近日,卡巴斯基发布《2022年上半年工业自动化系统威胁格局》报告,本报告基于对通过分布式防病毒卡巴斯基安全网络(KSN) 收集统计数据的分析。由于可以访问存储恶意对象数据的云基础设施,它还提高了解决方案的检测质量。由于数据库的大小和在本地存储所需的资源,这些数据只能通过云访问。用户传输的信息仅包括相关KSN协议中描述的数据类型和类别,这些信息有助于威胁形势的分析和解读。

全球统计数据

阻止恶意对象的 ICS计算机百分比

在2022 年上半年,31.8%的 ICS计算机阻止了恶意对象。

2022年上半年阻止恶意对象的ICS 计算机百分比

在2022 年上半年,6 月份阻止恶意对象的ICS 计算机百分比最高,而3 月份百分比最低。

2022年上半年阻止恶意对象的ICS 计算机百分比

值得注意的是,在2022 年上半年,3月份出现了5年来的最低百分比。月度统计数据的低点通常与假期有关可能是由于用户活动较少,因此阻止恶意软件的计算机比例较低。

2022 年3 月观察到的异常低百分比也与用户活动减少有关,这一次可能是由于供应链中断和2022 年 1月和 3月新冠感染激增。

2020、2021、2022年上半年阻止恶意对象的ICS 计算机百分比

检测到多种恶意软件

2022年上半年,卡巴斯基安全解决方案阻止了工业自动化系统中7219 个系列的102000 个恶意软件变种。

恶意软件类别

ICS计算机上被卡巴斯基产品阻止的恶意对象有许多种类。

阻止来自不同类别的恶意对象活动的ICS 计算机的百分比

在2022 年上半年,ICS计算机阻止以下恶意软件的百分比增幅最大:

  • 恶意脚本和网络钓鱼页面(JS和 HTML),增加了3.5个百分点;

  • 恶意文件:增加3个百分点;

  • 间谍软件:木马间谍、后门程序和键盘记录程序,增加0.5 个百分点。

恶意脚本和网络钓鱼页面通过Internet 和电子邮件消息传播。攻击者经常在网络钓鱼电子邮件中发送恶意文档。所有这些方法都积极用于初始感染。

在大多数情况下,下一个阶段需要攻击者下载间谍软件,这些间谍软件用于窃取机密信息、远程访问受感染的机器以及下载目标恶意软件,包括勒索软件。自2020 年以来,已阻止间谍软件的ICS 计算机的百分比稳步增长。

阻止间谍软件的ICS 计算机百分比

2022年上半年的统计数据显示,用于隐蔽加密货币挖掘的恶意软件被阻止的ICS 计算机的百分比缓慢而稳定地增长:

  • 在浏览器中执行的网络矿工:增长0.4 个百分点;

  • 矿工实现为 Windows可执行文件增加0.2个百分点。

用于隐蔽加密货币挖掘的恶意软件被阻止的ICS 计算机百分比

矿工通常通过用户被恶意脚本重定向到的网站分发。这些被攻击者放置在提供盗版内容的媒体资源和网站上。

与此同时,ICS计算机上的病毒和蠕虫被阻止的百分比稳步下降。可能是在OT 环境中增加安全部署的副作用,它消除了感染热点并有助于预防自我传播的恶意软件传播。

阻止病毒和蠕虫的ICS 计算机的百分比

病毒和蠕虫通过可移动媒体、网络文件夹、受感染文件(包括备份)和对Radmin2 等过时软件的网络攻击在ICS 网络中传播。

有许多相对较旧的病毒和蠕虫仍在传播,例如Kido/Conficker。尽管命令和控制服务器已关闭,但这些较旧的蠕虫和病毒构成了两个威胁:第一,破坏了受感染系统的安全性,例如它们打开网络端口并更改设置,第二,可能导致软件崩溃或拒绝服务情况。

然而,在ICS网络中也可以看到新版本的蠕虫,攻击者用来在受感染的网络中传播间谍软件、勒索软件和矿工。通常,这些蠕虫通过利用网络服务中的漏洞进行传播,例如SMB 或RDP,这些漏洞已被供应商修复但仍存在于OT 环境中,或者通过使用早期窃取的身份验证数据,甚至通过暴力破解密码进行传播。

阻止此类恶意软件的ICS 计算机百分比的下降,主要是由于对可移动媒体的扫描更加仔细。事实上,在连接可移动媒体时阻止恶意软件的 ICS计算机的百分比在连续六个月的报告期内一直在下降。

勒索软件

在2022 年上半年,勒索软件在0.65% 的 ICS计算机上被阻止。这是自2020 年上半年以来的最高的百分比。

阻止勒索软件的ICS 计算机百分比

2022年 1 月至6月,组织勒索软件的ICS 计算机百分比

值得注意的是,2月份的数据打破了两年半的所有记录。

2020年上半年,阻止勒索软件 ICS计算机百分比

在2022 年上半年,全球9个地区受到勒索软件攻击的ICS 计算机的百分比有所增加。

按2022 年上半年阻止勒索软件的ICS 计算机百分比排名的地区

尤其值得注意的是中东和拉丁美洲的增长。

全球各地区阻止勒索软件的ICS 计算机百分比的变化

自2020 年以来,中东地区阻止勒索软件的ICS 计算机的百分比缓慢增加了2.5 倍。

在拉丁美洲,这一数字到2021 年底一直在下降,但在2022 年上半年,这一数字与2021 年下半年相比翻了一番。

中东与拉丁美洲阻止勒索软件的ICS 计算机百分比

目前,巴勒斯坦在阻止勒索软件的ICS 计算机百分比最高的国家和地区排名中领先。

2022年上半年阻止勒索软件的ICS 计算机百分比最高的15 个国家和地区

威胁源

企业运营技术基础设施中计算机的主要威胁源仍然是互联网、可移动媒体和电子邮件。

已阻止来自各种来源的威胁的ICS 计算机的百分比

在2022 年上半年,可以看到在附加可移动媒体时阻止恶意软件的ICS 计算机的百分比持续下降。

附加可移动媒体时阻止恶意软件的ICS 计算机与恶意电子邮件附件和网络钓鱼链接的百分比

同时,阻止恶意电子邮件附件和网络钓鱼链接的ICS 计算机的百分比稳定增长。2021下半年和2022上半年间的显著差异部分是由于大量ICS 机器提供匿名统计数据。很大一部分“新”机器是ICS 工程师和楼宇自动化系统的计算机,电子邮件客户端被广泛使用。此类机器对阻止恶意电子邮件附件和/或网络钓鱼链接的ICS 计算机的总体百分比的贡献为2 – 2.5 个百分点,而其余ICS 计算机的增长率约为1% 。

选定行业

在选择的所有行业中,阻止恶意对象的ICS 计算机的百分比高于全球平均水平。

2022年上半年选定行业中阻止恶意对象的ICS 计算机百分比

楼宇自动化和石油和天然气这两个行业以8.6 个百分点和6个百分点领先其余行业。工程和ICS 集成商、能源和制造行业的涨幅在0.1 个百分点以内。

2021年,在调查的所有部门中,阻止恶意对象的ICS 计算机的百分比均有所下降。唯一的例外是石油和天然气,其百分比在2021 年下半年有所增长。但是,石油和天然气是2022 年上半年唯一下降的行业,所有其他行业的百分比均略有上升。

在选定区域中阻止恶意对象的ICS 计算机百分比

尽管2022年上半年受到攻击的ICS 计算机的百分比有所增加,但所有百分比都低于2020 年下半年。所有部门的主要威胁来源是互联网、电子邮件和可移动媒体。

2022年上半年选定行业中阻止来自各种来源的恶意软件的ICS 计算机的百分比

楼宇自动化

楼宇自动化在选定行业的评级中排名第一,按ICS 计算机阻止恶意对象的百分比排名,为42.2%。

这是最“不安分”的行业,它在不同类型的恶意软件和一些威胁来源的大多数行业评级中处于领先地位。

从下图中可以看出,楼宇自动化行业的专业人员比其他行业的专业人员更积极地使用互联网资源和电子邮件。因此,它们可以证明攻击者更容易进入目标组织的基础设施的“入口点”。鉴于楼宇自动化系统监控功能通常从企业的组织结构中取出并作为第三方服务提供,楼宇自动化系统工程师或操作员的受感染工作站很容易为攻击者提供访问权限,同时发送给许多组织。

根据已阻止以下类型威胁的ICS 计算机的百分比,楼宇自动化在评级中领先:

  • 来自互联网的恶意对象

  • 通过互联网传播的威胁:

o列入黑名单的互联网资源:11.5%,

o恶意脚本和网络钓鱼页面:17.7%。

  • 恶意电子邮件附件和网络钓鱼链接。正如下图中看到的,楼宇自动化以显著的优势领先,此外,该行业的百分比是全球平均水平的两倍。

  • 恶意办公文档,通常通过网络钓鱼电子邮件分发。在这一类别中,楼宇自动化百分比几乎是全球平均水平的两倍。

  • 间谍软件是最常见的网络钓鱼电子邮件有效负载,在计算机上的发现比例也高于其他行业。

  • 勒索软件

  • 用于隐蔽加密货币挖掘的恶意软件

石油和天然气行业

石油和天然气在选定行业中排名第二,基于ICS 计算机阻止以下恶意对象的百分比:

  • 所有恶意对象 (39.6%);

  • 勒索软件 (0.8%);

  • 加密货币矿工:Windows可执行文件(2.9%)(见上图)。

反过来,石油和天然气行业在以下排名中领先行业,按阻止恶意软件的ICS 计算机的百分比计算:

  • 附加可移动媒体时:

在连接可移动媒体时阻止恶意软件的计算机比例如此之高可能主要是由于该行业的运作方式。大量地理位置分散的企业,通常在连接远程系统和站点的通信渠道较差,这意味着与其他行业相比,在执行维护任务时必须更广泛地使用可移动媒体。

  • 网络文件夹中

  • 病毒和蠕虫

毫不奇怪,由于石油和天然气在可移动媒体和网络文件夹类别中处于领先地位,因此它在此处领先,因为病毒和蠕虫主要通过可移动媒体和网络文件夹通过网络传播。

制造业

制造业在选定行业的排名中排名第三,按阻止以下威胁的ICS 计算机的百分比计算。

  • 互联网威胁 (20.6%),

  • 加密货币矿工:Windows可执行文件 (2.8%)。

在浏览器中执行的网络矿工排名中,该行业也排名第二(2.4%,见上图)。

地区和国家

下图显示了每个国家/地区阻止恶意对象的ICS 计算机的百分比,相对于每个国家/地区的ICS 计算机总数。

每个国家或地区阻止恶意对象的ICS 计算机的百分比

区域

根据阻止恶意活动的ICS 计算机的百分比,非洲、东南亚、东亚和中亚地区在全球地区排名中领先

阻止恶意对象的ICS 计算机百分比(按地区)

2022年上半年全球各地区阻止恶意对象的ICS 计算机百分比的变化

如图所示,在2022 年上半年,全球14 个地区中有7 个地区的恶意对象被阻止的ICS 计算机的百分比有所增加。除中东外,所有这些国家都在评级的较低部分,即在这一类别中更安全的国家之一。百分比下降的唯一安全地区是西欧。

与此同时,在2022 年上半年,区域评级中ICS 百分比排名前7 位的百分比有所下降阻止恶意对象的计算机。如上所述,唯一的例外是中东。

在美国和加拿大以及北欧,两年半来阻止恶意对象的ICS 计算机百分比最高。

北欧阻止恶意对象的ICS 计算机百分比

美国和加拿大阻止恶意对象的ICS 计算机百分比

国家

阻止恶意对象的ICS 计算机百分比最高的15 个国家和地区

其中三个国家和地区,南非(+11.5 百分点)、丹麦(+9.4 百分点) 和台湾(+8.0 百分点) 的ICS 计算机被阻止恶意对象的百分比增幅最大。在这三者中,可以看出从 2020 年上半年到2022 年上半年期间,2022年上半年的百分比最大。

与2021 年下半年类似,在2022 年上半年阻止恶意对象的ICS 计算机百分比最小的是卢森堡。

阻止恶意对象的ICS 计算机百分比最低的10 个国家和地区

在越南、伊拉克和突尼斯观察到ICS 计算机被阻止恶意对象的百分比下降最显著。

主要威胁来源

2022年上半年全球地区 ICS计算机上阻止的主要威胁来源

值得注意的是,在计算阻止来自各种来源的恶意对象的ICS 计算机的百分比时,并不总是可以确定确切的来源。

互联网

2022年上半年,阻止来自互联网的威胁的ICS 计算机百分比中东(+1.1个百分点)、俄罗斯(+0.5个百分点)、北美(+1.3个百分点)和北欧(+0.9个百分点)。

全球地区阻止来自互联网的威胁的ICS 计算机的百分比

东南亚的百分比显着下降6.4百分点。台湾在所有国家和地区中领先。我们在上面已经注意到,2022 年上半年台湾出人意料地经历了8 个百分点的增长。阻止恶意对象的 ICS 计算机的百分比。很明显,来自互联网的威胁是这种增长的主要贡献者。

2022年上半年 ICS计算机阻止互联网威胁的比例最高的15 个国家和地区

可移动媒体

除中亚、澳大利亚和新西兰外,所有地区在附加可移动媒体时阻止恶意软件的ICS 计算机的百分比均有所下降。

2022上半年,根据连接可移动媒体时阻止恶意软件的ICS 计算机的百分比对区域进行排名。

根据附加可移动媒体时阻止恶意软件的ICS 计算机的百分比,中亚和东南亚国家在国家和地区排名中领先。

在安装可移动媒体时,阻止恶意软件的ICS 计算机的前15 名(国家和地区)

电子邮件客户端

在2022 年上半年,所有地区阻止恶意电子邮件附件和网络钓鱼链接的ICS 计算机的百分比都有所增加。增幅最大的是南欧(+6.0百分比),这也是基于该参数的排名。

阻止恶意电子邮件附件和网络钓鱼链接的ICS 计算机排名(地区)

根据阻止恶意电子邮件附件和网络钓鱼链接的ICS 计算机的百分比,来自不同地区的国家和地区最终进入前15 名。

阻止恶意电子邮件附件和网络钓鱼链接的ICS 计算机的前15名(国家和地区)

声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。