2020年ICS/OT网络安全展望
发布时间:
2019-12-30
来源:
作者:
访问量:
25
年终岁末,全球各大安全厂商、知名咨询机构、有关专业媒体和众多智库纷纷抛出了其对2020年网络空间安全发展的态势预测,无一例外,大家的关切都会包含CI(关键基础设施)保护、IoT安全、车联网安全、无人机安全、IT/OT融合等领域。天地和兴作为长期专注于工业网络安全的厂商,自然将关注点也聚焦到了CI保护和ICS/IoT安全,天地和兴对卡巴斯基、趋势科技、博思艾伦(Booz Allen)、CyberScoop、RSA等机构关于2020年网络空间威胁发展趋势的报告进行了学习和梳理,将有关ICS/IoT、CI的预测进行汇总研究,结果显示:2020年,网络空间威胁行为体仍然会将CI、非PC目标、ICS/IoT、车联网、无人机甚至卫星基础设施作为攻击目标;复合手段的攻击仍然会持续,比如威胁行为体会将攻陷的IoT、IT节点组织为僵尸网络,成为后续勒索和间谍行动的支点或跳板;供应链安全会迎来克隆及假冒产品的风险考验;网络攻击会成为国家级威胁行为体在外交对抗与军事冲突之间的更为折衷选项;网络战的阴霾持续加剧等。
天地和兴始终坚信,无论是ICS/IoT安全,还是CI保护,都离不开政府、企业、行业的协同联动以及整个IT/OT安全生态的构建。这一全新的融合态势不可逆转。这不仅是一个持续的战略、意识、技术、团队、流程、机制、体制融合的过程,更是一种新时代网络空间安全文化的形成过程。正如RSA在总结2020年RSA安全大会的议题时发现的:IT/OT 融合的挑战之一,它们是两种非常不同的文化和供应链。因此这种融合也推动了文化变革,也推动了更多的协作。
关键预测一:关键基础设施将受到更多攻击
趋势科技在其《2020年网络安全威胁预测》中指出,公用事业和其他关键基础设施(CIs)仍然是勒索者在2020年的攻击目标。勒索软件仍然是网络罪犯的首选武器,一旦勒索软件发作,企业将面临很大的风险:长时间的生产停机会导致巨额资金损失,生产线可能会瘫痪数周,具体取决于系统恢复需要多长时间。攻击者还可以组装一个僵尸网络,以对运营技术(OT)网络发起分布式拒绝服务(DDoS)攻击。使用云服务的制造公司会面临供应链攻击的风险;不安全的云服务提供商会成为威胁攻击者的跳板。网络攻击损害了可用性,而可用性是这些基础设施的重中之重,而采用工业物联网(IIoT)的公司加强网络安全的压力只会增加。
过去几年来,不同的威胁行为体在侦察活动中将全球的多个能源设施作为攻击目标。这些针对性勒索软件攻击的活动着重于获取对工业控制系统(ICS)和监视控制与数据采集(SCADA)系统的凭据访问权限,并收集有关设施运行方式的信息。这些攻击的影响不仅会在受影响的CI系统内传播,还会在其相互依存关系之间传播,并带来严重的后果(例如,破坏当地发电厂并影响能源供应)。
这并不是说由于攻击而导致的系统故障只会影响公用事业行业。随着食品生产、运输和制造设施越来越多地使用物联网应用程序和人机界面(HMI)作为管理诊断和控制器模块的主要枢纽,它们也将面临风险。
公用事业和其他关键基础设施及政府IT基础设施比公共工业环境更容易遭受攻击,因为公共部门的这些领域往往资金不足。在侦察活动中收集的信息将为威胁行为体提供机会,使他们可以采取更有协同性的攻击尝试,不仅破坏基础设施,而且破坏公共服务和政治进程。
近年来,天地和兴已经看到了对关键基础设施的一系列攻击,这些攻击通常与更广泛的地缘政治目标保持一致。尽管工业设施中的大多数感染仍然来自“主流”恶意软件,但这一事实本身就凸显了这些设施的脆弱性。虽然对关键基础设施的针对性攻击不太可能成为主流犯罪活动,但天地和兴确实看到这种攻击在未来会增加。现在,在一个虚拟和现实日益融合的世界中,地缘政治冲突得以解决。而且,正如天地和兴之前所观察到的那样,此类攻击为政府提供了一种在外交与战争之间进行报复的形式。
美国知名咨询机构博兹·艾伦(Booz Allen)则从网络战的视角,认为在2020年及以后,随着参与区域冲突的非国家行为体越来越多地将网络运营作为不对称战争的手段,其运营商和基础设施可能会优先成为常规军事打击的目标。外国可能会在冲突时期越来越多地以军事力量瞄准其对手的网络运营商和基础设施。尽管各国可能直接将对方的基础设施作为目标,但在存在持续冲突的情况下,各国更有可能避免直接和升级的对抗。面对网络攻击,非国家组织和政府承包商是成为军事目标的最大风险来源。
