2022年网络安全事件呈上升趋势,给工业基础设施的所有者和运营商带来诸多问题。然而,幸运的是,尽管媒体上的许多事件都是耸人听闻的头条新闻,但我们没有看到整体威胁格局发生任何突然或灾难性的变化,换句话说,没有任何变化是棘手的。然而,卡巴斯基预测未来一年可能会复杂得多。在分析2022年的网络安全事件时,我们必须承认我们已经进入了一个新时代:工业企业和运营技术(OT)基础设施的威胁格局发生了最显着的变化,主要由地缘政治趋势驱动,相关的宏观经济因素决定。网络罪犯无国界;他们还密切关注全球政治和经济趋势,因为他们希望在确保自身人身安全的同时轻松获利。传统上归因于各国政府情报机构的APT活动总是随着外交政策的发展以及国家和政府间组织内部目标的变化而变化。APT世界的发展内部和外部的政治变化将为APT活动提供新的方向。攻击地域的变化随着现有战术和战略联盟的转变以及新联盟的出现,攻击地域将不可避免地发生变化。随着联盟的转变,我们看到国家之间前所未有的网络安全紧张局势。昨天的盟友可能成为今天的目标。行业重心的变化我们将很快看到APT活动将重点转移到特定行业,因为不断变化的地缘政治现实与经济变化齐头并进。因此,我们很快就会看到针对以下行业的攻击:农业、化肥、农机和食品制造,所有这些都是由于迫在眉睫的粮食危机和不断变化的粮食市场;由于全球物流链的不断变化,物流和运输(包括资源的能源运输);能源部门、矿产资源的开采和加工、有色金属和黑色金属的冶金、化学工业、造船、仪器和机床制造,因为这些公司的产品和技术的可用性是各国经济安全基础的一部分和政治联盟;替代能源领域,尤其是其在地缘政治议程中的地位;高科技、制药和医疗设备的生产商,因为这些是确保技术独立性不可或缺的组成部分。针对传统目标的持续攻击当然,我们仍然会看到针对传统目标的APT攻击。APT攻击的主要目标包括:军工企业。政府部门——预计攻击的重点是收集与经济工业部门增长相关的政府举措和项目的信息;关键基础设施——攻击旨在获得立足点以备将来使用,但有时,当特定国家之间的冲突达到顶峰时,目标甚至可能转向立即造成破坏。威胁格局的其他变化我们还发现了一些其他重要变化,这些变化必将对整体威胁格局产生越来越大的影响:越来越多的黑客关注内部和外部政治议程。这些攻击将获得更多的结果,实现从量到质的飞跃;出于意识形态和政治动机的内部人员和犯罪分子(主要是勒索软件)与APT团体合作的内部人员的风险正在增加;对关键基础设施的勒索软件攻击将变得更有可能;由于各国执法机构之间的沟通障碍,以及国际网络安全合作停滞不前,网络犯罪分子将可以自由攻击“敌对”国家的目标。这适用于所有类型的网络威胁,并将对所有行业的企业和所有类型的OT基础设施构成威胁;随着对初始访问企业系统的需求不断增长,犯罪凭证收集将会增加。地缘政治起伏带来的风险因素当前形势迫使工业组织做出极其复杂的选择——他们应该使用哪些产品和哪些供应商,以及为什么。一方面,我们看到产品和服务的供应链(包括OEM)缺乏信任关系,这反过来会增加使用许多公司习惯的产品的风险:当供应商终止支持时部署安全更新产品或退出市场将变得更加困难;由于安全供应商退出市场而停止定期更新时,安全解决方案的质量下降也是如此;不能完全排除一些小市场主体通过政治压力将产品、技术和服务武器化的可能性。然而,对于全球市场领导者和知名供应商而言,这种可能性即使不是不可能,也是极不可能的。另一方面,寻找替代解决方案可能极其复杂。本地供应商的产品通常比全球领导者的安全开发文化低得多,可能存在简单的安全漏洞和零日漏洞,使它们很容易成为网络犯罪分子和黑客的目标。除此之外,还有一些风险因素会影响到每个人:威胁检测的质量下降,因为信息系统(IS)开发人员失去了一些市场,导致一些合格的IS专家流失。