預(yù)計(jì)2024年工業(yè)網(wǎng)絡(luò)威脅形勢(shì)不會(huì)發(fā)生急劇變化。下面描述的大多數(shù)趨勢(shì)以前就已被觀察到，其中許多趨勢(shì)甚至已經(jīng)存在了很多年。然而，其中一些趨勢(shì)已經(jīng)達(dá)到了緩慢變化的臨界點(diǎn)，這可能導(dǎo)致威脅格局最早在明年發(fā)生質(zhì)的變化。

勒索軟件

2024年，勒索軟件仍將是工業(yè)企業(yè)的頭號(hào)禍患。

2023年，勒索軟件攻擊鞏固了其在工業(yè)企業(yè)信息安全威脅排行榜上的領(lǐng)先地位。從2023年上半年受網(wǎng)絡(luò)事件影響的組織的官方聲明中來(lái)看，至少六分之一的勒索軟件攻擊導(dǎo)致產(chǎn)品生產(chǎn)或交付停止。在某些情況下，攻擊造成的損失估計(jì)高達(dá)數(shù)億美元。目前，似乎沒(méi)有理由相信這種威脅會(huì)在不久的將來(lái)會(huì)減少。

【勒索軟件受災(zāi)行業(yè)分布，圖源：卡巴斯基】

針對(duì)大型組織、獨(dú)特產(chǎn)品(設(shè)備、材料)供應(yīng)商或大型物流和運(yùn)輸公司的勒索軟件攻擊可能會(huì)造成嚴(yán)重的經(jīng)濟(jì)和社會(huì)后果。

如今，根據(jù)目標(biāo)公司的數(shù)據(jù)顯示，不少于18%的針對(duì)工業(yè)企業(yè)的勒索軟件攻擊導(dǎo)致生產(chǎn)和/或產(chǎn)品交付中斷。此外，網(wǎng)絡(luò)犯罪分子在選擇受害者時(shí)明顯瞄準(zhǔn)了“高端市場(chǎng)”，他們更傾向于以能夠支付巨額贖金的大型組織為目標(biāo)。

這就造成了一種局面，即攻擊者可能故意或意外地再次越過(guò)界限，造成基礎(chǔ)設(shè)施級(jí)別的攻擊后果，就像Colonial Pipeline的情況一樣。另一個(gè)例子是，最近對(duì)迪拜國(guó)際集裝箱碼頭和供應(yīng)鏈運(yùn)營(yíng)商 DP World的攻擊活動(dòng)，導(dǎo)致墨爾本、悉尼、布里斯班和弗里曼特爾港口的工作陷入停頓，致使約 3萬(wàn)個(gè)集裝箱無(wú)法交付。

勒索軟件市場(chǎng)正在走向高峰，隨后可能會(huì)出現(xiàn)下滑或停滯。

不過(guò)，潛在受害者不太可能在短期內(nèi)對(duì)攻擊免疫。但他們可以學(xué)習(xí)如何更有效地減輕影響(例如，通過(guò)更好地保護(hù)最機(jī)密的數(shù)據(jù)，并制定適當(dāng)?shù)膫浞莺褪录憫?yīng)計(jì)劃)。

如果這導(dǎo)致受害者支付的金額減少，網(wǎng)絡(luò)犯罪分子將不得不尋找新的目標(biāo)類型和攻擊貨幣化方案。潛在的發(fā)展途徑包括以下幾條：

1. 對(duì)物流和運(yùn)輸公司的攻擊可能不再針對(duì)支持運(yùn)營(yíng)的IT基礎(chǔ)設(shè)施，而是針對(duì)車輛本身(汽車、輪船)。

乍一看，停車場(chǎng)和車隊(duì)中種類繁多的車輛似乎阻礙了此類攻擊的實(shí)施，大大增加了攻擊者的開(kāi)發(fā)成本。然而，攻擊的目標(biāo)不是某個(gè)特定的車主或運(yùn)營(yíng)商，而是具有相同或類似內(nèi)部控制系統(tǒng)的多輛同類型車輛。

另一個(gè)促進(jìn)攻擊的因素是車隊(duì)所有者和運(yùn)營(yíng)商額外為車輛配備了他們自己定制的遙測(cè)收集系統(tǒng)，這些系統(tǒng)通常默認(rèn)具有遠(yuǎn)程控制功能(例如，遠(yuǎn)程重新刷新固件或更改要收集的數(shù)據(jù)集)。汽車制造商和服務(wù)提供商有時(shí)也會(huì)這樣做。因此，這種攻擊向量是可行的。

在這種攻擊情況下，受害者將無(wú)法自行恢復(fù)運(yùn)營(yíng)，否則將產(chǎn)生使企業(yè)無(wú)法繼續(xù)生存的成本?；謴?fù)加密的IT系統(tǒng)的運(yùn)行(例如，從備份中恢復(fù))比解決一個(gè)技術(shù)上簡(jiǎn)單的問(wèn)題要容易得多，即使是影響分散在廣泛區(qū)域的車輛的問(wèn)題(例如，刪除阻止車輛發(fā)動(dòng)機(jī)啟動(dòng)或切斷船舶內(nèi)部電力的惡意軟件)。公司可能會(huì)發(fā)現(xiàn)自己無(wú)法在不造成不可接受的經(jīng)濟(jì)損失的情況下及時(shí)自行恢復(fù)正常運(yùn)營(yíng)。

