業(yè)控制系統(tǒng)的成熟攻擊者已潛入能源網(wǎng)絡(luò)。隨著該行業(yè)加速向凈零目標(biāo)推進(jìn)數(shù)字化轉(zhuǎn)型，安全團(tuán)隊(duì)必須確保防護(hù)措施同步發(fā)展?！盌arktrace的分析主管Zoe Tilsiter(本報(bào)告作者)向記者介紹道。

電子郵件是初始攻擊載體

美國(guó)和英國(guó)以及各類能源客戶的情況顯示，55%的事件涉及電子郵件或軟件即服務(wù)(SaaS)，使其成為最頻繁的攻擊載體。收件箱仍然是傳遞惡意有效載荷的主要方式，其次是SaaS在整個(gè)部署中的漏洞傳播。

在大多數(shù)情況下，網(wǎng)絡(luò)釣魚(yú)郵件被用來(lái)竊取憑證，從而導(dǎo)致(通常是)Microsoft 365帳戶遭到攻擊。

18%的案件利用并部署了勒索軟件。常見(jiàn)的威脅行為體包括ALPHV/BlackCat和Fog，其他還包括Sodinokibi、Hunters International和KOK08，其中一些勒索軟件組織(例如Sodinokibi)采用勒索軟件即服務(wù)(RaaS)模式，13%的案件因網(wǎng)絡(luò)安全態(tài)勢(shì)薄弱而遭到初次攻擊。

自2022年以來(lái)，歐洲、中東和非洲(EMEA)地區(qū)針對(duì)可再生能源生產(chǎn)商和供應(yīng)商的攻擊明顯增多。2019年至2022年期間，霍尼韋爾(Honeywell)和施耐德電氣(Schneider Electric)等公司遭到疑似與APT28相關(guān)的間諜活動(dòng)攻擊。

2022年4月，烏克蘭的變電站遭到Sandworm(俄羅斯武裝部隊(duì)總參謀部(GRU))的攻擊，其目標(biāo)是IT IEC-104協(xié)議，該協(xié)議與電力公用事業(yè)設(shè)備交互，向變電站設(shè)備發(fā)送電力流指令。

Lazarus組織(朝鮮贊助的APT)利用互聯(lián)網(wǎng)上暴露的VMware Horizon和Unified Access Gateway服務(wù)器上的Log4j漏洞(CVE-2021-44228)攻擊了美國(guó)、加拿大和日本等地的能源公司。

能源行業(yè)的AI應(yīng)用

AI正被廣泛應(yīng)用于各行各業(yè)，能源行業(yè)也不例外，然而，盡管AI潛力巨大，但該行業(yè)尚未完全實(shí)現(xiàn)AI驅(qū)動(dòng)。業(yè)內(nèi)認(rèn)為，如果AI的使用未伴隨充分的培訓(xùn)，可能會(huì)給該行業(yè)帶來(lái)更多風(fēng)險(xiǎn)。目前尚無(wú)確鑿證據(jù)表明AI已被用于攻擊能源行業(yè)。

采用AI的攻擊者可能會(huì)改變攻擊的方式、規(guī)模和速度，從而造成更大破壞。理論上，敵人可利用AI訓(xùn)練語(yǔ)言模型，從而在大范圍內(nèi)進(jìn)行偵察和鎖定目標(biāo)。

“關(guān)于AI將摧毀電網(wǎng)的說(shuō)法，粗略一看似乎頗為可信，但實(shí)際上很多時(shí)候并不明智。我不認(rèn)為我們已接近那個(gè)程度，我們還差得遠(yuǎn)呢?！甭槭±砉W(xué)院(MITRE)網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)創(chuàng)新中心(CIPIC)主任Mark Bristow說(shuō)道。

過(guò)度依賴、外包和云端

該行業(yè)歷來(lái)過(guò)度依賴少數(shù)關(guān)鍵供應(yīng)商和系統(tǒng)，這種依賴集中化增加了單一針對(duì)性攻擊可能對(duì)關(guān)鍵國(guó)家基礎(chǔ)設(shè)施(CNI)產(chǎn)生連鎖影響的風(fēng)險(xiǎn)。正如英國(guó)皇家聯(lián)合軍種研究院(RUSI)所警告的，“關(guān)鍵軟件系統(tǒng)由少數(shù)幾家公司控制”，由于缺乏供應(yīng)商多樣性而帶來(lái)嚴(yán)重風(fēng)險(xiǎn)。

能源行業(yè)高管開(kāi)始考慮將人機(jī)界面(HMI)和甚小孔徑終端(VSAT)等OT設(shè)備以及離散邏輯控制系統(tǒng)和5G通信托管在云端。云端設(shè)置有助于提升規(guī)模和速度，但也帶來(lái)了新的風(fēng)險(xiǎn)。一位美國(guó)專家表示，“風(fēng)險(xiǎn)在于最終將資產(chǎn)連接到以太網(wǎng)轉(zhuǎn)換器并插入云端”。

同時(shí)，能源公司正在外包更多工作，這意味著他們通常不了解其供應(yīng)商使用的軟件是什么，也不清楚其安全性如何。