今日頭條
官方微信
官方抖音
資訊頻道工業(yè)計(jì)算機(jī)連接外部世界的情況增多,對(duì)工業(yè)計(jì)算機(jī)的網(wǎng)絡(luò)攻擊也逐漸成為一種日趨嚴(yán)重的威脅——因?yàn)榇祟?lèi)事件可導(dǎo)致物理傷害和整個(gè)系統(tǒng)的生產(chǎn)宕機(jī)。而且,工業(yè)企業(yè)無(wú)法提供服務(wù)還會(huì)嚴(yán)重?fù)p害一個(gè)地區(qū)的社會(huì)福利、生態(tài)和宏觀經(jīng)濟(jì)。因此,工業(yè)網(wǎng)絡(luò)安全越來(lái)越重要,越來(lái)越受重視。
鑒于工業(yè)控制系統(tǒng)(ICS)的重要性,我們必須了解ICS領(lǐng)域的主要趨勢(shì),從業(yè)務(wù)和威脅的角度理解這些趨勢(shì)。
業(yè)務(wù)角度
2018年6月,卡巴斯基實(shí)驗(yàn)室發(fā)布了第二份年度報(bào)告《2018工業(yè)網(wǎng)絡(luò)安全狀態(tài)》,一份基于對(duì)全球320位ICS網(wǎng)絡(luò)安全決策者的調(diào)查訪(fǎng)問(wèn)分析了工業(yè)網(wǎng)絡(luò)安全現(xiàn)狀的調(diào)查。
該報(bào)告揭示了ICS網(wǎng)絡(luò)安全的一些有趣事實(shí),反映出ICS公司是如何看待這一關(guān)鍵領(lǐng)域的。
ICS網(wǎng)絡(luò)安全很重要,但…
主要發(fā)現(xiàn)之一:盡管3/4的受訪(fǎng)公司都聲稱(chēng)ICS網(wǎng)絡(luò)安全非常重要,但他們往往并未執(zhí)行相關(guān)的安全措施。
比如說(shuō),超過(guò)3/4的受訪(fǎng)公司企業(yè)認(rèn)為自己很有可能或至少有可能成為ICS網(wǎng)絡(luò)攻擊的目標(biāo),但僅有23%的公司符合行業(yè)或政府關(guān)于ICS網(wǎng)絡(luò)安全的最低監(jiān)管要求。
盡管超過(guò)半數(shù)(51%)的公司稱(chēng)自己在過(guò)去一年中未遭受過(guò)任何數(shù)據(jù)泄露或安全事件,問(wèn)題的關(guān)鍵在于他們是否意識(shí)到遭遇了攻擊。很多公司根本不檢測(cè)或跟蹤攻擊。10%的受訪(fǎng)者至今沒(méi)有計(jì)量自身遭受過(guò)的事件和數(shù)據(jù)泄露的數(shù)量。
而且,因?yàn)槭茉L(fǎng)公司才剛剛開(kāi)始數(shù)字轉(zhuǎn)型過(guò)程,他們的攻擊界面必然會(huì)隨其數(shù)字化程度的加深而擴(kuò)大。
問(wèn)題與挑戰(zhàn)
公司企業(yè)對(duì)潛在網(wǎng)絡(luò)攻擊最大的顧慮是產(chǎn)品及服務(wù)受損和人員傷亡。大多數(shù)公司不同程度地將網(wǎng)絡(luò)破壞與商業(yè)成功聯(lián)系在了一起。網(wǎng)絡(luò)安全事件造成的產(chǎn)品質(zhì)量受損(54%)直接與客戶(hù)信任流失(40%)相關(guān),敏感商業(yè)信息泄露則與合約或商業(yè)機(jī)會(huì)損失(22%)相關(guān)。
公司企業(yè)幾乎所有部門(mén)都面臨嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)。對(duì)58%的受訪(fǎng)公司而言,主要挑戰(zhàn)是雇到具備合適技能的ICS網(wǎng)絡(luò)安全人員,網(wǎng)絡(luò)安全人才緊缺問(wèn)題是個(gè)全球性的問(wèn)題。第二大挑戰(zhàn)就是ICS與IT系統(tǒng)和IoT系統(tǒng)的集成(54%)。該集成意味著這些系統(tǒng)對(duì)外部世界的開(kāi)放程度增加,又進(jìn)一步加劇了安全人才短缺問(wèn)題。
認(rèn)知與現(xiàn)實(shí)的差異