关键预测二:针对非PC目标的攻击持续增加
卡巴斯基指出,长期以来,坚定的威胁行为体一直在将其工具集扩展到Windows甚至PC系统之外,例如攻击网络硬件的VPNFilter和Slingshot。当然,对于攻击者来说,一旦攻陷了此类设备,他们将获得更大的灵活性。他们可以选择大规模的僵尸网络式攻击,将该网络用于其它的攻击目标,或者他们可以接近选定的目标进行更多的秘密攻击。在2019年的威胁预测中,卡巴斯基考虑了“无恶意软件”攻击的可能性,其中打开VPN隧道以镜像或重定向流量可能会向攻击者提供所有必要的信息。2019年6月,据透露,黑客已经渗透到全世界至少10家移动电信公司的网络中,并且隐藏了多年。在某些情况下,他们似乎已经能够在电信基础设施上部署自己的VPN服务。大量物联网设备带来的现实世界和网络世界的融合为攻击者提供了越来越多的机会。很明显,威胁行为体已经意识到了这类攻击的潜力。据报道,2019年未知的攻击者使用Raspberry Pi从NASA喷气推进实验室偷走了500MB数据。2018年12月,英国的盖特威克机场(Gatwick airport)陷入停顿,原因是担心在一条跑道上看到至少一架无人驾驶飞机后可能会发生碰撞。虽然尚不清楚这是由业余无人机所有者还是坚定的DDoS攻击者造成的,但事实仍然是,由于使用无人机,该国部分关键基础设施已陷入停顿。无疑,此类攻击的数量将会增加。
博思艾伦指出,2019年8月,研究人员报告称,俄罗斯威胁小组APT28已将被攻陷的设备(包括互联网协议语音电话,打印机和视频解码器)转变为在企业网络上的支点/跳板。
关键预测三:网络犯罪分子将潜入物联网设备中进行间谍和勒索
趋势科技指出,天地和兴预测网络犯罪分子和威胁行为体将使用机器学习和AI来侦听企业环境中连接的设备,例如智能电视和扬声器。威胁者使用语言识别和对象识别来监听个人和企业对话,并从中确定一系列勒索目标或企业间谍活动的立足点。
至于针对物联网(IoT)攻击的其他形式的货币化,网络犯罪分子尚未找到一种可扩展的商业模型,该模型利用了IoT提供的广泛的攻击面,更不用说5G网络之类的格局变化了。物联网攻击货币化虽然仍处于起步阶段,但将由网络犯罪分子以不同的方式进行测试。数字勒索法是这些方法中最可能的方法。
在地下社区,网络犯罪分子一直在讨论如何通过各种类型的联网设备来赚钱。首先,将在消费类设备上尝试这些方案,并将连接的工业机械作为下一个逻辑目标。天地和兴已经看到了有关用于控制大型制造设备的重要可编程逻辑控制器(PLC)的相关讨论。
路由器等物联网设备将通过僵尸网络货币化,僵尸网络随后可以用作为网络罪犯提供服务的分布式网络。可以推测,路由器黑客攻击也将以用于域名服务器(DNS)劫持的僵尸网络的形式出现,这是犯罪软件或服务,主要用于网络钓鱼。地下的其他服务包括访问网络摄像头的视频流和带有修改后固件的智能仪表。这种暴露的设备进一步将IoT安全问题推至话题前沿,特别是并非所有IoT设备都具有内置安全性并配备适当的保护以免受各种攻击。
博思艾伦预测,犯罪分子还扩大了对物联网的滥用。威胁行为体将依靠IoT代理僵尸网络来隐藏其恶意活动,并且在2019年第一季度至2019年第二季度之间,美国住宅IP地址(包括IoT设备)路由受到的攻击流量几乎是零售和金融服务部门的四倍。此外,在2019年6月,美国联邦调查局重申了保护IoT设备的重要性,以应对使用这些系统代理恶意流量的活动激增。
值得注意的一点,预计最先进的威胁行为体将寻求利用遍布目标环境的不断扩展的物联网(IoT)设备生态系统。分析师预计,政府资助的对手将把他们的目光关注于IoT,并将其运用于网络间谍活动中。
CyberScoop预计,国家支持的僵尸网络将增加。到2020年,天地和兴将看到针对加密技术的国家军事网络作战,这将成为IoT网络中恶意活动各个方面的必要条件。各国政府和民族团体可能会寻求机会让受害设备(如智能电视和扬声器)远程监听数据访问请求(DAR)。天地和兴将看到国家行为者希望平均每39秒在这些设备上传输大量信息以流式传输视频或在计算机上托管恶意软件。
关键预测四:车联网安全引人注目
