網絡威脅針對能源行業的形式多種多樣，包括尋求破壞國家基礎設施的國家支持行為體、受利潤驅使的網絡犯罪分子以及故意制造破壞的內部人士。

Darktrace針對英國和美國能源行業進行的一項為期三年(2021年11月至2024年12月)的研究顯示，網絡攻擊一旦成功，后果可能十分嚴重，可能會破壞能源供應并造成經濟和社會損失。

“我們的三年分析揭示，英國和美國能源行業存在亟待關注的重大漏洞。安全團隊應優先考慮以下三個關鍵領域：首先，減少OT系統向互聯網的重大暴露，因為能源行業在此類易受攻擊的配置方面首當其沖，攻擊者可利用此類配置獲得初始訪問權限。其次，實施全面的資產可見性解決方案，因為該行業大多數組織缺乏適當的庫存管理，而這一點在我們觀察到的整個行業的供應鏈攻擊中已被利用。第三，加強電子郵件安全協議，因為我們的研究表明，55%的成功攻擊仍然源自網絡釣魚活動。我們已確定國家和高級持續性威脅(APT)行為體以及專門針對工業控制系統的成熟攻擊者已潛入能源網絡。隨著該行業加速向凈零目標推進數字化轉型，安全團隊必須確保防護措施同步發展。”Darktrace的分析主管Zoe Tilsiter(本報告作者)向記者介紹道。

電子郵件是初始攻擊載體

美國和英國以及各類能源客戶的情況顯示，55%的事件涉及電子郵件或軟件即服務(SaaS)，使其成為最頻繁的攻擊載體。收件箱仍然是傳遞惡意有效載荷的主要方式，其次是SaaS在整個部署中的漏洞傳播。

在大多數情況下，網絡釣魚郵件被用來竊取憑證，從而導致(通常是)Microsoft 365帳戶遭到攻擊。

18%的案件利用并部署了勒索軟件。常見的威脅行為體包括ALPHV/BlackCat和Fog，其他還包括Sodinokibi、Hunters International和KOK08，其中一些勒索軟件組織(例如Sodinokibi)采用勒索軟件即服務(RaaS)模式，13%的案件因網絡安全態勢薄弱而遭到初次攻擊。

自2022年以來，歐洲、中東和非洲(EMEA)地區針對可再生能源生產商和供應商的攻擊明顯增多。2019年至2022年期間，霍尼韋爾(Honeywell)和施耐德電氣(Schneider Electric)等公司遭到疑似與APT28相關的間諜活動攻擊。

2022年4月，烏克蘭的變電站遭到Sandworm(俄羅斯武裝部隊總參謀部(GRU))的攻擊，其目標是IT IEC-104協議，該協議與電力公用事業設備交互，向變電站設備發送電力流指令。

Lazarus組織(朝鮮贊助的APT)利用互聯網上暴露的VMware Horizon和Unified Access Gateway服務器上的Log4j漏洞(CVE-2021-44228)攻擊了美國、加拿大和日本等地的能源公司。

能源行業的AI應用

AI正被廣泛應用于各行各業，能源行業也不例外，然而，盡管AI潛力巨大，但該行業尚未完全實現AI驅動。業內認為，如果AI的使用未伴隨充分的培訓，可能會給該行業帶來更多風險。目前尚無確鑿證據表明AI已被用于攻擊能源行業。

采用AI的攻擊者可能會改變攻擊的方式、規模和速度，從而造成更大破壞。理論上，敵人可利用AI訓練語言模型，從而在大范圍內進行偵察和鎖定目標。

“關于AI將摧毀電網的說法，粗略一看似乎頗為可信，但實際上很多時候并不明智。我不認為我們已接近那個程度，我們還差得遠呢。”麻省理工學院(MITRE)網絡基礎設施保護創新中心(CIPIC)主任Mark Bristow說道。

過度依賴、外包和云端

該行業歷來過度依賴少數關鍵供應商和系統，這種依賴集中化增加了單一針對性攻擊可能對關鍵國家基礎設施(CNI)產生連鎖影響的風險。正如英國皇家聯合軍種研究院(RUSI)所警告的，“關鍵軟件系統由少數幾家公司控制”，由于缺乏供應商多樣性而帶來嚴重風險。

能源行業高管開始考慮將人機界面(HMI)和甚小孔徑終端(VSAT)等OT設備以及離散邏輯控制系統和5G通信托管在云端。云端設置有助于提升規模和速度，但也帶來了新的風險。一位美國專家表示，“風險在于最終將資產連接到以太網轉換器并插入云端”。

同時，能源公司正在外包更多工作，這意味著他們通常不了解其供應商使用的軟件是什么，也不清楚其安全性如何。