認(rèn)知上存在差異,現(xiàn)狀與所擔(dān)憂(yōu)的問(wèn)題之間也有不同。大多數(shù)公司認(rèn)為APT(66%)和數(shù)據(jù)泄露及間諜事件(59%)是最令人擔(dān)憂(yōu)的事,因?yàn)檫@些問(wèn)題的潛在影響很是令人恐懼。
然而,針對(duì)性攻擊和APT的占比并不高(僅占網(wǎng)絡(luò)安全事件的16%),倒是傳統(tǒng)惡意軟件和病毒爆發(fā)越來(lái)越成問(wèn)題。2018年發(fā)生的網(wǎng)絡(luò)安全事件中64%是由傳統(tǒng)惡意軟件和病毒爆發(fā)引起的。
最近的《2018 SANS 工業(yè)IoT安全調(diào)查:IIoT安全問(wèn)題》報(bào)告也反映出了相同的認(rèn)知斷層。該調(diào)查發(fā)現(xiàn),3/4的公司確信或一定程度上確信自己能夠維護(hù)好自身工業(yè)物聯(lián)網(wǎng)(IIoT)的安全。然而,相比運(yùn)營(yíng)技術(shù)部門(mén),公司領(lǐng)導(dǎo)層和部門(mén)經(jīng)理對(duì)安全的認(rèn)知太過(guò)樂(lè)觀了。
威脅態(tài)勢(shì)
2018年9月,卡巴斯基實(shí)驗(yàn)室發(fā)布報(bào)告《2018年第一季度工業(yè)自動(dòng)化系統(tǒng)威脅態(tài)勢(shì)》,基于卡巴斯基安全網(wǎng)絡(luò)收集的數(shù)據(jù),指出了與ICS網(wǎng)絡(luò)安全威脅態(tài)勢(shì)有關(guān)的幾個(gè)有趣趨勢(shì)。卡巴斯基安全網(wǎng)絡(luò)( Kaspersky Security Network )是保護(hù)ICS計(jì)算機(jī)的一個(gè)分布式反病毒網(wǎng)絡(luò),受保護(hù)的ICS計(jì)算機(jī)執(zhí)行一種或幾種ICS功能,比如數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SCADA)、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)網(wǎng)關(guān)和作為工程師及操作員的工作站。
網(wǎng)絡(luò)安全事件增多
2018年第一季度里至少遭遇過(guò)一次攻擊的ICS計(jì)算機(jī)達(dá)到了41.2%,比2017年上半年的36.6%有所上升,主要原因是惡意行為的整體增長(zhǎng)。
地理分布、金錢(qián)動(dòng)機(jī)與安全事件
網(wǎng)絡(luò)攻擊的地理分布呈現(xiàn)出非洲、亞洲和拉丁美洲的ICS計(jì)算機(jī)遭攻擊比例遠(yuǎn)高于歐洲、北美和澳洲的趨勢(shì)。歐洲內(nèi)部也不均衡,東歐的數(shù)字遠(yuǎn)超西歐,南歐被攻擊的ICS計(jì)算機(jī)比例比北歐和西歐高。
這種地理分布上的巨大差異來(lái)源于不同國(guó)家間的整體發(fā)展水平和網(wǎng)絡(luò)安全水平,以及惡意行為在不同國(guó)家的發(fā)生率。
國(guó)際數(shù)據(jù)公司(IDC)的調(diào)查研究表明,2017年最大的信息安全產(chǎn)品市場(chǎng)在美國(guó)和西歐。國(guó)際貨幣基金組織(IMF)將所有ICS計(jì)算機(jī)遭攻擊比例最少的國(guó)家都?xì)w類(lèi)為發(fā)達(dá)經(jīng)濟(jì)體。
另外,ICS計(jì)算機(jī)攻擊率最少的10個(gè)國(guó)家中有6個(gè)——美國(guó)、英國(guó)、荷蘭、瑞典、瑞士和以色列,位列國(guó)際電信聯(lián)盟(ITU)《2017全球網(wǎng)絡(luò)安全指標(biāo)》前20。
最后,發(fā)展中國(guó)家ICS計(jì)算機(jī)遭攻擊比例高是因?yàn)檫@些國(guó)家建立工業(yè)的時(shí)間相對(duì)較短。
設(shè)計(jì)和調(diào)試工業(yè)設(shè)施時(shí),主要關(guān)注點(diǎn)通常放在了運(yùn)營(yíng)的經(jīng)濟(jì)層面和工業(yè)過(guò)程的物理安全方面,信息安全并不受重視。卡巴斯基《2018工業(yè)網(wǎng)絡(luò)安全狀態(tài)》報(bào)告也反映出了這一點(diǎn)。
