近日,卡巴斯基发布《2023年ICS网络威胁趋势展望》,对2023年的网络威胁趋势进行的预测。2022年,网络安全事件层出不穷,给工业基础设施所有者和运营商都带来了不同程度的困扰。然而,整个威胁格局并未出现任何突发或灾难性的改变。
根据预测,未来的一年的形势会更加复杂。下面概述了一些对2023年潜在发展趋势走向的进行了预测。在对2022年的各种网络威胁事件进行分析评断时,各种事件表明,当前已经迈入了一个新时代:由地缘政治趋势和相关的宏观经济因素会影响工业企业和运营技术(OT)基础设施的威胁格局中,是格局变化的主要影响因素。
网络犯罪分子的地域归属是全球性的;但是,在其追求攫取高利润和确保个人安全的同时,也在密切关注着全球的政治和经济趋势。传统上归咎于各国政府情报机构的APT活动,总是随着外交政策的发展以及国家和政府间集团内部目标的变化而发生。
APT世界的发展
内部和外部的政治变化将为APT活动提供新的方向。
1 攻击地域的变化
随着现有的战术和战略联盟的转变和新的战术和战略联盟的出现,攻击地理将不可避免地发生变化。随着联盟的转变,看到国家间出现了网络安全的紧张关系,而这种紧张关系从未存在过。昨天的盟友成为今天的目标。
2 行业焦点的变化
未来APT活动很快就会改变对特定行业的关注,因为不断变化的地缘政治现实与经济变化紧密相联。因此,应该很快看到针对代表实体经济的以下行业的攻击:
农业、化肥、农业机械和食品的制造,都是由于即将到来的粮食危机和粮食市场的转变;
物流和运输(包括能源资源的运输),由于全球物流链的不断变化;
能源部门、矿产资源的开采和加工、有色金属和黑色金属冶金、化学工业、造船、仪器和机床制造,因为这些公司的产品和技术的可用性是单个国家和政治联盟的经济安全基础的一部分;
替代能源部门,特别是在地缘政治议程上的地方;
高科技、制药和医疗设备生产商,因为这些是确保技术独立的组成部分。
3 对传统目标的持续攻击
未来仍将看到针对传统目标的APT攻击,主要的APT攻击重点包括:
军工企业,地缘政治紧张,对抗升级到红色警戒状态,加上军事对抗的可能性上升,是攻击者的主要动力;
政府部门:预计攻击的重点是收集与经济中的工业部门增长有关的政府举措和项目的信息;
关键基础设施:攻击的目的是为未来的使用获得一个立足点,有时,例如当特定国家之间的冲突处于 "热 "的阶段时,目标甚至可能是造成直接的损害。
威胁形势的其他变化
为内部和外部政治议程 "工作 "的黑客数量不断增加。这些攻击将获得更多结果,数量将开始转变为质量;
在企业和技术开发商及供应商中,有意识形态和政治动机的内部人员以及与犯罪(主要是勒索软件)和APT集团合作的内部人员的风险越来越大;
对关键基础设施的勒索软件攻击将变得更有可能,在敌对国家的主持下,或在无法通过攻击对手的基础设施和进行全面调查以导致法庭案件的国家,对攻击作出有效回应;
由于不同国家的执法机构之间的沟通退化,以及网络安全方面的国际合作停滞不前,网络犯罪分子的手将被松开,使威胁者能够自由攻击 "敌对 "国家的目标。这适用于所有类型的网络威胁,对所有行业的企业和所有类型的OT基础设施都是一种危险;
由于对企业系统初始访问的需求不断增加,犯罪的凭证收集活动将增加。
地缘政治起伏带来的风险因素
目前的形势迫使工业组织做出极其复杂的选择产品和供应商。一方面,产品和服务(包括OEM)的供应链中的信任关系正在失效,这反过来又增加了使用许多公司习惯的产品的风险。
当供应商结束对产品的支持或离开市场时,进行安全部署更新变得更加困难;
这也同样适用于由于安全供应商离开市场而停止定期更新时,安全解决方案的质量下降;
不能完全排除政治压力被用来将一些小市场参与者的产品、技术和服务武器化的可能性。
另一方面,寻找替代解决方案可能是非常复杂的。本地供应商的产品,其安全开发文化通常大大低于全球领先者,很可能存在简单的安全错误和0-day漏洞,使其极易成为网络犯罪分子和黑客攻击者的猎物。
在政治局势不需要解决上述问题的国家的组织,仍应考虑影响个人风险因素。威胁检测的质量下降,因为IS开发商失去了一些市场,导致流失部分合格的IS专家。这对所有遭遇政治压力的安全厂商来说是一个真正的风险因素;