2. 同樣的攻擊向量也適用于在偏遠(yuǎn)地點(diǎn)(例如礦業(yè)或農(nóng)業(yè)領(lǐng)域)作業(yè)的各種專用設(shè)備的所有者和運(yùn)營(yíng)商。

3. 多個(gè)偏遠(yuǎn)地點(diǎn)的網(wǎng)絡(luò)安全問(wèn)題也與石油和天然氣公司、公用事業(yè)以及任何具有高度分布式OT基礎(chǔ)設(shè)施的組織有關(guān)。對(duì)偏遠(yuǎn)地點(diǎn)的攻擊排除了遠(yuǎn)程恢復(fù)的可能性(例如，由于常規(guī)的遠(yuǎn)程訪問(wèn)通道被惡意軟件阻塞)，從而保證了贖金的支付。

4. 非常規(guī)的貨幣化攻擊方式(例如，通過(guò)股市投機(jī))針對(duì)經(jīng)濟(jì)上重要的企業(yè)，如大型運(yùn)輸和物流組織、大型礦業(yè)公司、材料制造商和供應(yīng)商(如金屬、合金或復(fù)合材料)、農(nóng)業(yè)和食品產(chǎn)品、難以迅速?gòu)浹a(bǔ)短缺的獨(dú)特/緊缺產(chǎn)品(如微型芯片或化肥)的供應(yīng)商。

這些企業(yè)的產(chǎn)品供應(yīng)中斷會(huì)嚴(yán)重影響其市場(chǎng)價(jià)格。除直接后果外，還可能產(chǎn)生連鎖反應(yīng)和間接副作用。例如，Shamoon在攻擊沙特阿美石油公司(Saudi Aramco)后對(duì)全球硬盤價(jià)格產(chǎn)生了爆炸性影響，因?yàn)樵摴境鋈艘饬系貨Q定將所有受攻擊影響的計(jì)算機(jī)硬盤更換為新硬盤。

黑客行為主義者

在地緣政治分歧線上，出于政治動(dòng)機(jī)的黑客行動(dòng)主義將變得更加尖銳，并產(chǎn)生更具破壞性的后果。

我們都記得，親以色列的黑客組織聲稱對(duì)2021年伊朗鐵路和加油站遭受的黑客攻擊負(fù)責(zé)。去年，我們又看到了更多的案例：以色列的灌溉系統(tǒng)遭到襲擊，以色列制造的Unitronics Vision All-in-One(PLC與集成HMI)解決方案在美國(guó)和愛(ài)爾蘭遭到攻擊，2023年伊朗加油站也遭到攻擊。撇開(kāi)公關(guān)效應(yīng)不談，在所有這些案例中，負(fù)面影響的實(shí)際規(guī)模都相當(dāng)有限。

這就是說(shuō)，最近的黑客行為主義攻擊活動(dòng)已經(jīng)證實(shí)了其攻擊OT系統(tǒng)的能力。在卡巴斯基 ICS CERT 今年調(diào)查的一些類似案例中，攻擊者只是稍微欠缺一些準(zhǔn)備工作和毅力，才使受害者免于遭受物理?yè)p害。不斷升級(jí)的緊張局勢(shì)很可能會(huì)將出于政治動(dòng)機(jī)的黑客攻擊提升到一個(gè)全新的威脅水平。

世界政治抗議黑客行為主義(cosmopolitical protest hacktivism)日益增長(zhǎng)。

例如由引入新的社會(huì)文化和宏觀經(jīng)濟(jì)議程所驅(qū)動(dòng)的，或者相反地，旨在反對(duì)引入新的社會(huì)文化和宏觀經(jīng)濟(jì)議程的抗議。一個(gè)與環(huán)境保護(hù)和綠色技術(shù)有關(guān)的例子是所謂的“生態(tài)黑客行為主義”(eco-hacktivism)，如 Guacamaya Roja 黑客行為主義團(tuán)體對(duì)危地馬拉一家礦業(yè)公司的攻擊。

黑客行為主義在全球范圍內(nèi)的全面興起，將激發(fā)更多的個(gè)人和團(tuán)體開(kāi)始為“無(wú)所謂的理由”，甚至“只是為了好玩”而戰(zhàn)。

具體案例可以參見(jiàn)今年黑客組織SiegedSec對(duì)愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室實(shí)施的攻擊活動(dòng)。

