近日，卡巴斯基實驗室通過分析卡巴斯基安全網絡（KSN）收集的數據，形成了《2023年H1工業自動化系統威脅形勢報告》，為2023年上半年的工業自動化系統威脅形勢提供了全面的分析和解讀，旨在幫助組織更好地應對潛在威脅。

全球統計數據

整體威脅

2023年上半年，34%的ICS計算機阻止了惡意對象（所有類型的威脅），這一數據比2022年下半年（34.3%）減少了0.3個百分點。

【2023年上半年阻止惡意對象的ICS計算機百分比】

受攻擊的ICS計算機百分比在2023年第一季度下降，但隨后在2023年第二季度再次上升，達到自2022年以來的最高季度數字——26.8%。

【攔截惡意對象的ICS計算機百分比，按季度劃分】

在春季（3月至5月），阻止惡意對象的ICS計算機百分比仍然高于其他三個月。

【2023年1月至6月，阻止惡意對象的ICS計算機百分比】

地區表現差異

攔截惡意對象的ICS計算機比例在不同地區表現得有所不同，其中，占比最高的是非洲（40.3%），最低的是北歐（14.7%）。

【阻止惡意對象的ICS計算機的百分比（按地區分布）】

在過去的半年里，俄羅斯和中亞地區阻止惡意對象的ICS計算機百分比顯著增加，原因是大量網站受到感染（包括那些由工業公司運營的網站），這些網站通常使用過時版本的流行俄羅斯CMS。在2023年上半年，這兩個地區的數據都回到了接近2022年上半年的水平。

如上所述，在阻止惡意對象的ICS計算機百分比中，增幅最大的是西歐（4.6個百分點）、美國和加拿大（1.9個百分點）以及澳大利亞和新西蘭（1.3個百分點）。值得注意的是，北歐和中東地區增幅雖小但呈穩定增長趨勢（各增長0.3個百分點）。

西歐是所有地區中增幅最大的地區，在2023年上半年，受到攻擊的ICS計算機百分比逐月增長（直到5月份），然后在6月份下降至1月份的水平。

【2023年1月至6月，西歐地區攔截惡意對象的ICS計算機百分比】

數據表明，在2023年上半年，一些威脅行為者重新利用老式網絡釣魚技術，瞄準歐洲組織，包括工業組織。該技術涉及用惡意腳本感染網站，該腳本會觸發一個類似微軟技術支持窗口的彈出窗口。彈出窗口不包含任何鏈接，而是顯示釣魚信息和可撥打的本地電話號碼。當用戶撥打該號碼時，威脅行為者會接聽電話并用當地語言進行通信，操縱毫無戒心的用戶下載并安裝遠程訪問工具或多功能間諜軟件。該技術利用社會工程策略欺騙用戶并獲得對其系統的未經授權訪問，對組織（包括工業組織）構成了嚴重威脅。

而在西歐地區，增幅最大的行業是工程和ICS集成（增幅為6.1個百分點）。

【在選定行業中阻止惡意對象的ICS計算機百分比（西歐地區）】

國家表現差異

攔截惡意對象的ICS計算機比例在不同國家也有所不同，其中，占比最高的是埃塞俄比亞（53.3%），最低的是盧森堡（7.4%）。

【2023年上半年，攔截惡意對象的ICS計算機比例最高的15個國家和地區】

2023年上半年，在阻止惡意對象的ICS計算機比例最高的15個國家和地區中，有7個非洲國家、3個中東國家和3個中亞國家。

而在比例最低的10個國家中，有一半位于北歐。

【2023年上半年，攔截惡意對象的ICS計算機百分比最低的10個國家和地區】

行業統計數據

2023年上半年，在工程和ICS集成（增加2個百分點），制造（增加1.9個百分點）和能源（增加1.5個百分點）等行業中阻止惡意對象的ICS計算機百分比呈現增長趨勢。

【在選定行業中阻止惡意對象的ICS計算機百分比】

其中，樓宇自動化在這些行業中仍處于領先地位。

自2021年以來，能源、石油和天然氣領域攔截惡意對象的ICS計算機比例呈現相反的趨勢。

【在選定行業中阻止惡意對象的ICS計算機百分比，紅色為能源；藍色為石油和天然氣】

惡意對象類別

2023年上半年，卡巴斯基安全解決方案在工業自動化系統中攔截了11727種不同的惡意軟件家族。

【ICS計算機上攔截的惡意軟件家族】

ICS計算機上被卡巴斯基產品阻止的惡意對象種類繁多，其中占比最大的惡意對象類別包括：

• 惡意腳本和網絡釣魚頁面，占比7%；
• 列入黑名單（Denylisted）的互聯網資源，占比3%；
• 間諜軟件，占比6%；
• 惡意文件，占比4%；
• 勒索軟件，占比32%。這是自2020年初以來的最低比例。

