根據最新的2024年威脅報告,工業控制系統(OT)的網路攻擊事件持續上升,攻擊頻率較去年增加19%。報告分析了這一趨勢背後的關鍵因素,並探討了如何透過防禦性策略應對日益嚴峻的威脅。
地緣政治環境日益緊張影響OT網路攻擊格局
近年來,以政治動機為驅動的駭客攻擊,對物理環境造成影響的事件有所增加。這些攻擊大多與俄羅斯入侵烏克蘭或持續的伊朗-以色列衝突有關。這些攻擊手法雖然通常並不十分複雜,但令人關注新興的大型語言模型AI技術是否會讓駭客的能力得到進一步提升。
同時,國家級攻擊事件也在增加。例如,中國駭客發動了"伏特泰風"行動,破壞了美國50多家電力廠和公用事業公司;俄羅斯則攻擊了丹麥22家大小關鍵基礎設施提供商。"伏特泰風"行動尤其值得關注,因為它採用了"活用已有工具"的技術,這種攻擊手段極難被入侵檢測系統發現和診斷。
勒索軟件 - 攻擊頻率上升的主要推手
2024年威脅報告指出,勒索軟件是導致OT網路攻擊事件持續上升的主要因素。然而,報告也指出,勒索軟件引發的OT後果的年複合增長率低於預期。
這是因為部分勒索軟件犯罪分子似乎已經放棄加密受感染系統的做法,轉而單純勒索贖金以換取不洩露被盜數據的承諾。由於受感染系統被加密、瘫痪的情況減少,因此對OT的影響也相對較少。預計這一趨勢將在今年內趨於穩定,OT攻擊的年複合增長率也將回升到60-100%的歷史水平。
勒索軟件攻擊手法不斷升級
報告提到,如今最為複雜的勒索軟件集團要麼得到了某個國家的支持(例如北韓),要麼有足夠的資金建立起堪比國家級的攻擊工具。這意味著,如今最嚴重的勒索軟件犯罪分子已經具備了相當於國家級的攻擊能力。過去,許多人可能會認為,"我的OT系統並不重要到會成為國家級攻擊的目標",因此只採取有限的網路防禦措施。但如今,無論目標是否重要,都有可能遭到國家級勒索軟件的襲擊。
另一個值得關注的問題是依賴性。勒索軟件攻擊IT網路,加密大量數據,從而癱瘓大量IT伺服器和服務。而OT系統也不得不停止運轉,原因在於其自動化系統依賴一些受到破壞的IT服務。即使勒索軟件從未觸及OT網路,生產也不得不停止,因為關鍵的IT服務已不復存在。這種依賴性問題正在逐步為人所知。OT安全從業者需要審視自己的系統如何依賴IT服務,以及在IT系統遭受攻擊的情況下,停止物理生產是否可以接受。
近 miss 事件分析對增強OT網路安全至關重要
報告提到了關鍵基礎設施行業中的一些"險些發生"的事件。分析這些"近 miss"事件對增強OT網路安全具有重要意義。例如,"伏特泰風"行動之所以重要,是因為它隱藏性強,攻擊者在關鍵基礎設施組織中潛伏了很長時間;而俄羅斯在丹麥的攻擊也很重要,因為它證明了國家級攻擊者正瞄準關鍵基礎設施。
這些"近 miss"事件的分析為我們提供了寶貴的經驗教訓,有助於我們更好地預防和應對未來可能發生的攻擊。
內部威脅不容忽視,需採取多重防範措施
內部人員的不當行為也是OT網路攻擊的重大風險因素。報告指出,為應對內部威脅,組織通常會部署身份和訪問管理、詳細的日誌記錄和取證、入侵檢測以及實施應急響應等措施。
此外,愛達荷國家實驗室提出的"網安融合工程"(CIE)倡議被認為是過去十多年來OT安全領域最有前景的發展。CIE強調OT安全具有"雙向"特徵:一方面要教育工程團隊了解網路威脅和緩解措施,另一方面要鼓勵工程團隊運用強大的工程工具來預防不可接受的後果。
比如,網路工程方法越來越多地應用於後果嚴重的網路邊界,例如單向資訊閘道技術 - 這是一種硬體強制執行的、以工程為導向的預防措施,能夠阻止來自互聯網和IT網路的網路攻擊,甚至是國家級攻擊,進入OT網路。
總的來說,報告強調需要平衡運用IT安全措施和工程級別的緩解手段,以全面、系統地應對OT網路安全面臨的各種威脅。"網安融合工程"倡議為這一方向提供了有益啟發,值得OT運營商深入關注和實踐。
詳情請看: