工業計算機連接外部世界的情況增多,對工業計算機的網絡攻擊也逐漸成為一種日趨嚴重的威脅——因為此類事件可導致物理傷害和整個系統的生產宕機。而且,工業企業無法提供服務還會嚴重損害一個地區的社會福利、生態和宏觀經濟。因此,工業網絡安全越來越重要,越來越受重視。
鑒于工業控制系統(ICS)的重要性,我們必須了解ICS領域的主要趨勢,從業務和威脅的角度理解這些趨勢。
業務角度
2018年6月,卡巴斯基實驗室發布了第二份年度報告《2018工業網絡安全狀態》,一份基于對全球320位ICS網絡安全決策者的調查訪問分析了工業網絡安全現狀的調查。
該報告揭示了ICS網絡安全的一些有趣事實,反映出ICS公司是如何看待這一關鍵領域的。
ICS網絡安全很重要,但…
主要發現之一:盡管3/4的受訪公司都聲稱ICS網絡安全非常重要,但他們往往并未執行相關的安全措施。
比如說,超過3/4的受訪公司企業認為自己很有可能或至少有可能成為ICS網絡攻擊的目標,但僅有23%的公司符合行業或政府關于ICS網絡安全的最低監管要求。
盡管超過半數(51%)的公司稱自己在過去一年中未遭受過任何數據泄露或安全事件,問題的關鍵在于他們是否意識到遭遇了攻擊。很多公司根本不檢測或跟蹤攻擊。10%的受訪者至今沒有計量自身遭受過的事件和數據泄露的數量。
而且,因為受訪公司才剛剛開始數字轉型過程,他們的攻擊界面必然會隨其數字化程度的加深而擴大。
問題與挑戰
公司企業對潛在網絡攻擊最大的顧慮是產品及服務受損和人員傷亡。大多數公司不同程度地將網絡破壞與商業成功聯系在了一起。網絡安全事件造成的產品質量受損(54%)直接與客戶信任流失(40%)相關,敏感商業信息泄露則與合約或商業機會損失(22%)相關。
公司企業幾乎所有部門都面臨嚴峻的網絡安全挑戰。對58%的受訪公司而言,主要挑戰是雇到具備合適技能的ICS網絡安全人員,網絡安全人才緊缺問題是個全球性的問題。第二大挑戰就是ICS與IT系統和IoT系統的集成(54%)。該集成意味著這些系統對外部世界的開放程度增加,又進一步加劇了安全人才短缺問題。
認知與現實的差異
認知上存在差異,現狀與所擔憂的問題之間也有不同。大多數公司認為APT(66%)和數據泄露及間諜事件(59%)是最令人擔憂的事,因為這些問題的潛在影響很是令人恐懼。
然而,針對性攻擊和APT的占比并不高(僅占網絡安全事件的16%),倒是傳統惡意軟件和病毒爆發越來越成問題。2018年發生的網絡安全事件中64%是由傳統惡意軟件和病毒爆發引起的。
最近的《2018 SANS 工業IoT安全調查:IIoT安全問題》報告也反映出了相同的認知斷層。該調查發現,3/4的公司確信或一定程度上確信自己能夠維護好自身工業物聯網(IIoT)的安全。然而,相比運營技術部門,公司領導層和部門經理對安全的認知太過樂觀了。
威脅態勢
2018年9月,卡巴斯基實驗室發布報告《2018年第一季度工業自動化系統威脅態勢》,基于卡巴斯基安全網絡收集的數據,指出了與ICS網絡安全威脅態勢有關的幾個有趣趨勢。卡巴斯基安全網絡( Kaspersky Security Network )是保護ICS計算機的一個分布式反病毒網絡,受保護的ICS計算機執行一種或幾種ICS功能,比如數據采集與監控系統(SCADA)、數據存儲、數據網關和作為工程師及操作員的工作站。
