卡巴斯基:2022年工控系统及工业企业安全威胁预测

首页 / 业界 / 资讯 /  正文
来源:安全419
发布于:2021-12-02
近年来,工业企业面临不断变化的威胁形势,其中大多趋势已经演变了一段时间。对此,卡巴斯基研究人员预测了2022年工业企业面临的网络威胁及发展趋势、威胁行为者使用的策略及技术、以及今年攻击者取得的进展。
 
 
一、网络威胁趋势演变
 
公司网络安全改善以及越来越多的工具和保护措施引入正在导致网络威胁的演变。以下是一些值得关注的发展领域:
 
1、攻击目标数量逐渐减少
作为网络犯罪活动一部分,攻击者的攻击目标已经越来越少。例如,基于间谍软件的身份验证数据盗窃犯罪生态系统中出现了一种新趋势,每次攻击都针对极少数目标,从几个到几十个。这种趋势正在迅速发展,在某些地区,卡巴斯基阻止间谍软件的所有ICS计算机中,有多达20%都使用这种策略进行攻击。2022年,此类攻击可能会占威胁形势的更大部分,而且这种策略也可能传播到其他类型的威胁。
 
2、恶意软件生命周期缩短
为避免被发现,越来越多的网络犯罪分子采用频繁升级恶意软件的策略。威胁行为者使用最有效的恶意软件来突破安全解决方案的防御,然后在当前版本变得易于检测时立即升级到新版本。有些类型的威胁,如间谍软件,每次构建的生命周期都在缩短,并且在许多情况下不会超过三至四周,通常甚至更少。现代MaaS平台的发展使全球恶意软件运营商更容易使用此策略。2022年肯定会在各种威胁场景中更频繁地遇到这一趋势,再加上每次攻击的受害者人数呈下降趋势,这种策略的广泛使用将导致恶意软件的种类更多,从而对安全解决方案开发人员构成重大挑战。
 
3、APT更先进且更持久
在某种程度上,APT组织的策略也有类似的趋势。APT中P(Persistent,持续性)的质量已经不那么依赖于A(Advanced,高级)。研究人员早就发现,运营者通过顽强和勤奋,可以维持在受害者基础设施中持续存在,并且扩展和定期升级工具包,正在寻找新的技术解决方案和开发成本高昂的复杂框架的替代方案,这些框架旨在尽可能长时间不被发现。在APT活动中,这种策略很可能会越来越频繁地被发现。
 
4、减少恶意基础设施使用
在与保护工具的斗争中,攻击者自然会寻求减少其行为的可检测恶意足迹,这尤其体现在尽量减少恶意基础设施的使用上。例如,一些APT中的C&C服务器的生命周期非常短,在预期的攻击阶段运行不超过几个小时。
 
有时,攻击者不仅会设法避免使用任何恶意基础设施,而且还会避免使用可疑和不受信任的基础设施。例如,间谍软件攻击使用了一种流行的策略,从目标受害者的合作伙伴组织的受感染公司邮件账户发送网络钓鱼电子邮件。在这种情况下,精心设计的消息实际上与合法消息无法区分,并且几乎无法用自动化工具检测到。
 
在对工业企业的АPT相关事件的调查中,研究人员发现在攻击的同时,试图从受感染的工业设施的基础设施访问母公司的其他组织或资源、政府机构等;很可能是希望这种尝试不会被注意到。毫无疑问2022年各类攻击者将更频繁地使用此类策略。
 
二、攻击者类型及活动
 
对于工业企业来说,构成最大威胁的是APT和网络犯罪。对于不同的威胁行为者类型,改善信息安全和引入新的保护工具和措施的计划也不同。对某些类别的攻击者的利益、能力和攻击手法的认知可能已经过时,因此需要不断更新。2022年可能会继续或加剧的相关趋势包括:
 
1、APT和网络犯罪策略相似
许多APT和网络犯罪活动有时很难区分,即使是专家也是如此。技术上有缺陷的APT和“复杂的”网络犯罪攻击并不让人感到惊讶。特别是,在与知名APT相关的活动中,有很多制作拙劣的网络钓鱼电子邮件,其中充满了明显可见的错误。很多时候,在有针对性的网络犯罪活动中遇到过几乎完美无缺的电子邮件。
 
同样,伪装成网络犯罪的APT以及伪装成APT的网络犯罪分子的攻击,也不会令人惊叹。毫无疑问,将在APT武器库中看到,不仅继续使用商业工具,还继续使用MaaS基础设施和交付方法作为初步渗透的手段。
 
2、APT和网络犯罪攻击目标相同
在众多工业公司中,APT组织可能重点关注:军工综合体和航空航天工业,最有可能用于军事和技术间谍目的;能源、交通和公用事业,试图在关键基础设施中站稳脚跟,并利用它进行其他攻击;基于知识的行业,主要用于工业间谍目的。
 