对于所有面临政治压力的安全供应商来说,这是一个真正的风险因素;新“铁幕/无形屏障”两端甚至同一端的IS开发人员和研究人员之间的沟通中断(由于当地市场紧张,竞争加剧),无疑会降低当前正在开发的安全解决方案的检测率;CTI质量将下降:毫无根据的出于政治动机的网络威胁归因、夸大的威胁、政治压力下的政治叙事以及试图利用政府降低陈述的有效性标准以赚取额外利润;政府试图整合有关事件、威胁和漏洞的信息下一个是保密的。同时,这增加了机密数据泄露的风险(例如,在国家漏洞数据库中错误发布的RCE的PoC)。这个问题可以通过在公共部门建立广泛的网络安全能力来解决,以确保负责任地处理敏感的网络安全信息,并有效和协调地披露漏洞;更大,包括与政府云和服务的连接,有时可能不如一些最好的私有云和服务安全,因此存在额外的IS风险;其他技术风险因素争夺更有效的数字化。工业物联网(IIoT)和SmartXXX,包括预测性维护系统和数字孪生,导致攻击面显着增加。CMMS(计算机化维护管理系统)的攻击统计数据证实了这一点。2022年上半年CMMS命中率排名前10位的国家:一方面,能源运营商价格上涨以及由此带来的硬件价格上涨将迫使许多企业放弃部署本地基础设施的计划,转而支持第三方提供商的云服务(这增加了是风险)。此外,这将对分配给IT/OT安全的预算产生负面影响。各种无人驾驶车辆和设备(卡车、无人机、农业设备等)的部署可能被滥用为目标或工具。未来攻击中最值得注意的技术和战术不要对最先进的攻击者使用的战术和技术抱有任何幻想,例如与主要国家情报机构相关的APT活动。也不要过分关注最不合格的威胁参与者使用的策略和技术,因为他们不太可能想出任何有趣或新颖的东西,而且大多数组织已经部署了可以有效阻止他们攻击的安全解决方案。让我们把重点放在中间——更活跃的APT组织使用的技术和策略,他们的活动通常归因于中东和远东国家的利益,也被更高级的网络犯罪分子使用,例如勒索软件组织。根据我们调查此类攻击和相关事件的经验,我们认为ICS网络安全专家需要注意以下策略和技术:在合法网站上嵌入钓鱼页面和脚本;使用特洛伊木马化的“破解”分发包、“补丁”和常用的专业软件密钥生成器(许可成本上升和为供应商留出某些市场的政治压力等因素会加剧这种情况);相关组织或合作伙伴在攻击中窃取的文件将被用作钓鱼邮件的诱饵;网络钓鱼电子邮件将通过伪装成合法工作信函的受感染邮箱进行分发;某些解决方案的安全更新将变得更加难以访问。利用“新”供应商产品(包括本地产品)中的愚蠢错误配置(例如未能更改默认密码)和零日漏洞。此类产品的大规模推出是不可避免的,尽管对开发人员的安全成熟度存在严重怀疑。例如,在许多小型“本地”供应商产品的安装说明和用户手册中可以找到诸如“在密码字段中输入密码xyz”之类的建议。此外,在这些供应商的网站上几乎找不到关于从通用组件和OEM技术继承的漏洞的信息。利用“本地”服务提供商和政府信息系统的云服务中固有的安全漏洞;利用安全解决方案中的错误配置。这包括无需输入管理员密码即可禁用防病毒产品的可能性(如果攻击者可以轻松禁用防病毒产品,则防病毒产品几乎毫无用处)。又如IS解决方案的集中管理系统安全性薄弱。在这种情况下,IS解决方案不仅容易被绕过,而且还可以用于横向移动,例如,传递恶意软件或获得对“隔离”网段的访问权限并绕过访问控制规则;使用流行的云服务作为CnC/C2——即使在识别出攻击之后,受害者可能仍然无法阻止它,因为重要的业务流程可能依赖于云;利用合法软件中的漏洞,例如使用DLL劫持和BYOVD(自带易受攻击的驱动程序)绕过端点安全解决方案;并通过可移动媒体分发恶意软件以克服气隙系统。