【愛(ài)達(dá)荷國(guó)家實(shí)驗(yàn)室鳥(niǎo)瞰圖。圖源：Sam Beebe via Flickr】

從灰色地帶走向陰影

廣泛使用“進(jìn)攻性網(wǎng)絡(luò)安全”來(lái)收集網(wǎng)絡(luò)威脅情報(bào)將產(chǎn)生積極和消極的后果。

一方面，我們將看到企業(yè)安全方面的一些改進(jìn)，因?yàn)檫M(jìn)攻性網(wǎng)絡(luò)威脅情報(bào)將為用戶提供潛在威脅跡象，它并非像傳統(tǒng)的網(wǎng)絡(luò)威脅情報(bào)那樣，通過(guò)安全解決方案的遙測(cè)、事件研究、間接來(lái)源和暗網(wǎng)來(lái)獲取情報(bào)，還可以直接從攻擊者控制的基礎(chǔ)設(shè)施中獲取情報(bào)。這將使受害者能夠更快、更有效地恢復(fù)系統(tǒng)安全。

另一方面，進(jìn)攻性網(wǎng)絡(luò)情報(bào)的發(fā)展在成為新規(guī)范(盡管沒(méi)有正式合法化，但在政府的默許下應(yīng)用)的同時(shí)也將產(chǎn)生負(fù)面影響，因?yàn)榛疑貛c陰影之間的邊界可能過(guò)于模糊，越過(guò)它的誘惑可能難以抗拒。在一些國(guó)家的支持下，一些商業(yè)企業(yè)可能會(huì)嘗試從商業(yè)進(jìn)攻性情報(bào)解決方案和服務(wù)提供商的幫助中受益，甚至可能不僅限于網(wǎng)絡(luò)安全目的。一些工業(yè)企業(yè)也可能參與其中。對(duì)于高度競(jìng)爭(zhēng)的生態(tài)系統(tǒng)(例如建筑、采礦和能源以及許多其他工業(yè)部門)，情況尤為如此。

這些“利益驅(qū)動(dòng)”的網(wǎng)絡(luò)活動(dòng)將比我們?cè)贏PT活動(dòng)中看到的更加精確。這些活動(dòng)將主要使用商業(yè)和開(kāi)源工具，這將使他們能夠在網(wǎng)絡(luò)犯罪攻擊普遍高發(fā)的背景下掩蓋自己的活動(dòng)。因此，這些操作被發(fā)現(xiàn)和調(diào)查的幾率甚至?xí)陀贏PT活動(dòng)。

與物流和運(yùn)輸相關(guān)的威脅

物流和運(yùn)輸行業(yè)的快速自動(dòng)化和數(shù)字化將導(dǎo)致：

1. 網(wǎng)絡(luò)犯罪和傳統(tǒng)犯罪更加緊密地交織在一起，特別是在由來(lái)已久的犯罪領(lǐng)域。

具體表現(xiàn)在以下方面：

● 汽車盜竊，適用于所有現(xiàn)代汽車，但尤其適用于亞洲品牌，預(yù)計(jì)也同樣適用于新汽車品牌，因?yàn)橐峡焖龠M(jìn)入市場(chǎng)的激進(jìn)戰(zhàn)略，新汽車品牌通常會(huì)將網(wǎng)絡(luò)安全成熟度作為首要犧牲的事項(xiàng)之一。

● 由網(wǎng)絡(luò)手段驅(qū)動(dòng)的海盜和物流中斷——作為已知攻擊戰(zhàn)術(shù)和技術(shù)的合理延續(xù)，如最近在紅海和印度洋對(duì)自動(dòng)跟蹤系統(tǒng)(AIS)的攻擊，或者在2020年對(duì)伊朗Shahid Rajaee港口碼頭的攻擊。

● 利用網(wǎng)絡(luò)手段盜竊物品。

● 通過(guò)網(wǎng)絡(luò)手段進(jìn)行走私——就像在Antwerp港臭名昭著的“十三羅漢”(Ocean’s Thirteen)案件中使用的戰(zhàn)術(shù)一樣。

● 其他物流和運(yùn)輸欺詐，例如與保險(xiǎn)索賠/取消罰款相關(guān)的款項(xiàng)，以及許多其他欺詐手段，有些難以預(yù)料，例如最近在波蘭一起案例中觀察到的利用DRM作為不公平競(jìng)爭(zhēng)的手段。

2. 非針對(duì)性攻擊造成物理后果的可能性增加。

目前已經(jīng)有各類車輛感染惡意軟件的已知案例。如果我們展望不久的將來(lái)，由于“傳統(tǒng)”操作系統(tǒng)(如Android和Linux)在交通領(lǐng)域的采用，標(biāo)準(zhǔn)IT組件和通信協(xié)議的廣泛集成，以及涉及云服務(wù)連接的用例數(shù)量的增加，這種感染預(yù)計(jì)會(huì)成倍增加。其中一些可能會(huì)導(dǎo)致關(guān)鍵監(jiān)測(cè)和控制系統(tǒng)的故障，從而造成難以預(yù)測(cè)的后果。最重要的是，這種風(fēng)險(xiǎn)涉及河運(yùn)、海運(yùn)、卡車運(yùn)輸和緊急運(yùn)輸——這些車輛的信息安全情況通常不如客車。

參考資料：https://securelist.com/ksb-ics-predictions-2024/111835/

來(lái)源：FreeBuf