我经常收到大量网络犯罪报告,它们至少有两个共同点:勒索软件是威胁行为者(即网络犯罪分子)最流行的攻击类型之一,而制造业是最受欢迎的目标之一用于勒索软件攻击。
Verizon 的2023 年数据泄露调查报告(DBIR) 包含大量详尽的信息,包括为对网络安全感兴趣的任何人提供的解释,并且它验证了这些观点。研究中包含的所有网络犯罪事件中有 15.5% 存在勒索软件,其中只有拒绝服务 (DoS) 攻击位居榜首。在导致成功泄露的事件中,24% 的泄露涉及勒索软件尝试,仅次于使用被盗凭据。
根据 DBIR 的数据,制造业发生的事故数量排名第四,仅次于公共管理、信息和金融行业。这些网络犯罪分子没有政治或社会动机,他们只是想要现金。高达 96% 的不良行为者攻击制造业的动机都是出于经济动机。
为何制造业成为如此热门的目标?
关于工业网络犯罪的网络安全报告通常暗示这些是新的威胁,这就提出了另一个问题:这种情况持续了多久?这实际上是新的还是有炒作(考虑到提交这些报告的公司通常提供网络安全产品)?
制造商经常支付赎金
制造业成为这样的目标的一个重要原因是:制造商经常在受到攻击时付出代价,因为即使是小规模的入侵也会产生巨大的影响。
受勒索软件攻击影响的范围越大,受害者支付赎金的可能性就越大。在制造业中,如果攻击目标是关键工厂设备,成功的攻击可能会造成巨大的级联损害。当网络攻击成功攻击这些目标时,供应链的脆弱性会产生深远的连锁反应。即使关闭几条生产线几天,也可能对实现生产和分销目标产生严重影响。
“如果一条生产线瘫痪,就会立即影响到更多的受众。考虑一下对殖民管道的攻击对客户造成的影响。为了避免对客户造成影响,并保持制造商与其供应链签订的服务水平协议,众所周知,他们同意支付赎金,这会鼓励坏人更多地针对他们,”SecurityStudio 总裁 Ryan Cloutier表示。
KnowBe4的安全意识倡导者 Erich Kron补充道:“现代制造方法对时间非常敏感,以实现准时生产方法。勒索软件对制造业来说是一击二击,它会破坏生产线,使组织对进料、预期发货、生产状态和所有其他保持组织平稳运转的流程视而不见,从而削弱制造零件的能力。”
制造商也成为威胁者的重要目标,因为制造商历来没有足够重视网络安全。他们没有意识到“攻击面”的大小,“攻击面”的定义是进入其网络的所有潜在入口点的总和。
“许多制造公司仍在使用无法跟上当今威胁步伐的遗留系统,这使它们成为有吸引力的目标。制造业已经采用了物联网技术。其中许多传感器和自动化设备并不是为安全而设计的,并且无法更新或修补。这使他们变得脆弱,”克劳蒂尔说。
西门子数字工业工厂自动化事业部网络安全技术团队成员、系统工程师 Kimberly Cornwell表示:“制造商专注于生产自己的产品,可能没有将自己视为潜在目标,因此他们可能不具备 IT 水平对抗攻击甚至识别他们正在被探测/攻击所必需的复杂性。”
此外,实时 OT/ICS 网络攻击模拟培训公司Cloud Range的创始人兼首席执行官 Debbie Gordon 表示,“制造业是监管最少的行业之一,通常是漏洞较多的目标。许多系统都是为了易于使用和报告而相互连接的,而且许多都是使用充满漏洞的软件的遗留系统。威胁行为者也知道这一点。”
工业网络犯罪可以追溯到几十年前
虽然网络安全研究事实上正确地指出工业网络攻击的数量持续上升,但自 2000 年代初以来,工业网络安全一直是一个令人担忧的问题,当时工业以太网作为 IO 和通信的骨干网真正开始在制造业中占据主导地位。世界。
在此之前,机器是独立的岛屿,最早的网络攻击针对的是非常具体的硬件和软件。例如,在澳大利亚昆士兰州 Maroochy Water 袭击期间,威胁行为者使用笔记本电脑和专门的监控和数据采集 (SCADA) 设备来攻击污水泵站。
2010 年,网络犯罪分子使用当时被认为非常复杂的 Stuxnet 恶意软件来攻击伊朗纳坦兹铀浓缩设施的工业控制系统 (ICS)。Stuxnet 是一种“精确武器”,需要精确的软件来感染和特定的设备来瞄准。该恶意软件的变体可能会危害麦克风和网络摄像头、分析击键日志,甚至从图像中提取地理位置数据。
