2020年,一个名为耶路撒冷电子军(Jerusalem Electronic Army)的黑客组织在社交媒体上发布了几条帖子,声称已经破坏了属于以色列公共供水基础设施的控制系统。以色列国家网络局(INCD)发出安全警报,要求能源和供水部门立即更改所有联网连接控制系统的密码,减少联网连接,并确保安装最新版本的控制器。
后续的媒体报道披露了该次安全攻击事件的一些细节,值得关注的是黑客将SCADA(数据采集与监控)系统作为攻击目标——工业从业者都知道,数据采集和监测控制是工业过程中极为重要的环节,它能帮助管理者实时发现生产问题并调整生产计划。可以说,作为工业控制系统重要组成部分的SCADA的安全至关重要,一旦遭遇黑客攻击,轻则某个工业领域受到重创,重则整个国家关键基础设施瘫痪。
好消息是,该组织最终没有扰乱或破坏以色列的供水,而是在展示自己的能力,试图发表政治或文化声明。不过,类似的事件已经在全球范围为工业运营的网络安全敲响了警钟。
上个月,罗克韦尔自动化(Rockwell Automation)发布了名为《工业运营中100多起网络安全事件解剖》的调研报告,该份报告分析了122起网络安全事件,其中包括对OT/ICS(工业控制系统)的直接威胁,每起安全事件都收集和审查了近100个数据点。
D1063S
根据对这些安全事件的分析,关键发现如下:
- 在过去短短几年的时间内, OT/ICS 安全事件已超过 1991 年至 2000 年期间报告的总数。
- 能源行业受到的安全攻击最为集中(39%),受到攻击的频率是排行第二垂直行业的三倍多。
- 网络钓鱼仍然是最为流行的攻击技术 (34%),这突显了安全策略(例如气隙、网络分段、隔离、零信任和安全意识培训)对于降低风险的重要性。
- 在超过一半的 OT/ICS 安全事件中,SCADA系统都被作为攻击目标 (53%),PLC则是第二常见的攻击目标 (22%)。
- 超过 80% 的威胁者来自外部组织,但在大约三分之一的安全事件中,内部人员无意中为威胁者打开了大门。
- 在报告调研的 OT/ICS 安全事件中,60% 导致运营中断,40% 导致未经授权的访问或数据泄露。然而,安全攻击的损害超出了受影响的企业范围,因为更广泛的供应链在 65% 的情况下也会受到影响。
- 研究表明,在大多数OT事件中,攻击者首先进入IT网络。所以加强 IT 系统的安全对于打击关键基础设施和制造设施的网络攻击至关重要。
本文将对报告的精华内容进行编译:
关键发现(1)
在最近短短几年的时间里,OT/ICS 安全事件已超过 1991 年至 2000 年期间报告的总数。
在2022年,报告显示,针对Modbus/TCP端口502(一种常用的工业协议)的对抗性侦察增加了2000%,这可能允许黑客控制物理设备并破坏OT操作。
安全攻击事件的数据和频率增加,不仅是因为确实有更多目标遭受其害,还因为有更好的检测工具和能力来帮助识别安全攻击事件。
下图具体显示了该份报告分析的122起网络安全事件的调查结果。
