2024年ICS和OT威胁预测

卡巴斯基预计2024年工业网络威胁形势不会发生急剧变化。下面描述的大多数趋势以前就已被观察到，其中许多趋势甚至已经存在了很多年。然而，其中一些趋势已经达到了缓慢变化的临界点，这可能导致威胁格局最早在明年发生质的变化。

勒索软件

2024年，勒索软件仍将是工业企业的头号祸患。

2023年，勒索软件攻击巩固了其在工业企业信息安全威胁排行榜上的领先地位。从2023年上半年受网络事件影响的组织的官方声明中来看，至少六分之一的勒索软件攻击导致产品生产或交付停止。在某些情况下，攻击造成的损失估计高达数亿美元。目前，似乎没有理由相信这种威胁会在不久的将来会减少。

【勒索软件受灾行业分布，图源：卡巴斯基】

针对大型组织、独特产品（设备、材料）供应商或大型物流和运输公司的勒索软件攻击可能会造成严重的经济和社会后果。

如今，根据目标公司的数据显示，不少于18%的针对工业企业的勒索软件攻击导致生产和/或产品交付中断。此外，网络犯罪分子在选择受害者时明显瞄准了“高端市场”，他们更倾向于以能够支付巨额赎金的大型组织为目标。

这就造成了一种局面，即攻击者可能故意或意外地再次越过界限，造成基础设施级别的攻击后果，就像Colonial Pipeline的情况一样。另一个例子是，最近对迪拜国际集装箱码头和供应链运营商 DP World的攻击活动，导致墨尔本、悉尼、布里斯班和弗里曼特尔港口的工作陷入停顿，致使约 3万个集装箱无法交付。

勒索软件市场正在走向高峰，随后可能会出现下滑或停滞。

不过，潜在受害者不太可能在短期内对攻击免疫。但他们可以学习如何更有效地减轻影响（例如，通过更好地保护最机密的数据，并制定适当的备份和事件响应计划）。

如果这导致受害者支付的金额减少，网络犯罪分子将不得不寻找新的目标类型和攻击货币化方案。潜在的发展途径包括以下几条：

1. 对物流和运输公司的攻击可能不再针对支持运营的IT基础设施，而是针对车辆本身（汽车、轮船）。

乍一看，停车场和车队中种类繁多的车辆似乎阻碍了此类攻击的实施，大大增加了攻击者的开发成本。然而，攻击的目标不是某个特定的车主或运营商，而是具有相同或类似内部控制系统的多辆同类型车辆。

另一个促进攻击的因素是车队所有者和运营商额外为车辆配备了他们自己定制的遥测收集系统，这些系统通常默认具有远程控制功能（例如，远程重新刷新固件或更改要收集的数据集）。汽车制造商和服务提供商有时也会这样做。因此，这种攻击向量是可行的。

在这种攻击情况下，受害者将无法自行恢复运营，否则将产生使企业无法继续生存的成本。恢复加密的IT系统的运行（例如，从备份中恢复）比解决一个技术上简单的问题要容易得多，即使是影响分散在广泛区域的车辆的问题（例如，删除阻止车辆发动机启动或切断船舶内部电力的恶意软件）。公司可能会发现自己无法在不造成不可接受的经济损失的情况下及时自行恢复正常运营。

2. 同样的攻击向量也适用于在偏远地点（例如矿业或农业领域）作业的各种专用设备的所有者和运营商。

3. 多个偏远地点的网络安全问题也与石油和天然气公司、公用事业以及任何具有高度分布式OT基础设施的组织有关。对偏远地点的攻击排除了远程恢复的可能性（例如，由于常规的远程访问通道被恶意软件阻塞），从而保证了赎金的支付。

4. 非常规的货币化攻击方式（例如，通过股市投机）针对经济上重要的企业，如大型运输和物流组织、大型矿业公司、材料制造商和供应商（如金属、合金或复合材料）、农业和食品产品、难以迅速弥补短缺的独特/紧缺产品（如微型芯片或化肥）的供应商。

这些企业的产品供应中断会严重影响其市场价格。除直接后果外，还可能产生连锁反应和间接副作用。例如，Shamoon在攻击沙特阿美石油公司（Saudi Aramco）后对全球硬盘价格产生了爆炸性影响，因为该公司出人意料地决定将所有受攻击影响的计算机硬盘更换为新硬盘。