汽车公司、监管机构、安全研究人员以及其他担心系统受到网络攻击的迫在眉睫的安全威胁的人,首先要考虑的是关键传感器的干扰或未经授权的车辆控制操纵。但是,对消费者和供应商的威胁并不仅仅限于数字车辆劫持,而是扩展到车载系统产生的海量数据。车辆生成的数据可能会提供一个更容易实现货币化的目标,进而可能会成为网络犯罪活动的主要重点。在短期内,从支付应用程序到车载娱乐系统的一系列面向消费者的车载软件可能会成为威胁行为体寻求窃取客户个人身份数据(PII)进行转售、鉴别欺诈、及其他传统犯罪活动的最大目标。至少从更长远来看,随着无人驾驶汽车(AV)进入市场,运行这些AV所需的传感器数据流--每运行90分钟就高达4 TB。可能为网络犯罪(包括盗窃或走私行动)提供机会之窗。
研究人员已经证明了几种暴露车辆产生数据的方法。他们的发现表明,此类数据可能会因恶意目标或供应商的过失而受到破坏,并且可以从车辆本地或从管理数据的基础架构远程收集。研究人员展示了一种通过监视车辆的“公共意识”消息和“基本安全消息”无线消息来现场跟踪道路网络中车辆位置的设备的功能,另有一名研究人员发现了车辆跟踪服务提供商暴露的超过540,000条客户记录错误配置的云存储服务器,包括客户账户凭据、车辆信息以及由客户车辆上的全球定位系统(GPS)设备生成的跟踪数据。
随着研究人员证明了车辆数据的可用性,驱使网络犯罪分子专注于车辆系统的剩余要素已成为行之有效的方法,可将被盗数据和相关市场货币化以进行转售。截至2019年,这些货币化方法的开始已经开始出现。2019年7月,研究人员在一个网络犯罪论坛上报告了梅赛德斯·奔驰凭证的出售情况,其中包括用于远程监控和访问梅赛德斯车辆,提供远程定位、解锁和启动车辆功能的智能手机应用程序的凭证,以及其他功能。此外,滥用基于应用程序的远程车辆访问的努力已经用于实现针对联网汽车的现实世界犯罪。在2019年初,努力在芝加哥推出豪华汽车共享服务的结果是,犯罪分子利用伪造或被盗的信用卡信息提供了虚假账户,从而广泛盗窃了汽车(其中许多已被部分拆除)。
在短期内,针对联网车辆的网络犯罪可能看起来与迄今为止观察到的其他网络犯罪大致相同。可以从机载软件中恢复的账户凭据,PII和付款数据可能是第一个目标。例如,随着制造商开始将无现金支付应用程序直接集成到基于车辆的系统中,这样的应用程序可能是网络犯罪分子的主要兴趣所在-被盗的支付数据将很容易在现有的网络犯罪市场上转售。尽管在网络发现了影响车辆系统的恶意软件(包括“ Mirai Okiru”),一种旨在感染Argonaut RISC Core(ARC)CPU的恶意软件,但该恶意软件已嵌入包括汽车系统在内的数十亿片上系统设备中。要开发专门针对信息娱乐系统和面向消费者的软件的恶意软件。类似于在犯罪社区中蓬勃发展的移动市场,旨在窃取车载应用程序中的客户数据的专门恶意软件可能会出现。
在中期,随着自动驾驶汽车在高速公路上变得司空见惯,网络犯罪分子也可能会瞄准这些系统。早在2015年就开始进行自动货运卡车的测试试验,货运卡车的广泛自动化驾驶使其成为攻击目标。偏远地区的商用自动驾驶可能是罪犯进行监视、拦截、并最终犯罪的理想目标偷货物或添加违禁品。商业航运部门的事件突显出,对导航和安全广播的监视是犯罪分子的普遍做法,以至国际海事组织更新了其系统使用指南,建议操作人员禁用高风险区域中的某些系统。随着自动卡车的普及,网络犯罪分子对利用相应技术(包括无线车辆通信或详细说明车辆操作的后端基础设施)的兴趣可能会增加。
随着关键基础设施的威胁为以利基运营技术(OT)为重点的网络安全产品铺平了道路,自动驾驶的广泛应用可能会促使该领域专家的出现,这些专家试图挑战并解决保护和管理网络资产,这些资产是物理分散的、移动的、并且不断生成大量的敏感数据。
关键预测五:针对无人机的攻击持续演化
配备有专门安装的硬件和软件的无人机可以用于系统上安装恶意恶意软件或破坏系统的运行,特别是容易受到蓝牙和ZigBee等无线协议利用的设备。以色列安全研究人员证明,可以利用无人机利用ZigBee协议中以前未公开的漏洞,并结合对灯泡进行独特开发加密,来操纵ZigBee控制的灯泡(使它们在摩尔斯电码下闪烁SOS)。IoT设备经常使用ZigBee,该攻击表明基于无人机的网络攻击可能对所有类型的IoT设备(包括那些对制造、卫生和能源行业至关重要的设备)产生潜在影响。
