又是一年年末,“安全預(yù)測(cè)季”到來(lái),工控系統(tǒng)(ICS)與關(guān)鍵基礎(chǔ)設(shè)施這個(gè)絕對(duì)重要的領(lǐng)域里,有那么一些趨勢(shì)非常明顯——有些是壞事,而有些,則能讓機(jī)構(gòu)面對(duì)敵手能力不斷增長(zhǎng)的狀況時(shí),多幾分勝算。
民族國(guó)家將對(duì)關(guān)鍵基礎(chǔ)設(shè)施做更多探測(cè)
在民族國(guó)家針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的威脅活動(dòng)方面,潘多拉的魔盒已打開。世界各國(guó)都已意識(shí)到,不再有明確的紅線可以阻止他們將針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)行動(dòng),作為沖突的替代物、前兆或干脆就是雙方交惡的一部分。2014年對(duì)美國(guó)關(guān)鍵基礎(chǔ)設(shè)施和歐洲目標(biāo)的探測(cè)活動(dòng),還有2015和2016年對(duì)烏克蘭電網(wǎng)的破壞性攻擊,均未受到任何嚴(yán)正響應(yīng),催生了2017年多個(gè)民族國(guó)家對(duì)此類網(wǎng)絡(luò)行動(dòng)的復(fù)現(xiàn),而這一趨勢(shì)還將延續(xù)到未來(lái)。
不妨回顧一下2017年的類似事件:
2017年7月,俄羅斯(據(jù)稱)對(duì)美國(guó)能源及核設(shè)施IT網(wǎng)絡(luò)的探測(cè)被曝光;
2017年9月,賽門鐵克Dragonfly 2.0報(bào)告釋出,闡述黑客(據(jù)說(shuō)又是俄羅斯——與7月的披露不完全關(guān)聯(lián))對(duì)美國(guó)能源產(chǎn)業(yè)目標(biāo)ICS網(wǎng)絡(luò)的訪問(wèn);
2017年10月,火眼報(bào)告詳述朝鮮(據(jù)稱)對(duì)美國(guó)能源公司行魚叉式網(wǎng)絡(luò)釣魚嘗試;
2017年10月,ICS-CERT發(fā)布的TLP White報(bào)告,描述了對(duì)能源、核、交通運(yùn)輸和關(guān)鍵制造產(chǎn)業(yè)的攻擊。
2017年的好消息是,至少到現(xiàn)在為止,尚未發(fā)生破壞性網(wǎng)絡(luò)攻擊事件。但明年還會(huì)不會(huì)如此平和,就不好說(shuō)了。2018年,俄羅斯會(huì)不會(huì)破壞美國(guó)或歐洲能源設(shè)施呢?朝鮮正在成倍地提高自己的網(wǎng)絡(luò)攻擊能力,他們到底能付諸于什么樣的行動(dòng)不得而知。地區(qū)沖突也是個(gè)令人擔(dān)憂的因素,比如沙特阿拉伯和伊朗之間緊張關(guān)系的升溫,就可能導(dǎo)致某種形式的行動(dòng)。
1. 勒索軟件卷土重來(lái)
可能是針對(duì)性的,且破壞性可能再次抬頭。
2017年,ICS網(wǎng)絡(luò)相關(guān)重大網(wǎng)絡(luò)事件,以連帶傷害的形式出現(xiàn)。4月份才警告了勒索軟件將禍及生產(chǎn)車間,5月6月就見證了警報(bào)成真。幸運(yùn)的是,兩波勒索軟件攻擊都沒(méi)有特意針對(duì)ICS網(wǎng)絡(luò)。不幸的是,這一點(diǎn)對(duì)情況并沒(méi)有任何幫助。兩波勒索軟件行動(dòng)都有能力觸及ICS網(wǎng)絡(luò)的事實(shí),證明了IT及ICS網(wǎng)絡(luò)并不像大多數(shù)人認(rèn)為的那么獨(dú)立且物理隔離,而從IT網(wǎng)絡(luò)橋接入ICS網(wǎng)絡(luò),很多情況下(不是全部),是相對(duì)簡(jiǎn)單的操作。
全球大型公司——聯(lián)邦快遞、億滋國(guó)際、馬士基航運(yùn)集團(tuán)、利潔時(shí)集團(tuán)、默克公司、本田等等,親歷了來(lái)自這些行動(dòng)的破壞。經(jīng)濟(jì)損失目前總計(jì)將近9億美元。
該領(lǐng)域預(yù)計(jì)將會(huì)發(fā)生:
另一起大規(guī)模勒索軟件攻擊——附帶重大破壞和經(jīng)濟(jì)損失;
攻擊者(可能是民族國(guó)家,但更可能是罪犯)特別針對(duì)ICS網(wǎng)絡(luò)策劃勒索軟件行動(dòng),以施行經(jīng)濟(jì)戰(zhàn)或勒索世界頂尖品牌攫取巨額贖金。
2. 董事會(huì)將尋求洞見并最終授權(quán)行動(dòng)
NotPetya損失的背后,我們已經(jīng)看到了董事會(huì)對(duì)ICS網(wǎng)絡(luò)防護(hù)重視程度的拐點(diǎn)。
很多案例中,董事會(huì)立即授權(quán)CISO采取行動(dòng),并指示“我們?nèi)χС帜憬鉀Q這一領(lǐng)域的問(wèn)題。”
在ICS安全策略方面更成熟的公司,就直接付諸行動(dòng)了——其他則以ICS安全評(píng)估的明顯增加來(lái)盡力做好這事兒。ICS系統(tǒng)安全評(píng)估正大幅增加,且這一趨勢(shì)在新一年里將以瘋狂的速度延續(xù),無(wú)論有沒(méi)有進(jìn)一步的攻擊。基于以上分析,可以預(yù)見,未來(lái)將會(huì)有更多損失,但積極的一面是,ICS安全也將迎來(lái)切實(shí)快速的轉(zhuǎn)變。
3. 背后的殘酷現(xiàn)實(shí)即將顯現(xiàn)
鑒于ICS安全準(zhǔn)備度關(guān)注的增加,企業(yè)將會(huì)意識(shí)到,在對(duì)抗ICS網(wǎng)絡(luò)威脅方面,完全沒(méi)有自己以為的那么準(zhǔn)備充分。他們會(huì)集體認(rèn)識(shí)到:自己并不完全了解自身?yè)碛械馁Y產(chǎn),ICS安全衛(wèi)生的保障比IT的要難,物理隔離就是壓根兒不存在的心理安慰,所需的技術(shù)人才并沒(méi)有在自己?jiǎn)T工花名冊(cè)上,各個(gè)團(tuán)隊(duì)之間零交流,目前并沒(méi)有按應(yīng)該的方式監(jiān)測(cè)這些網(wǎng)絡(luò)——因而不僅不能做出相應(yīng)的響應(yīng),甚至都不知道何時(shí)需要響應(yīng)。不過(guò),細(xì)數(shù)上面列出的種種,樂(lè)觀地看,當(dāng)他們開始意識(shí)到這些,也就意味著終于會(huì)對(duì)此采取些實(shí)際措施。
網(wǎng)絡(luò)安全界沒(méi)有什么比保護(hù)ICS網(wǎng)絡(luò)更重要的事了,畢竟ICS是驅(qū)動(dòng)整個(gè)世界和我們生活的根基。
京公網(wǎng)安備 11010502049343號(hào)