【阻止各類惡意對象活動的ICS計算機百分比】

其中，只有一個類別在2023年上半年有所增長：列入黑名單的互聯網資源。阻止此類威脅的ICS計算機百分比實現了連續二年的增長。

2022年之前，列入黑名單的互聯網資源一直穩居威脅類別列表的榜首，但在2022年，它開始掉到第二名，僅次于惡意腳本和網絡釣魚頁面，后者仍然位居榜首。然而，這兩種威脅的價值正在趨同。

【攔截惡意腳本和網絡釣魚頁面 VS 攔截Denylisted互聯網資源的ICS計算機百分比】

惡意腳本和網絡釣魚頁面（JS和HTML）

惡意腳本和網絡釣魚頁面（JS和HTML）通過互聯網和電子郵件傳播。惡意腳本服務于廣泛的目標：從收集數據，跟蹤和重定向用戶到惡意網站，到下載各種惡意軟件（如間諜軟件和/或隱蔽的加密礦工）到系統或瀏覽器。

在攔截惡意腳本和釣魚網頁的ICS計算機中，占比最高的地區是中東和俄羅斯。半年來，這一數字在五個地區有所增長，主要是在美國和加拿大（增長3.3個百分點）、西歐（增長2.2個百分點）以及澳大利亞和新西蘭（增長1.9個百分點）。

攔截惡意腳本和網絡釣魚頁面的ICS計算機比例最高的國家是吉爾吉斯斯坦（21%）和阿富汗（20.9%）。

列入黑名單（Denylisted）的互聯網資源

在阻止Denylisted互聯網資源的ICS計算機中，比例最高的地區是非洲。而就增長趨勢而言，其中增幅最大的是美國和加拿大（3.2個百分點）、東歐（2.6個百分點）以及澳大利亞和新西蘭（2.5個百分點）。

阻止Denylisted互聯網資源的ICS計算機比例最高的國家是阿爾及爾（21.8%）和阿富汗（20.2%）。

間諜軟件

阻止間諜軟件的ICS計算機百分比繼續下降。這種趨勢的轉折點出現在2022年上半年，在此之前（從2020年到2022年上半年）還始終呈現上升趨勢。

【攔截間諜軟件的ICS計算機百分比】

2023年上半年，在攔截間諜軟件的ICS計算機中，比例最高的地區是非洲。中東和東南亞的比例也同樣高。

而就國家而言，名列前茅的是塔吉克斯坦（18.9%）、阿爾及爾（16.7%）和阿富汗（16.6%）。

惡意文件（MSOffice +PDF）

黑客通過網絡釣魚信息傳播惡意文件，并利用它們進行攻擊，目的是引起初次感染。在2022年上半年，全球阻止此類威脅的ICS計算機比例增加了一倍以上，此后便一直呈現下降趨勢。然而，在2023年上半年，這一比例仍高于2020-2021年。