網絡安全事件增多
2018年第一季度里至少遭遇過一次攻擊的ICS計算機達到了41.2%,比2017年上半年的36.6%有所上升,主要原因是惡意行為的整體增長。
地理分布、金錢動機與安全事件
網絡攻擊的地理分布呈現出非洲、亞洲和拉丁美洲的ICS計算機遭攻擊比例遠高于歐洲、北美和澳洲的趨勢。歐洲內部也不均衡,東歐的數字遠超西歐,南歐被攻擊的ICS計算機比例比北歐和西歐高。
這種地理分布上的巨大差異來源于不同國家間的整體發展水平和網絡安全水平,以及惡意行為在不同國家的發生率。
國際數據公司(IDC)的調查研究表明,2017年最大的信息安全產品市場在美國和西歐。國際貨幣基金組織(IMF)將所有ICS計算機遭攻擊比例最少的國家都歸類為發達經濟體。
另外,ICS計算機攻擊率最少的10個國家中有6個——美國、英國、荷蘭、瑞典、瑞士和以色列,位列國際電信聯盟(ITU)《2017全球網絡安全指標》前20。
最后,發展中國家ICS計算機遭攻擊比例高是因為這些國家建立工業的時間相對較短。
設計和調試工業設施時,主要關注點通常放在了運營的經濟層面和工業過程的物理安全方面,信息安全并不受重視。卡巴斯基《2018工業網絡安全狀態》報告也反映出了這一點。
主要威脅源
公司企業工業網絡基礎設施計算機的主要感染源是互聯網、可移動載體和電子郵件。
2017年第一季度,互聯網是20.6%的ICS計算機威脅源;2018年第一季度該數字上升到了27.3%。該趨勢從邏輯上是說得通的,因為現代工業網絡很難再被認為是與外部系統隔離的。
今天,無論是出于控制工業過程的目的,還是為了提供工業網絡及系統的管理功能,工業網絡和企業網絡之間都需要留有交互接口。
工業網絡感染第二大來源是可移動載體。USB對ICS的威脅就是霍尼韋爾《工業USB威脅》報告的主題。通過可移動載體遭到攻擊的ICS計算機在低GDP國家較為常見,西歐和北美因為整體安全措施較好和可移動載體使用較少而免受此害。
另一方面,對電子郵件威脅的分析表明,信息安全水平與穿透網絡邊界到達ICS計算機的網絡釣魚郵件和惡意郵件附件的數量無關。
對此,一個可能的解釋是,防護電子郵件攻擊的有效工具要么沒在網絡邊界上應用,要么沒被正確配置。
攻擊并不復雜
對工業系統的攻擊整體上并不復雜,通常采用帶PDF附件的魚叉式網絡釣魚、帶木馬安裝程序的軟件安裝包和已遭入侵網站的水坑攻擊實施。一旦某臺機器被成功利用,該攻擊框架便會安裝額外的模塊以擴張攻擊者的立足點。
前路漫漫
想要有效應對ICS網絡安全挑戰,公司企業需拿出措施得當的方法策略。當然,充足的資金支持也是必要的。
“
> ICS計算機遭到網絡攻擊的比例值得我們關注。我們的建議是,從集成之初,在系統組成元素首次接入互聯網的時候開始,就注重系統安全:這一階段忽視安全解決方案可導致極端后果。
——Kirill Kruglov,卡巴斯基實驗室研究員
另外,工業公司需多關注員工的網絡威脅意識,跟上現代網絡安全發展變化。
網絡安全措施必須跟得上技術采納的速度。
工業公司應更嚴肅對待ICS事件響應計劃,這樣才能最小化發生運營、經濟和聲譽慘痛損失的風險。
只有通過設立有效事件響應計劃,以及部署專門的網絡安全解決方案以管理復雜互聯的分布式工業生態系統安全,公司企業才能保護自身服務和產品,保護客戶及其環境。
來源:安全牛
