工业计算机与外部世界相连,对工业计算机的网络攻击正在成为一种日益严重的威胁。——因为此类事件可能导致整个系统的物理损坏和生产停机。而且,工业企业无法提供服务会严重损害一个地区的社会福利,生态和宏观经济。因此,工业网络安全变得越来越重要,越来越重要。
鉴于工业控制系统(ICS)的重要性,我们必须了解ICS领域的主要趋势,并从业务和威胁的角度理解这些趋势。
首先,从业务角度来看
2018年6月,卡巴斯基实验室发布了第二份年度报告《2018工业网络安全状态》,该报告基于对全球320家ICS网络安全决策者的调查,分析了当前的工业网络安全状况。
该报告揭示了有关ICS网络安全的一些有趣事实,反映了ICS如何看待这一关键领域。
1. ICS网络安全很重要,但......
主要调查结果之一:虽然3/4的受访公司声称ICS网络安全非常重要,但他们往往没有实施相关的安全措施。
例如,超过四分之三的受访公司认为他们可能或至少可能成为ICS网络攻击的目标,但只有23%的公司符合行业或政府对ICS网络安全的最低监管要求。
尽管超过一半(51%)的公司表示他们在过去一年中没有遇到任何数据泄露或安全事件,但问题的关键在于他们是否了解这一攻击。许多公司根本不检测或跟踪攻击。 10%的受访者尚未衡量他们迄今为止遭遇的事件和数据泄露事件的数量。
此外,由于被调查的公司刚刚开始数字化转型的过程,他们的攻击界面将随着数字化的深化而不可避免地扩大。
2.问题和挑战
具有潜在网络攻击的公司最担心的是对产品和服务以及人员伤亡的损害。大多数公司在不同程度上将网络中断与业务成功联系起来。网络安全事件造成的产品质量损失(54%)与客户信任损失直接相关(40%),敏感的商业信息披露与合同或商业机会损失有关(22%)。
几乎所有公司的部门都面临着严峻的网络安全挑战。对于58%接受调查的公司,主要的挑战是雇用具有适当技能的ICS网络安全人员。网络安全人才短缺是一个全球性问题。第二个挑战是ICS与IT系统和物联网系统的集成(54%)。这种整合意味着这些系统对外界更加开放,进一步加剧了安全人才的短缺。3.认知与现实之间的差异
认知存在差异,现状与关注点之间存在差异。大多数公司认为APT(66%)和数据泄露事件以及间谍事件(59%)是最令人担忧的,因为这些问题的潜在影响非常可怕。
但是,目标攻击和APT的比例并不高(仅占网络安全事件的16%),但传统的恶意软件和病毒爆发正变得越来越成问题。 2018年64%的网络安全事件是由传统的恶意软件和病毒爆发引起的。
最新的《2018 SANS 工业IoT安全调查:IIoT安全问题》报告也反映了同样的认知错误。调查发现,四分之三的公司确信或在某种程度上确信他们可以维护自己的工业物联网(IIoT)安全性。然而,与运营技术部门相比,该公司的领导层和部门经理对安全性过于乐观。
二是威胁情况
2018年9月,卡巴斯基实验室发布了一份报告《2018年第一季度工业自动化系统威胁态势》,该报告基于卡巴斯基安全网络收集的数据,指出了与ICS网络安全威胁情况相关的几个有趣趋势。卡巴斯基安全网络是一种保护ICS计算机的分布式防病毒网络。受保护的ICS计算机执行一个或多个ICS功能,例如数据采集和监控系统(SCADA),数据存储和数据。网关和工作站作为工程师和操作员。
1.增加网络安全事件
在2018年第一季度遭遇至少一次攻击的ICS计算机数量达到41.2%,高于2017年上半年的36.6%,这主要是由于恶意行为的总体增加。
2.地域分配,货币动机和安全事件
网络攻击的地理分布表明,在非洲,亚洲和拉丁美洲攻击的ICS计算机比例远高于欧洲,北美和澳大利亚。欧洲也不均衡。东欧的数字远远超过西欧的数字。南欧受攻击的ICS计算机比例高于北欧和西欧。
地理分布的巨大差异源于不同国家的总体发展水平和网络安全,以及不同国家的恶意行为发生率。
国际数据公司(IDC)的研究表明,2017年最大的信息安全产品市场是美国和西欧。国际货币基金组织(IMF)将所有攻击ICS计算机的国家/地区列为发达经济体。