现代网络攻击技术,例如使用精心设计的网络钓鱼电子邮件;窃取密码、cookie 和浏览器历史记录;2011 年,威胁行为者利用计算机网络连接和驱动器信息入侵天然气管道部门组织。这些事件导致美国政府发布了一些最早的官方网络安全警报,包括有关社会工程危险的教育。
“勒索软件攻击急剧增加,非正式地认为 2016 年是勒索软件年。第二年,NotPetya 勒索软件攻击作为针对 OT 系统的大规模攻击引起了公众的关注。这次攻击的破坏性如此之大,以至于默克 (Merck)、马士基 (Maersk) 和联邦快递 (FedEx) 报告称与此次攻击相关的损失高达 8 亿美元。此后,随着威胁行为者意识到其中的经济机会并采取新策略,针对 OT 系统的攻击呈指数级增长。” Tenable OT/IoT 副首席技术官 Marty Edwards 说道。
因此,虽然工业网络犯罪本身并不是什么新鲜事,但部分改变的是网络犯罪分子所追求的目标。
“多年来,针对制造业的网络攻击总数相对稳定,因为它们是软性、高价值的目标。我们听到这个消息是因为破坏(勒索软件、愚蠢行为)引起了更多关注,再加上更严格的报告和风险暴露可见性要求,”Cloutier 说道。
“过去,这些攻击主要集中在获取网络访问权限以用于其他网络犯罪计划、企业间谍活动或一般渎职行为、愚蠢行为和恶作剧。而且,这些事件很多时候都被忽视或没有报告。因此,虽然基于勒索软件的攻击确实有所增加,但我认为,平均而言,总体攻击数量、风险暴露和攻击面与 20 年前相同。”Cloutier 补充道。
然而,可供网络犯罪分子利用的网络漏洞数量持续增加,这改变了威胁格局。
“随着 IT 和 OT 的融合,它创造了更大的攻击面。数字化转型努力正在推动更多的融合,工厂/公司“连接”的方面越多,存在或可能出现的潜在漏洞就越多,”Fortinet 的 FortiGuard 实验室的网络安全研究员和实践者 Aamir Lakhani表示。
Kron 补充道:“随着制造流程的简化,并更加依赖计算机系统来保持生产线平稳、不间断地运行,网络威胁已成为比以往任何时候都更加严重的问题。虽然威胁已经存在了一段时间,但攻击者已经完善了破坏制造业的艺术,因此他们的影响比以往任何时候都更大。”
现代网络犯罪团伙在媒体上享有盛名也无济于事。
“攻击 OT 组织所获得的恶名在攻击团体中很受欢迎,因为这给他们带来了声望。这种增加的可信度使它们被视为更严重的威胁,这反过来意味着勒索软件攻击的回报更丰厚、更快。”Lakhani 补充道。
摆脱千篇一律的建议
在警告制造商有关工业网络犯罪的危险后,网络安全公司的常见说法如下:
- 检查您的网络安全协议的状况。
o 您是否保护对系统的特权访问?
o 您的员工知道如何识别网络钓鱼尝试吗?
o 您是否要求员工定期更改密码并规定可接受的最低密码复杂度?
- 进行风险评估并准确了解制造商网络安全的弱点。
我想知道是否还有其他更具体且较少被引用的建议来帮助制造商防范网络漏洞和勒索软件企图。
“制造商可以通过将工业控制系统和运营技术(OT)从互联网上分离出来来帮助自己。这可能需要他们与技术合作伙伴合作,因此提前寻找并培养这些关系非常重要。”Cloutier 说道。
vArmour首席执行官 Matt Gyde补充道:“随着数据成为勒索软件攻击者的‘数字黄金’,制造公司(以及所有公司)越来越难以跟踪数据的移动位置、使用方式以及谁可以访问数据他们扩展并拥抱混合云。主动了解和控制数据流可能意味着安全和波及整个企业的漏洞之间的区别。需要实施工具和流程来了解混合基础设施中实际发生的情况,以便制造公司能够实时阻止可疑行为并为未来防范风险。” 。
克伦说,应急计划也被低估了。
“组织需要确保他们有适当的流程,以便在计算机系统停机时保持系统正常运行。当系统离线时,即使容量有限,也能继续运行,这不仅适用于网络攻击,还适用于其他类型的灾难,例如天气或其他灾难,这些灾难可能会导致计算机系统出现故障。”Kron 说。
工业网络犯罪会消失吗?
既然工业网络犯罪是一个长期存在的问题,而且可以说每年都在恶化,那么有什么理由认为它有一天可能会变得更好呢?
“有人问一位著名的银行劫匪,‘你为什么要抢劫银行?’ 得到的答复是“这就是钱所在”。从本质上讲,如果您身处一个利润丰厚的行业,停机成本高昂,而且网络安全实践不佳,那么您将成为犯罪勒索软件运营商的目标,”爱德华兹说。
换句话说,不。