【阻止惡意文檔的ICS計算機百分比】

受害者人數最多的地區是拉丁美洲和南歐。這些地區攔截電子郵件威脅的ICS計算機比例也最高。美國和加拿大攔截惡意文件的計算機百分比增幅最大（0.72個百分點）。

阻止惡意文件的ICS計算機比例最高的國家是阿爾及爾（16.7%）和阿富汗（16.6%）。

惡意加密貨幣礦工

礦工病毒通常通過網站傳播，黑客會在各種媒體和盜版網站上部署惡意腳本，并將用戶重定向到這些網站。

全球阻止惡意礦工（包括Windows可執行文件和web礦工）的ICS計算機百分比在2023年上半年有所下降。

2023年上半年，在阻止惡意礦工的ICS計算機中，比例最高的地區是中亞。而就國家而言，比例最高的是塔吉克斯坦（7.9%）和土庫曼斯坦（7.4%）。

病毒和蠕蟲

阻止蠕蟲的ICS計算機百分比繼續下降，這可能間接表明各組織在OT環境中系統地使用了安全解決方案，從而消除了感染熱點并防止了自我傳播式惡意軟件的傳播。

與2022年下半年相比，2023年上半年阻止病毒和蠕蟲的ICS計算機百分比幾乎沒有變化。

【阻止病毒和蠕蟲的ICS計算機百分比】

病毒和蠕蟲通過可移動介質、共享文件夾、受感染的文件（如備份）以及對過時軟件（如Radmin2）的網絡攻擊在ICS網絡中傳播。

有許多相對較舊的病毒和蠕蟲仍在傳播，例如Kido/Conficker。盡管命令和控制服務器已關閉，但這些較舊的蠕蟲和病毒構成了兩個威脅：第一，破壞了受感染系統的安全性，例如它們打開網絡端口并更改設置，第二，可能導致軟件崩潰或拒絕服務情況。

然而，在ICS網絡中也可以看到新版本的蠕蟲，攻擊者用來在受感染的網絡中傳播間諜軟件、勒索軟件和礦工。通常，這些蠕蟲通過利用網絡服務中的漏洞進行傳播，例如SMB 或RDP，這些漏洞已被供應商修復但仍存在于OT 環境中，或者通過使用早期竊取的身份驗證數據，甚至通過暴力破解密碼進行傳播。

勒索軟件

攔截勒索軟件的ICS計算機比例在2022年上半年有所增加，但在2023年上半年降至2020年以來的最低水平。

【攔截勒索軟件的ICS計算機百分比】

其中，東亞和中東是2023年上半年ICS計算機遭受勒索軟件攻擊比例最高的地區。

在全球大部分地區，受到勒索軟件攻擊的ICS計算機比例有所下降。在澳大利亞和新西蘭增長了0.19個百分點，在美國和加拿大增長了0.13個百分點，在北歐和東歐略有增長。

主要威脅來源

互聯網、電子郵件客戶端和可移動設備仍然是企業運營技術基礎設施中計算機的主要威脅來源。

• 互聯網占3%；
• 電子郵件客戶端占6%；
• 可移動設備占4%。

【阻止各種威脅來源的ICS計算機百分比】

好消息是，在2023年上半年，幾乎所有主要威脅來源的ICS計算機上攔截惡意對象的百分比都有所下降。

與整體威脅統計數據的情況一樣，阻止各種威脅來源的ICS計算機百分比因地區和國家而異。

國家地區差異

互聯網威脅來源

2023年上半年，阻止互聯網威脅的ICS計算機比例最高的地區是非洲、中東和俄羅斯。

【2023年上半年，阻止互聯網威脅的ICS計算機百分比排名（按地區分布）】

2023年上半年，在阻止互聯網威脅的ICS計算機中，增幅最大的地區反而是那些被認為是“最安全的”地區：西歐（增長2.6個百分點）、美國和加拿大（增長2個百分點）、澳大利亞和新西蘭（增長1.4個百分點）。

電子郵件客戶端

自2022年上半年以來，南歐一直是攔截惡意電子郵件附件和網絡釣魚鏈接的ICS計算機比例最高的地區。

在美國和加拿大（增長了0.3個百分點）、西歐（增長了0.4個百分點）和俄羅斯（增長了0.1個百分點），阻止電子郵件威脅的ICS計算機百分比有所增長。

【2023年上半年，阻止惡意電子郵件附件和網絡釣魚鏈接的ICS計算機百分比排序】

如圖所示，在這15個國家和地區的ICS計算機中，南歐和東歐的惡意電子郵件附件和網絡釣魚鏈接被攔截的比例最高。因此，格外提醒這些國家的信息安全專業人員要特別注意保護員工免受網絡釣魚電子郵件攻擊。

可移動設備

在阻止可移動設備威脅的ICS計算機中，比例最高的地區是非洲和亞洲。2023年上半年，非洲的這一數字略有增長（增長0.63個百分點），澳大利亞和新西蘭的這一數字增長了一倍多（增長1.2個百分點）。因此，建議這些國家的信息安全專業人員特別注意保護員工免受網絡釣魚電子郵件攻擊。

網絡文件夾

網絡文件夾是惡意對象的一個次要來源。東亞、東南亞和中亞地區阻止網絡文件夾威脅的ICS計算機比例最高。在澳大利亞和新西蘭，這一數字在半年時間里翻了一番，使該地區排名第四。

【2023年上半年，阻止網絡文件夾中惡意對象的ICS計算機百分比排序】

原文鏈接：https://securelist.com/threat-landscape-for-industrial-automation-systems-statistics-for-h1-2023/110605/