此外,ICS计算机攻击率最低的10个国家中有6个美国,英国,荷兰,瑞典,瑞士和以色列的国际电信联盟(ITU)《2017全球网络安全指标》排名前20位。
最后,发展中国家对ICS计算机的高攻击率是由于在这些国家建立工业所需的时间相对较短。在设计和调试工业设施时,主要关注的是运营的经济方面和工业过程的物理安全,并且不重视信息安全。卡巴斯基《2018工业网络安全状态》报告也反映了这一点。
3.主要威胁来源
企业工业网络基础设施计算机的主要感染源是互联网,移动运营商和电子邮件。
在2017年第一季度,互联网是ICS计算机威胁源的20.6%;在2018年第一季度,这一数字上升至27.3%。这种趋势在逻辑上是合理的,因为现代工业网络几乎不被认为与外部系统隔离。
今天,无论是为了控制工业过程还是为工业网络和系统提供管理功能,都需要工业网络和企业网络之间的交互式接口。
工业网络感染的第二大来源是移动运营商。 USB对ICS的威胁是霍尼韦尔《工业USB威胁》报告的主题。遭受移动运营商攻击的ICS计算机在低GDP国家更为常见,西欧和北美对此免疫,因为更好的整体安全措施和更少的移动运营商使用。
另一方面,对电子邮件威胁的分析表明,信息安全级别与通过网络边界到达ICS计算机的网络钓鱼电子邮件和恶意电子邮件附件的数量无关。
对此的一种可能解释是,用于保护电子邮件攻击的有效工具要么未应用于网络边界,要么未正确配置。
这次袭击并不复杂
对工业系统的攻击通常并不复杂,通常使用带有PDF附件的鱼叉式网络钓鱼,带有木马安装程序的软件安装包以及对受感染网站的水坑攻击来实施。成功使用计算机后,攻击框架会安装其他模块以扩展攻击者的立足点。
第三,前面的道路很长
为了有效应对ICS网络安全挑战,公司需要采取适当的措施。当然,还需要足够的财政支持。
被网络攻击攻击的ICS计算机的比例值得我们关注。我们的建议是,从集成开始,当系统组件首次访问Internet时,关注系统安全性:在此阶段忽略安全解决方案可能会导致极端后果。
——卡巴斯基实验室研究员Kirill Kruglov
此外,工业企业需要更加关注员工的网络威胁意识,并跟上现代网络安全的变化。
网络安全措施必须与技术采用保持同步。
工业公司应更严肃地对待ICS事故应对计划,以尽量减少运营,经济和声誉损失的风险。
只有制定有效的事件响应计划并部署专门的网络安全解决方案来管理复杂的互联分布式工业生态系统安全,公司才能保护其服务和产品,保护客户及其环境。SANS报告《2018 SANS 工业IoT安全调查:IIoT安全问题》:https://www.sans.org/reading-room/whitepapers/ICS/paper/38505
卡巴斯基实验室报告《2018年第一季度工业自动化系统威胁态势》:https://ics-cert.kaspersky.com/reports/2018/09/06/threat-landscape-for-industrial-automation-systems-h1-2018/
国际电信联盟(ITU)《2017全球网络安全指标》:https://www.itu.int/dms_pub/itu-d/opb/str/D-STR-GCI.01-2017-R1-PDF-E.pdf
卡巴斯基《2018工业网络安全状态》报告:https://ics-cert.kaspersky.com/reports/2018/06/28/the-state-of-industrial-cybersecurity-2018-findings-of-joint-survey-by-kaspersky-lab-and -PAC
霍尼韦尔《工业USB威胁》报告:https://honeywellprocess.blob.core.windows.net/public/Support/Customer/Honeywell-USB-Threat-Report.pdf
中文
电话咨询
微信咨询
公众号