CyberScoop预测,基于无人机的网络攻击将在2020年继续。配备有特殊装配的硬件和软件以及硬件和软件平台或系统的无人机可能停放在建筑物的OT系统的屋顶上。可以将配备有WiFi菠萝之类设备的无人机放置在目标公司附近,以利用以前未公开的容器漏洞。未来拥有如此之多的可能性。
关键预测六:卫星基础设施面临攻击风险
在未来十年中,全球对卫星通信(SATCOM)的依赖可能会大大增加。除了欧洲联盟目前完成其伽利略星座的项目外,多家航天机构正在计划进行雄心勃勃的新任务,私人航天公司正在扩大其业务,并有望在未来十年内实现基于卫星的消费者互联网接入。所有这些变化将为针对太空基础设施的威胁参与者增加攻击面。如果卫星宽带越来越流行,如果在太空计划中发展出新的“太空竞赛”,或者这些威胁行为体认为商业太空飞行是值得的目标,那么对国家资助的威胁行为体团体的利益和激励将尤其增加。
威胁参与者无法攻击卫星,因为设备过于专业化或受限,并且通信协议过于复杂,以至于外部人员无法使用。对这些专用系统的正面攻击可能很困难,但是涉及电子邮件,暴露的服务器和社会工程学的经过实践检验的真实方法可以绕过这些保护措施,就像对典型的商业受害者一样。
为了更好地保护卫星基础设施,因为它变得越来越多产并被集成到现代技术中,参与控制这些卫星的组织将需要采用许多为工厂、电力公司和其他具有ICS的组织设计的安全措施。
关键预测七:克隆及假冒产品市场巨大
克隆或假冒产品不一定是国家主导的活动,因为市场需求可能会提供牟利动机。对消费电子产品,尤其是物联网设备的需求的快速增长,将大大增加对电子元件的需求。同时,这种需求可能会推动假冒或克隆的组件和设备的生产,因为消费者正在寻找价格低廉的价格昂贵的产品。多年来,由于对物联网设备的需求增加,北美一直是最大的零部件需求,这一趋势预计将持续数年,尽管在中国等国家,工资和支出的增长也有望扩大消费市场,到2020年,这种需求几乎肯定会推动假冒元件生产商加倍努力,向制造商提供假冒库存,并改善开发更具说服力的假冒产品的流程。克隆产品也很容易获得,可以绕开官方供应商和零售商,通过在线市场分发产品。
CyberScoop预测,因为所有威胁的存在,假冒组件和克隆产品的市场巨大,从而增加了使用“纵深防御”的威胁,多层控制使员工无法进入计算机。随着越来越多的廉价芯片和组件推动业务蓬勃发展,预计对新型信息安全的需求的将会疲软。虽然天地和兴可以期待从传统CPU架构的转变,但天地和兴预计微处理器(Microprocessors)将遭受网络攻击。
参考文献
1、Kaspersky《Advanced Threat Predictions for 2020》
2、Trend Micro《The New Norm: Trend Micro Security Predictions for 2020》
3、Booz Allen《2020 Cybersecurity Threat Trends Outlook》
4、CyberScoop《The Cyber speaks: What will actually happen in 2020》
5、RSAC 2020关注10大网络安全趋势 https://mp.weixin.qq.com/s/Ez1aIg81t_naMrL1D5m7IQ
知识拓展——博思艾伦咨询公司(Booz Allen Hamilton)
博思艾伦咨询公司是一家美国管理咨询公司,总部位于弗吉尼亚州泰森斯角。它在美国拥有80个办事处。博思艾伦在全球六大洲拥有22,000多名优秀员工,每年营业额达40亿美元。博思艾伦一直被公认为咨询服务业的典范。公司主要业务是为文职政府机构,民间组织和商业实体提供管理,技术和安全服务。公司服务范围包括战略规划,人力资本,改善运营,信息化工作,系统工程,组织变革,计算机建模和模拟,项目管理和经济业务分析。博思艾伦提供咨询服务的行业包括:航空航天及国防、汽车、金融及资本市场、计算机及电子产品、消费品、能源及公用事业、保健业、保险业、媒体、制药业、零售、电信、交通运输业。该公司还是美国情报界最大的承包商之一。2013年爆发的“斯诺登事件”的主角斯诺登,就曾经是该公司的雇员。
天地和兴,ICS,OT,工控安全
上一条:
相关资讯