网络犯罪分子将继续攻击他们能接触到的每个人,并且在绝大多数情况下,将使用相同的久经考验的方法通过攻击获利:通过替换银行详细信息直接盗窃资金,通过BEC策略或访问组织的财务系统;勒索有能力并愿意支付的人;将被盗信息转售给其他网络犯罪分子、受害者的竞争对手和其他相关方。
 
3、网络犯罪经济损失更大
从过去一年发生的事件来看,就直接经济损失而言,网络犯罪分子的行为对工业组织而言似乎比APT重要得多。例如在2021年,许多行业陷入停顿,向勒索软件支付了数千万美元。与此同时,一整年中只有一个已知的APT造成重大经济损失的案例,而这是在攻击者伪装成勒索者时发生的。
 
也就是说,APT攻击可能会产生非常难以提前评估的延迟负面影响,例如几年后,竞争对手公司可能会根据被盗数据创建新产品。
 
4、网络流氓和黑客行动主义者
2021年,网络流氓和黑客行动主义者至少在三个场合成为全球头条新闻,表明重要的工业基础设施往往保护不力,而且时机成熟。2022年应千方百计尽一切可能杜绝此类事件发生。
 
5、敲诈勒索
在即将过去的一年里,勒索成为了主要趋势,无法轻易阻止。明年攻击将继续,包括针对工业企业。网络犯罪分子将更好地保护自己,并规避风险。受害者自然会以更高的赎金形式支付额外的费用。
 
三、攻击向量
 
以下网络犯罪策略和技术将在2022年被积极使用:
 
1、网络钓鱼
网络钓鱼是有针对性及非针对性攻击的首要初始渗透工具。在过去一年里,即使是糟糕的网络钓鱼,也能很有效工作。培训员工以批判的眼光阅读所有收到的邮件。拼写和语法错误、措辞不当、公司和官员的名称不正确、奇怪的话题和不寻常的请求都是网络钓鱼执行不力的迹象。任何员工,即使没有IT安全专业知识,也能认出他们。
 
遗憾的是,高质量的鱼叉式网络钓鱼几乎可以保证有效。在每家公司中,都会有人盲目打开附件、点击链接、点击按钮、甚至与攻击者联系,并在不知不觉中帮助他们在系统中启动恶意负载。
 
各种类型的网络犯罪分子已经掌握了不使用恶意基础设施的鱼叉式网络钓鱼和仅使用受信任的基础设施的网络钓鱼技术。而且,后者是最危险、最难检测的方法。不幸的是,它无疑会造成许多受害者。
 
2、已知漏洞
面向互联网的硬件中的已知漏洞也肯定会继续成为流行的渗透媒介。及时更新防火墙和SSL VPN网关。
 
3、零日漏洞
操作系统组件和流行IT产品中的零日漏洞将仍然是高级APT中相对罕见的工具,而不太常见的产品中的未知安全漏洞将被网络犯罪分子积极利用。
 
4、供应链攻击
域名注册商和认证机构的入侵,对供应商的攻击。关于这些“高级”策略,研究人员看到针对域名注册商和认证机构的攻击(最低限度访问受害者的Web控制面板),以及针对供应商的新攻击场景。此类威胁有可能在很长一段时间内未被发现,从而使攻击者能够进行持续的操作。那些买得起这种载体的人肯定不会放弃它们。
 
因此,在规划来年的保护手段和措施时,不仅要注意自己的基础设施的安全,还要注意使用的第三方服务的安全性。在为IT/OT系统选择产品供应商时,请在产品和供应商本身上标记网络安全要求。与业务合作伙伴合作时,请注意他们的安全弱点可能构成威胁。
 
四、2021年的成功基石
 
网络犯罪分子在2021年无疑取得了重大进展,今年针对工业企业的备受瞩目的勒索软件攻击清单可能比以往所有年份的总和还要长。针对工业组织的APT活动也让研究人员非常忙碌。今年网络犯罪分子的许多成就将被用作进入下一年的垫脚石。
 
数据被盗和IT系统受损。根据卡巴斯基对暗网上信息的遥测和分析,2021年网络犯罪分子至少危害了全球数千家工业组织,研究人员认为总数远远超过了被勒索软件攻击或被APT攻击的组织数量。
 
对OT的威胁。令人不安的是,研究人员还在许多组织中发现了与ICS直接相关的计算机上的入侵迹象。因此在某些情况下,损害可能不仅限于IT系统的加密和办公网络中的数据盗窃。
 
坚持不懈。APT中的P不仅应理解为Persistent(持续),还应理解为Persevering(坚持不懈)。因此,已经受到攻击的组织应该提高警惕,一些APT组织很可能会再次攻击目标,可能不止一次。