2017年上半年工業(yè)網(wǎng)絡(luò)安全威脅情況
http://www.mozp.cn今年前六個(gè)月,卡巴斯基實(shí)驗(yàn)室產(chǎn)品在37.6%的工業(yè)控制系統(tǒng)計(jì)算機(jī)上攔截了攻擊。我們會(huì)從這些計(jì)算機(jī)上接收匿名信息,總數(shù)量達(dá)到數(shù)萬。這一數(shù)據(jù)與上一期相比,幾乎沒有變化——較2016年下半年相比,下降了1.6個(gè)百分點(diǎn)。受攻擊的目標(biāo)大多都是制造各種原料、設(shè)備和商品的制造企業(yè)。其他遭受影響較嚴(yán)重的行業(yè)還包括工程行業(yè)、教育業(yè)以及食品和飲料行業(yè)。能源企業(yè)的工業(yè)計(jì)算機(jī)遭受的攻擊占全部攻擊的近5%。
工業(yè)計(jì)算機(jī)遭受攻擊最嚴(yán)重的前三個(gè)國家保持不變工業(yè)網(wǎng)絡(luò)安全 仍然為越南(71%)、阿爾及利亞(67.1%)和摩洛哥(65.4%)。根據(jù)卡巴斯基實(shí)驗(yàn)室公布的數(shù)據(jù)工業(yè)網(wǎng)絡(luò)安全 研究人員發(fā)現(xiàn)中國(57.1%)工業(yè)系統(tǒng)遭受攻擊的比例有所增加,位列第五位。安全專家還發(fā)現(xiàn),威脅的主要來源為互聯(lián)網(wǎng):我們在20.4%的工業(yè)控制系統(tǒng)計(jì)算機(jī)上攔截過試圖下載惡意軟件或訪問已知惡意內(nèi)容或釣魚網(wǎng)絡(luò)資源的行為。這種感染類型的統(tǒng)計(jì)數(shù)據(jù)較高的原因在于企業(yè)和工業(yè)網(wǎng)絡(luò)之間的接口,工業(yè)網(wǎng)絡(luò)中可以訪問有限的互聯(lián)網(wǎng)資源,通過移動(dòng)電話運(yùn)營商的網(wǎng)絡(luò)將工業(yè)網(wǎng)絡(luò)上的計(jì)算機(jī)連接到互聯(lián)網(wǎng)。
卡巴斯基實(shí)驗(yàn)室在2017年前六個(gè)月共在工業(yè)自動(dòng)化系統(tǒng)中檢測到約18,000種不同的惡意軟件變種,這些惡意軟件屬于2,500多個(gè)不同的惡意軟件家族。
勒索軟件攻擊
今年上半年,全球面臨一波勒索軟件疫情,這種威脅也影響了工業(yè)企業(yè)。根據(jù)卡巴斯基實(shí)驗(yàn)室工業(yè)控制系統(tǒng)計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)(ICS CERT)的研究,遭受加密木馬攻擊的工業(yè)控制系統(tǒng)計(jì)算機(jī)數(shù)量顯著增加,在3月份增加了3倍。總體來看,安全專家共發(fā)現(xiàn)33種屬于不同家族的加密勒索軟件。大多數(shù)加密木馬都通過偽裝成企業(yè)通訊的垃圾郵件進(jìn)行傳播,這些郵件中或者包含惡意附件,或者包含指向惡意軟件下載器的鏈接。
2017年上半年勒索軟件主要統(tǒng)計(jì)數(shù)據(jù)包括:
· 位于企業(yè)和組織的工業(yè)基礎(chǔ)設(shè)施中的計(jì)算機(jī)中,有5%至少遭遇了一次加密勒索軟件攻擊。
· 全球63個(gè)國家的ICS計(jì)算機(jī)面臨著眾多加密的勒索軟件的攻擊,其中最臭名昭著的是WannaCry和ExPetr攻擊行動(dòng)。
· WannaCry攻擊在加密勒索軟件家族中名列前茅,工業(yè)基礎(chǔ)設(shè)施中遭受其攻擊的計(jì)算機(jī)占13.4%。 受影響最嚴(yán)重的組織包括醫(yī)療機(jī)構(gòu)和政府部門。
· ExPetr是今年上半年另一種臭名昭著的加密勒索軟件,遭受攻擊的企業(yè)中,至少有50%來自制造行業(yè)以及石油和天然氣行業(yè)。
· 排名前十位的加密木馬家族包括其他勒索軟件家族,例如Locky和Gerber,這些威脅從2016年就開始活動(dòng),并且為網(wǎng)絡(luò)罪犯帶來最高的收益。
卡巴斯基實(shí)驗(yàn)室關(guān)鍵基礎(chǔ)設(shè)施防御部門負(fù)責(zé)人Evgeny Goncharov說:“2017年上半年,我們看到工業(yè)系統(tǒng)的保護(hù)是如何的薄弱:幾乎所有受影響的工業(yè)計(jì)算機(jī)都是意外被感染的,是最初針對家庭用戶和企業(yè)網(wǎng)絡(luò)的攻擊所造成的。在這個(gè)意義上,WannaCry和ExPetr這種毀滅性攻擊被證明是具有參考性,其攻擊會(huì)導(dǎo)致全球企業(yè)生產(chǎn)中斷,物流停滯,醫(yī)療機(jī)構(gòu)關(guān)閉。這種攻擊的結(jié)果可能引發(fā)入侵者進(jìn)一步的行動(dòng)。 由于在采取預(yù)防措施方面,我們已經(jīng)落后了,所以企業(yè)需要考慮現(xiàn)在采取主動(dòng)防御措施,避免未來“救火”。
為了保護(hù)工業(yè)控制系統(tǒng)環(huán)境不受網(wǎng)絡(luò)攻擊的危害,卡巴斯基實(shí)驗(yàn)室ICS CERT建議企業(yè)采取以下措施:
· 獲取運(yùn)行的網(wǎng)絡(luò)服務(wù)清單,特別注意那些提供遠(yuǎn)程訪問文件系統(tǒng)對象的服務(wù)。
· 審計(jì)ICS組件訪問隔離,企業(yè)工業(yè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)行為以及邊界以及同使用可移動(dòng)存儲(chǔ)媒介和移動(dòng)設(shè)備相關(guān)的策略和措施。
· 確認(rèn)對工業(yè)網(wǎng)絡(luò)的遠(yuǎn)程訪問安全性,將遠(yuǎn)程管理工具的使用限制到最少,或者完全禁用。
· 確保端點(diǎn)安全解決方案保持更新。
· 使用高級(jí)保護(hù)手段:部署提供網(wǎng)絡(luò)流量監(jiān)控的工具,檢測工業(yè)網(wǎng)絡(luò)中的網(wǎng)絡(luò)攻擊。