2018年工控安全發展趨勢

吳德福

SecureList預測，2018年工控安全將會面臨以下這些方面的風險，包括惡意軟件及惡意工具不斷出現、地下黑市提供攻擊服務、定向勒索攻擊以及工業間諜，但犯罪團伙尚未找到攻擊工控系統盈利的辦法。與此同時，國家規定也在發生變化，工業安全保險日益走熱。

2017年工控安全態勢

2017年是影響工控信息安全事件最集中爆發的年頭之一。安全研究員發現并上報了數百個新漏洞，警告稱工控系統和工藝流程中存在新威脅向量，提供了工業系統突發感染數據，并發現了定向攻擊（例如，Shamoon 2.0 / StoneDrill）。自從震網（Stuxnet）病毒曝光以來，研究員首次發現了惡意工具包CrashOverride / Industroyer，即一種用于攻擊物理系統的網絡工具。

然而，2017年工業系統遭遇的最嚴重威脅是加密勒索軟件攻擊。卡巴斯基實驗室發布的ICS CERT（工業控制系統網絡應急小組）報告指出，專家上半年發現了33個惡意軟件家族的加密勒索軟件。全球63個國家的大量攻擊被攔截。WannaCry和ExPetr毀滅性勒索軟件攻擊似乎使工業企業對關鍵生產系統防護的態度開始發生轉變。

2018年工控安全預測面臨8個方面的威脅

1.一般和突發惡意軟件感染有所上升

除極少數個例之外，網絡犯罪團伙尚未研究出通過攻擊工業信息系統而獲利的簡單可靠的方案。他們通常利用通用惡意代碼攻擊更為傳統的目標（如公司網絡），引起工業網絡的突發感染和事件。這種趨勢在2018年仍將持續。同時，我們還可能會看到這種趨勢會為工業環境帶來更為嚴峻的安全挑戰。盡管安全社區不止一次地警告工業公司要定期更新工業系統中的軟件與公司網絡保持一致，但仍未引起公司的重視。

2.定向勒索軟件攻擊的風險更高

WannaCry和ExPetr攻擊發生后，安全專家和網絡犯罪分子均得出：運營技術（OT）系統一般可通過網絡接入，與IT系統相比，更容易受到攻擊，而且，惡意軟件造成的損害更大，更難防護。工業公司展示了防御針對OT基礎設施的網絡攻擊的難度。所有這些因素促使工業系統成為勒索軟件攻擊所青睞的目標。

3.工業網絡間諜事件增長

勒索攻擊為工業公司帶來的威脅日益增長，催生了其他領域的網絡犯罪：通過竊取工業信息系統的數據籌備和實施定向（包括勒索軟件）攻擊。

4.地下黑市活動主要集中于提供攻擊服務和入侵工具

近些年，我們發現黑市對于ICS 0Day漏洞攻擊的需求日益增長，可以斷定犯罪分子正在籌備定向攻擊活動。預計2018年攻擊者對此類活動的熱情更高，這將帶動黑市的增長，導致工業公司的一部分新的ICS配置數據和憑證被竊取，還可能會出現基于工業節點產品組建的僵尸網絡。設計和開展針對物理對象和系統的高級網絡攻擊需要ICS和相關行業的專業知識。預計這些需求會推動惡意軟件及服務、攻擊向量設計及服務、攻擊行動及服務等領域的增長。

5.新型惡意軟件和惡意工具

可能會出現用于攻擊工業網絡和資產的新惡意軟件。這些惡意軟件行動隱蔽，潛伏在IT網絡中逃避檢測，只在不太安全的OT設施中激活。還可能出現面向低級的ICS設備和物理資產（泵和電源開關等）的勒索軟件。

6.犯罪分子可能會利用安全廠商發布的威脅分析文章

研究員公開發布了工業資產和基礎設施相關的各種攻擊向量，并分析了所發現的惡意工具集，這些工作做得很出色。然而，這也給犯罪分子提供了新的可乘之機。例如，CrashOverride/Industroyer工具集披露后，黑客就向電力和能源設施發起了拒絕服務DDoS攻擊。犯罪分子還引入了勒索軟件，甚至制定了停電期間的獲利計劃。他們還可基于可編程邏輯控制器（PLC）蠕蟲概念構建可運行的惡意蠕蟲。還有犯罪分子還試圖利用一種標準的PLC編程語言實現惡意軟件。此外，他們還可能會對這一PLC感染概念進行了改進。目前，現有安全方案還無法發現這兩類惡意軟件。

7.國家規定發生變化

2018年將實行多個工業系統相關網絡安全規定。例如，涉及關鍵基礎設施和工業資產設施的公司，可能須進行更多的安全評估。這必定會提升防護和安全意識，使我們可能會發現更多新漏洞，曝光更多威脅。

8.工業安全保險日益走熱，投資呈上升趨勢

對于工業企業來說，工業網絡風險保險正逐漸成為風險管理的不可或缺的一部分。以前，網絡安全事件與恐怖事件一樣不會在保險合同中體現。然而，當前形勢正在發生變化，網絡安全公司和保險公司都采取了新舉措。2018年，安全審計/評估和事件響應均呈上升趨勢，促使工業設施負責者和經營者提升網絡安全意識。