位于新的 "铁幕 "两边,甚至同一边的IS开发商和研究人员之间的沟通中断(由于当地市场的竞争加剧),无疑会降低目前正在开发的安全解决方案的检测效率;
CTI质量下降:毫无根据的出于政治动机的网络威胁归因,由于政治压力和试图利用政府的政治叙事来赚取额外的利润而降低陈述的有效性标准;
政府试图整合有关事件、威胁和漏洞的信息,并限制对这些信息的获取,这削弱了整体意识,因为信息有时可能在没有充分理由的情况下被掩盖;同时,这也导致了机密数据泄露的风险增加(例如。在国家漏洞数据库中错误发布的RCE的PoC)。这个问题可以通过在公共部门建立广泛的网络安全能力来解决,以确保敏感的网络安全信息的负责任的处理和高效协调的漏洞披露可以始终得到保证;
由于政府在工业企业运营中的作用越来越大,包括与政府云和服务的连接,有时相较于最好的私人云和服务的保护程度更低,因此存在额外的IS风险;
额外的技术和工艺风险因素
争夺更高效率的数字化。工业物联网(IIoT)和SmartXXX(包括预测性维护系统和数字双胞胎技术)导致攻击面大大增加。这一点在CMMS(计算机化维护管理系统)的攻击统计中得到了证实。
2022年上半年,按CMMS被攻击的百分比排名的前10个国家
值得注意的是,在2022年上半年按受攻击的CMMS百分比进行的前10名排名中,我们看到了传统的"安全"国家,这些国家在基于该国总体受攻击的OT计算机百分比或基于各部门受攻击的OT计算机百分比的排名中没有看到。
一方面,能源运营商价格的上涨和随之而来的硬件价格的上涨,将迫使许多企业放弃部署本地基础设施的计划,而选择第三方供应商的云服务(这增加了IS风险)。此外,这将对分配给IT/OT安全的预算产生负面影响。
各种无人驾驶车辆和装置(卡车、无人机、农业设备等)的部署,可以被滥用为攻击的目标或工具。
未来攻击中最值得注意的技术和战术
不要沉浸在对最先进的攻击者所使用的战术和技术的任何奇妙推测中,例如与主要国家的情报机构有联系的APTs,因为这样就会被意想不到的曲折所困扰。也不要讨论处于另一端的众多威胁者最不合格的威胁者所使用的战术和技术,因为他们不太可能想出一些有趣的或新的东西,而且大多数组织已经到位的安全解决方案可以有效地阻止他们的攻击。
关注光谱的中间部分,由更活跃的APT集团使用的技术和战术,其活动通常被归结为符合中东和远东国家的利益,以及被更高级的网络犯罪分子使用,如勒索软件团伙。
根据对此类攻击和相关事件的调查经验,认为ICS网络安全专家需要关注以下战术和技术。
嵌入合法网站的钓鱼网页和脚本;
使用木马化的 "破解 "发行包、"补丁 "和常用和专业软件的密钥生成器(这将受到许可成本上升和供应商因政治压力而离开某些市场的刺激);
关于当前事件的钓鱼邮件,主题极具戏剧性,包括事件的根本原因是政治性的;
在以前对相关组织或合作伙伴的攻击中窃取的文件被用作钓鱼邮件的诱饵;
通过被破坏的邮箱将钓鱼邮件伪装成合法的工作信函进行传播;
N-day漏洞:由于某些解决方案的安全更新将变得更难获得,这些漏洞将被关闭得更慢。
利用愚蠢的配置错误(如没有改变默认密码)和 "新 "供应商产品的0-day漏洞,包括本地产品。
利用 "本地 "服务提供商和政府信息系统的云服务中的固有安全缺陷;
利用安全解决方案中的配置错误。这包括在不输入管理员密码的情况下禁用防病毒产品的可能性另一个例子是IS解决方案的集中管理系统的安全性较弱。在这种情况下,IS解决方案不仅容易被绕过,而且还可以被用来横向移动;
利用流行的云服务作为CnC即使在攻击被识别后,受害者可能仍然无法阻止它,因为重要的业务流程可能依赖于云;
利用合法软件的漏洞,例如,使用DLL劫持和BYOVD(自带漏洞的驱动程序)来绕过终端安全解决方案;
通过可移动媒体分发恶意软件,以克服空隙,在那些空隙实际存在的情况下。
声明:本文来自天极智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