黑客行为主义者

在地缘政治分歧线上，出于政治动机的黑客行动主义将变得更加尖锐，并产生更具破坏性的后果。

我们都记得，亲以色列的黑客组织声称对2021年伊朗铁路和加油站遭受的黑客攻击负责。去年，我们又看到了更多的案例：以色列的灌溉系统遭到袭击，以色列制造的Unitronics Vision All-in-One（PLC与集成HMI）解决方案在美国和爱尔兰遭到攻击，2023年伊朗加油站也遭到攻击。撇开公关效应不谈，在所有这些案例中，负面影响的实际规模都相当有限。

这就是说，最近的黑客行为主义攻击活动已经证实了其攻击OT系统的能力。在卡巴斯基 ICS CERT 今年调查的一些类似案例中，攻击者只是稍微欠缺一些准备工作和毅力，才使受害者免于遭受物理损害。不断升级的紧张局势很可能会将出于政治动机的黑客攻击提升到一个全新的威胁水平。

世界政治抗议黑客行为主义（cosmopolitical protest hacktivism）日益增长。

例如由引入新的社会文化和宏观经济议程所驱动的，或者相反地，旨在反对引入新的社会文化和宏观经济议程的抗议。一个与环境保护和绿色技术有关的例子是所谓的“生态黑客行为主义”（eco-hacktivism），如 Guacamaya Roja 黑客行为主义团体对危地马拉一家矿业公司的攻击。

黑客行为主义在全球范围内的全面兴起，将激发更多的个人和团体开始为“无所谓的理由”，甚至“只是为了好玩”而战。

具体案例可以参见今年黑客组织SiegedSec对爱达荷国家实验室实施的攻击活动。

【爱达荷国家实验室鸟瞰图。图源：Sam Beebe via Flickr】

从灰色地带走向阴影

广泛使用“进攻性网络安全”来收集网络威胁情报将产生积极和消极的后果。

一方面，我们将看到企业安全方面的一些改进，因为进攻性网络威胁情报将为用户提供潜在威胁迹象，它并非像传统的网络威胁情报那样，通过安全解决方案的遥测、事件研究、间接来源和暗网来获取情报，还可以直接从攻击者控制的基础设施中获取情报。这将使受害者能够更快、更有效地恢复系统安全。

另一方面，进攻性网络情报的发展在成为新规范（尽管没有正式合法化，但在政府的默许下应用）的同时也将产生负面影响，因为灰色地带与阴影之间的边界可能过于模糊，越过它的诱惑可能难以抗拒。在一些国家的支持下，一些商业企业可能会尝试从商业进攻性情报解决方案和服务提供商的帮助中受益，甚至可能不仅限于网络安全目的。一些工业企业也可能参与其中。对于高度竞争的生态系统（例如建筑、采矿和能源以及许多其他工业部门），情况尤为如此。

这些“利益驱动”的网络活动将比我们在APT活动中看到的更加精确。这些活动将主要使用商业和开源工具，这将使他们能够在网络犯罪攻击普遍高发的背景下掩盖自己的活动。因此，这些操作被发现和调查的几率甚至会低于APT活动。

与物流和运输相关的威胁

物流和运输行业的快速自动化和数字化将导致：

1. 网络犯罪和传统犯罪更加紧密地交织在一起，特别是在由来已久的犯罪领域。

具体表现在以下方面：

• 汽车盗窃，适用于所有现代汽车，但尤其适用于亚洲品牌，预计也同样适用于新汽车品牌，因为要迎合快速进入市场的激进战略，新汽车品牌通常会将网络安全成熟度作为首要牺牲的事项之一。

• 由网络手段驱动的海盗和物流中断——作为已知攻击战术和技术的合理延续，如最近在红海和印度洋对自动跟踪系统（AIS）的攻击，或者在2020年对伊朗Shahid Rajaee港口码头的攻击。

• 利用网络手段盗窃物品。

• 通过网络手段进行走私——就像在Antwerp港臭名昭著的“十三罗汉”（Ocean’s Thirteen）案件中使用的战术一样。

• 其他物流和运输欺诈，例如与保险索赔/取消罚款相关的款项，以及许多其他欺诈手段，有些难以预料，例如最近在波兰一起案例中观察到的利用DRM作为不公平竞争的手段。

2. 非针对性攻击造成物理后果的可能性增加。

目前已经有各类车辆感染恶意软件的已知案例。如果我们展望不久的将来，由于“传统”操作系统（如Android和Linux）在交通领域的采用，标准IT组件和通信协议的广泛集成，以及涉及云服务连接的用例数量的增加，这种感染预计会成倍增加。其中一些可能会导致关键监测和控制系统的故障，从而造成难以预测的后果。最重要的是，这种风险涉及河运、海运、卡车运输和紧急运输——这些车辆的信息安全情况通常不如客车。

原文来自: freebuf.com