2017年上半年工業(yè)網(wǎng)絡安全威脅情況
http://m.ydsygx.cn今年前六個月,卡巴斯基實驗室產(chǎn)品在37.6%的工業(yè)控制系統(tǒng)計算機上攔截了攻擊。我們會從這些計算機上接收匿名信息,總數(shù)量達到數(shù)萬。這一數(shù)據(jù)與上一期相比,幾乎沒有變化——較2016年下半年相比,下降了1.6個百分點。受攻擊的目標大多都是制造各種原料、設備和商品的制造企業(yè)。其他遭受影響較嚴重的行業(yè)還包括工程行業(yè)、教育業(yè)以及食品和飲料行業(yè)。能源企業(yè)的工業(yè)計算機遭受的攻擊占全部攻擊的近5%。
工業(yè)計算機遭受攻擊最嚴重的前三個國家保持不變工業(yè)網(wǎng)絡安全 仍然為越南(71%)、阿爾及利亞(67.1%)和摩洛哥(65.4%)。根據(jù)卡巴斯基實驗室公布的數(shù)據(jù)工業(yè)網(wǎng)絡安全 研究人員發(fā)現(xiàn)中國(57.1%)工業(yè)系統(tǒng)遭受攻擊的比例有所增加,位列第五位。安全專家還發(fā)現(xiàn),威脅的主要來源為互聯(lián)網(wǎng):我們在20.4%的工業(yè)控制系統(tǒng)計算機上攔截過試圖下載惡意軟件或訪問已知惡意內容或釣魚網(wǎng)絡資源的行為。這種感染類型的統(tǒng)計數(shù)據(jù)較高的原因在于企業(yè)和工業(yè)網(wǎng)絡之間的接口,工業(yè)網(wǎng)絡中可以訪問有限的互聯(lián)網(wǎng)資源,通過移動電話運營商的網(wǎng)絡將工業(yè)網(wǎng)絡上的計算機連接到互聯(lián)網(wǎng)。
卡巴斯基實驗室在2017年前六個月共在工業(yè)自動化系統(tǒng)中檢測到約18,000種不同的惡意軟件變種,這些惡意軟件屬于2,500多個不同的惡意軟件家族。
勒索軟件攻擊
今年上半年,全球面臨一波勒索軟件疫情,這種威脅也影響了工業(yè)企業(yè)。根據(jù)卡巴斯基實驗室工業(yè)控制系統(tǒng)計算機應急響應團隊(ICS CERT)的研究,遭受加密木馬攻擊的工業(yè)控制系統(tǒng)計算機數(shù)量顯著增加,在3月份增加了3倍。總體來看,安全專家共發(fā)現(xiàn)33種屬于不同家族的加密勒索軟件。大多數(shù)加密木馬都通過偽裝成企業(yè)通訊的垃圾郵件進行傳播,這些郵件中或者包含惡意附件,或者包含指向惡意軟件下載器的鏈接。
2017年上半年勒索軟件主要統(tǒng)計數(shù)據(jù)包括:
· 位于企業(yè)和組織的工業(yè)基礎設施中的計算機中,有5%至少遭遇了一次加密勒索軟件攻擊。
· 全球63個國家的ICS計算機面臨著眾多加密的勒索軟件的攻擊,其中最臭名昭著的是WannaCry和ExPetr攻擊行動。
· WannaCry攻擊在加密勒索軟件家族中名列前茅,工業(yè)基礎設施中遭受其攻擊的計算機占13.4%。 受影響最嚴重的組織包括醫(yī)療機構和政府部門。
· ExPetr是今年上半年另一種臭名昭著的加密勒索軟件,遭受攻擊的企業(yè)中,至少有50%來自制造行業(yè)以及石油和天然氣行業(yè)。
· 排名前十位的加密木馬家族包括其他勒索軟件家族,例如Locky和Gerber,這些威脅從2016年就開始活動,并且為網(wǎng)絡罪犯帶來最高的收益。
卡巴斯基實驗室關鍵基礎設施防御部門負責人Evgeny Goncharov說:“2017年上半年,我們看到工業(yè)系統(tǒng)的保護是如何的薄弱:幾乎所有受影響的工業(yè)計算機都是意外被感染的,是最初針對家庭用戶和企業(yè)網(wǎng)絡的攻擊所造成的。在這個意義上,WannaCry和ExPetr這種毀滅性攻擊被證明是具有參考性,其攻擊會導致全球企業(yè)生產(chǎn)中斷,物流停滯,醫(yī)療機構關閉。這種攻擊的結果可能引發(fā)入侵者進一步的行動。 由于在采取預防措施方面,我們已經(jīng)落后了,所以企業(yè)需要考慮現(xiàn)在采取主動防御措施,避免未來“救火”。
為了保護工業(yè)控制系統(tǒng)環(huán)境不受網(wǎng)絡攻擊的危害,卡巴斯基實驗室ICS CERT建議企業(yè)采取以下措施:
· 獲取運行的網(wǎng)絡服務清單,特別注意那些提供遠程訪問文件系統(tǒng)對象的服務。
· 審計ICS組件訪問隔離,企業(yè)工業(yè)網(wǎng)絡中的網(wǎng)絡行為以及邊界以及同使用可移動存儲媒介和移動設備相關的策略和措施。
· 確認對工業(yè)網(wǎng)絡的遠程訪問安全性,將遠程管理工具的使用限制到最少,或者完全禁用。
· 確保端點安全解決方案保持更新。
· 使用高級保護手段:部署提供網(wǎng)絡流量監(jiān)控的工具,檢測工業(yè)網(wǎng)絡中的網(wǎng)絡攻擊。