ICS 2023年網絡威脅預測
2022年網絡安全事件頻發,給工業基礎設施所有者和運營商帶來了諸多問題。然而,幸運的是,我們并未在整個威脅格局中看到任何突發的或災難性的變化,換句話說,沒有一個是難以處理的,盡管媒體為許多事件附上了聳人聽聞的標題。
不過,卡巴斯基預測,未來一年的形勢可能要復雜得多。在分析2022年的網絡安全事件時,我們必須承認,我們已經邁入了一個新時代:工業企業和運營技術(OT)基礎設施的威脅格局中最重大的變化,主要由地緣政治趨勢和相關的宏觀經濟因素決定。
網絡犯罪分子具有無國界屬性;他們也會密切關注全球政治和經濟趨勢,因為他們想要輕松獲利,同時確保自己的人身安全。傳統上歸咎于各國政府情報機構的APT活動,總是隨著外交政策的發展以及國家和政府間集團內部目標的變化而進行。
APT世界的發展
內部和外部的政治變化將為APT活動提供新的方向。
攻擊地域的變化
隨著現有戰術和戰略聯盟的轉變,以及新的戰術和戰略聯盟的出現,攻擊地域將不可避免地發生變化。隨著聯盟的轉變,我們看到國家間出現了前所未見的網絡安全緊張關系。昨天的盟友可能變成今天的目標。
行業焦點的變化
我們將看到APT活動很快就會改變對特定行業的關注,因為不斷變化的地緣政治現實與經濟變化密切相關。因此,我們應該很快就會看到針對以下行業的攻擊:
- 農業、化肥、農業機械和食品制造業,這一切都是由于即將到來的糧食危機和不斷變化的糧食市場;
- 物流和運輸(包括能源資源的運輸),由于全球物流鏈的不斷變化;
- 能源部門、礦產資源的開采和加工、有色和黑色金屬冶金、化學工業、造船、儀器和機床制造,因為這些公司的產品和技術的可用性是單個國家和政治聯盟的經濟安全基礎的一部分;
- 替代能源領域,特別是在地緣政治議程上的位置;
- 高科技、制藥和醫療設備生產商,因為這些是確保技術獨立性不可或缺的部分。
針對傳統目標的持續攻擊
當然,我們仍然會看到針對傳統目標的APT攻擊,主要的APT攻擊重點包括:
- 軍工企業,隨著地緣政治持續緊張,對抗升級到紅色警戒狀態,軍事對抗的可能性越來越大,成為攻擊者的主要驅動因素;
- 政府部門——預計攻擊將集中在與經濟工業部門增長相關的政府舉措和項目的信息收集上;
- 關鍵基礎設施——攻擊的目標是獲得立足點以備將來使用,但有時,當特定國家之間的沖突處于激烈狀態時,目標甚至可能轉變為造成即時和直接的破壞。
威脅形勢的其他變化
我們也發現了其他一些重要變化,這些變化勢必將對整體威脅形勢產生越來越大的影響:
- 越來越多的黑客關注內部和外部政治議程。這些攻擊將獲得更多結果,實現從量變到質變的飛躍;
- 無論是在企業中,還是在技術開發商及供應商中,有意識形態和政治動機的內部人員,以及與犯罪(主要是勒索軟件)和APT集團合作的內部人員的風險越來越大;
- 對關鍵基礎設施的勒索軟件攻擊將變得更有可能;
- 由于不同國家執法機構之間的溝通障礙,以及網絡安全方面的國際合作陷入停滯,網絡犯罪分子將能夠自由地攻擊“敵對”國家的目標。這適用于所有類型的網絡威脅,并將對所有行業的企業和所有類型的OT基礎設施造成威脅;
- 犯罪憑證收集活動將增加,以響應對企業系統初始訪問日益增長的需求。
地緣政治起伏帶來的風險因素
當前的形勢迫使工業組織做出一個極其復雜的選擇——他們應該使用哪些產品和來自哪個供應商的產品,以及為什么。
一方面,我們看到產品和服務(包括OEM)供應鏈中的信任關系缺失,這反過來將增加使用許多公司慣用產品的風險:
- 當供應商結束對產品的支持或離開市場時,部署安全更新將變得更加困難;
- 這同樣適用于由于安全供應商離開市場而停止定期更新時,安全解決方案質量下降的情況;
- 不能完全排除通過政治壓力將一些小市場主體的產品、技術和服務武器化的可能性。然而,當涉及到全球市場領導者和享有盛名的供應商時,這種可能性是極小的,甚至是不可能的。
另一方面,尋找替代解決方案可能是極其復雜的。本地供應商的產品,其安全開發文化通常明顯低于全球領先企業,很可能存在簡單的安全錯誤和零日漏洞,使它們很容易淪為網絡犯罪分子和黑客的目標。
除此之外,還需要考慮一些影響每個人的風險因素:
- 威脅檢測的質量下降,因為信息系統(IS)開發商失去了一些市場,導致流失部分合格的IS專家。對于所有面臨政治壓力的安全供應商來說,這是一個真正的風險因素;
- 位于新“鐵幕/無形屏障”兩端甚至同一端的IS開發商和研究人員之間的溝通中斷(由于當地市場的競爭加劇),無疑將降低目前正在開發的安全解決方案的檢測率;
- CTI質量下降:毫無根據的出于政治動機的網絡威脅歸因,夸大的威脅,由于政治壓力和試圖利用政府的政治敘事來賺取額外的利潤而降低陳述的有效性標準;
- 政府試圖整合有關事件、威脅和漏洞的信息,并限制對這些信息的獲取,這削弱了整體意識,因為信息有時可能在沒有充分理由的情況下被保密。同時,這會增加機密數據泄露的風險(例如,在國家漏洞數據庫中錯誤發布的RCE的PoC)。這一問題可以通過在公共部門建立廣泛的網絡安全能力來解決,以確保敏感的網絡安全信息的負責任的處理和高效協調的漏洞披露能夠得到保證;
- 由于政府在工業企業運營中的作用越來越大,包括與政府云和服務的連接,有時這可能比一些最好的私人云和服務的保護程度更低,因此存在額外的IS風險;
額外的技術風險因素
競爭更高效率的數字化。工業物聯網(IIoT)和SmartXXX(包括預測性維護系統和數字孿生技術)導致攻擊面大大增加。CMMS(計算機化維護管理系統)上的攻擊統計數據證實了這一點。
2022年H1 CMMS遇襲百分比排名前10的國家:
- 一方面,不斷上漲的能源運營商價格和由此導致的硬件價格上漲,將迫使許多企業放棄部署本地基礎設施的計劃,轉而支持來自第三方供應商的云服務(這增加了IS風險)。此外,這將對分配給IT/OT安全的預算產生負面影響。
- 各種無人駕駛車輛和裝置(卡車、無人機、農業設備等)的部署,可以被濫用為攻擊目標或工具。
未來攻擊中最值得注意的技術和戰術
不要沉迷于任何關于最先進的攻擊者所使用的戰術和技術的幻想中,例如與領先國家的情報機構相關聯的APT活動。也不要過度關注那些最不合格的威脅行為者所使用的戰術和技術,因為他們不太可能想出有趣的或新的東西,而且大多數組織已經部署的安全解決方案可以有效地阻止他們的攻擊。
讓我們把注意力集中在中間部分——即更活躍的APT組織使用的技術和戰術,其活動通常被歸結為符合中東和遠東國家的利益,也被更先進的網絡犯罪分子使用,如勒索軟件組織。
根據對此類攻擊和相關事件的調查經驗,我們認為ICS網絡安全專家需要關注以下戰術和技術:
- 在合法網站上嵌入釣魚網頁和腳本;
- 使用木馬化的“破解”發行包、“補丁”以及常用和專業軟件的密鑰生成器(這將受到許可成本上升和供應商因政治壓力而離開某些市場等因素的激化);
- 釣魚郵件涉及的時事主題極具戲劇性,包括政治性的事件;
- 以前針對相關組織或合作伙伴的攻擊中竊取的文件將被用作釣魚郵件的誘餌;
- 通過被破壞的郵箱將釣魚郵件偽裝成合法的工作信函進行分發;
- day漏洞——關閉這些漏洞的速度會更慢,因為一些解決方案的安全更新將變得更難以訪問。
- 利用愚蠢的配置錯誤(如未能更改默認密碼)和“新”供應商產品的零日漏洞,包括本地產品。這類產品的大規模推出是不可避免的,盡管人們嚴重懷疑開發人員的安全成熟度。例如,“在密碼字段中輸入密碼xyz”這樣的建議可以在許多小型“本地”供應商產品的安裝說明和用戶手冊中找到。此外,很少能在這些供應商的網站上找到關于從通用組件和OEM技術繼承的漏洞的信息。
- 利用“本地”服務提供商和政府信息系統的云服務中的固有安全缺陷;
- 利用安全解決方案中的配置錯誤。這包括在不輸入管理員密碼的情況下禁用防病毒產品的可能性(如果攻擊者可以輕松禁用防病毒,那么防病毒幾乎是無用的)。另一個例子是IS解決方案的集中管理系統的安全性較弱。在這種情況下,IS解決方案不僅容易被繞過,而且還可以被用來橫向移動,例如,傳遞惡意軟件或獲得對“隔離”網段的訪問權限,并繞過訪問控制規則;
- 使用流行的云服務作為CnC/C2——即使在攻擊被識別后,受害者可能仍然無法阻止它,因為重要的業務流程可能依賴于云;
- 利用合法軟件的漏洞,例如,使用DLL劫持和BYOVD(自帶漏洞的驅動程序)來繞過終端安全解決方案;
- 通過可移動媒體傳播惡意軟件,以攻克氣隙系統。