主要威脅源
公司企業(yè)工業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施計(jì)算機(jī)的主要感染源是互聯(lián)網(wǎng)、可移動(dòng)載體和電子郵件。
2017年第一季度,互聯(lián)網(wǎng)是20.6%的ICS計(jì)算機(jī)威脅源;2018年第一季度該數(shù)字上升到了27.3%。該趨勢(shì)從邏輯上是說(shuō)得通的,因?yàn)楝F(xiàn)代工業(yè)網(wǎng)絡(luò)很難再被認(rèn)為是與外部系統(tǒng)隔離的。
今天,無(wú)論是出于控制工業(yè)過(guò)程的目的,還是為了提供工業(yè)網(wǎng)絡(luò)及系統(tǒng)的管理功能,工業(yè)網(wǎng)絡(luò)和企業(yè)網(wǎng)絡(luò)之間都需要留有交互接口。
工業(yè)網(wǎng)絡(luò)感染第二大來(lái)源是可移動(dòng)載體。USB對(duì)ICS的威脅就是霍尼韋爾《工業(yè)USB威脅》報(bào)告的主題。通過(guò)可移動(dòng)載體遭到攻擊的ICS計(jì)算機(jī)在低GDP國(guó)家較為常見(jiàn),西歐和北美因?yàn)檎w安全措施較好和可移動(dòng)載體使用較少而免受此害。
另一方面,對(duì)電子郵件威脅的分析表明,信息安全水平與穿透網(wǎng)絡(luò)邊界到達(dá)ICS計(jì)算機(jī)的網(wǎng)絡(luò)釣魚(yú)郵件和惡意郵件附件的數(shù)量無(wú)關(guān)。
對(duì)此,一個(gè)可能的解釋是,防護(hù)電子郵件攻擊的有效工具要么沒(méi)在網(wǎng)絡(luò)邊界上應(yīng)用,要么沒(méi)被正確配置。
攻擊并不復(fù)雜
對(duì)工業(yè)系統(tǒng)的攻擊整體上并不復(fù)雜,通常采用帶PDF附件的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)、帶木馬安裝程序的軟件安裝包和已遭入侵網(wǎng)站的水坑攻擊實(shí)施。一旦某臺(tái)機(jī)器被成功利用,該攻擊框架便會(huì)安裝額外的模塊以擴(kuò)張攻擊者的立足點(diǎn)。
前路漫漫
想要有效應(yīng)對(duì)ICS網(wǎng)絡(luò)安全挑戰(zhàn),公司企業(yè)需拿出措施得當(dāng)?shù)姆椒ú呗浴.?dāng)然,充足的資金支持也是必要的。
“
> ICS計(jì)算機(jī)遭到網(wǎng)絡(luò)攻擊的比例值得我們關(guān)注。我們的建議是,從集成之初,在系統(tǒng)組成元素首次接入互聯(lián)網(wǎng)的時(shí)候開(kāi)始,就注重系統(tǒng)安全:這一階段忽視安全解決方案可導(dǎo)致極端后果。
——Kirill Kruglov,卡巴斯基實(shí)驗(yàn)室研究員
另外,工業(yè)公司需多關(guān)注員工的網(wǎng)絡(luò)威脅意識(shí),跟上現(xiàn)代網(wǎng)絡(luò)安全發(fā)展變化。
網(wǎng)絡(luò)安全措施必須跟得上技術(shù)采納的速度。
工業(yè)公司應(yīng)更嚴(yán)肅對(duì)待ICS事件響應(yīng)計(jì)劃,這樣才能最小化發(fā)生運(yùn)營(yíng)、經(jīng)濟(jì)和聲譽(yù)慘痛損失的風(fēng)險(xiǎn)。
只有通過(guò)設(shè)立有效事件響應(yīng)計(jì)劃,以及部署專(zhuān)門(mén)的網(wǎng)絡(luò)安全解決方案以管理復(fù)雜互聯(lián)的分布式工業(yè)生態(tài)系統(tǒng)安全,公司企業(yè)才能保護(hù)自身服務(wù)和產(chǎn)品,保護(hù)客戶(hù)及其環(huán)境。
來(lái)源:安全牛
北京市公安局海淀分局備案號(hào):11010802023656號(hào)