2023年威胁报告 - 具有物理后果的 OT 网络攻击
在过去一年(2022 年),我们看到了 57 起针对工业系统的 OT 相关网络攻击,这些攻击在现实世界中造成了物理后果。这是我们在 2021 年看到的 22 次类似攻击的 2.5 倍多,是 2020 年看到的 19 次攻击的 3 倍! 其中大部分是勒索软件式的攻击,对 IT 网络上的计算机和数据进行加密,但也对 OT 产生了影响。
该报告由 Waterfall Security Solutions 与 ISSSource 及其 ICSStrive OT 事件存储库合作创建,重点是:
离散制造:将许多小零件组装成较大的制造对象(例如汽车或笔记本电脑)的操作。
加工业:将原材料转化为更有用形式的操作,例如采矿或精炼。
关键基础设施:对社会运转至关重要的工业运营,例如交通、电力和公用事业。
本报告还包括自 2010 年以来对这些行业造成实际影响的所有攻击的完整列表,包括指向可用于验证攻击和了解更多攻击的公开报告和来源的链接。
在 2022 年发生的 218 起事件中,有 57 起与 OT 相关的工业系统网络攻击事件在现实世界中造成了物理后果。数据显示,工业网络安全已从过去十年的主要理论问题转变为近十年来非常现实且迅速增长的问题。大多数这些攻击都部署了勒索软件,尽管该报告指出黑客活动分子正在增加他们的活动。
在过去的一年里,网络攻击的数量增加了 140%,超过 150 家工业企业受到影响。根据公司预测,如果这种增长率持续下去,未来五年内可能会有多达 15,000 个工业站点因网络攻击而关闭。其中大部分是勒索软件式的攻击,对 IT 网络上的计算机和数据进行加密,但也会对 OT(运营技术)产生影响。
故意造成身体后果的黑客攻击正在增加——2022 年发生了 6 次此类攻击,是历史上规模最大的一年。在剩下的攻击中,绝大多数是勒索软件,在大多数勒索软件攻击中,只有 IT 网络受损,OT 网络没有受损。
尽管如此,在我们跟踪的所有勒索软件攻击中,都存在物理后果,要么是因为物理操作依赖于瘫痪的 IT 系统进行每分钟的操作,要么是因为勒索软件受害者不信任他们的 OT 安全系统的强度,因此关闭了操作'非常谨慎。
报告披露,交通行业今年遭受的攻击数量最多,其中许多攻击涉及 OT 对 IT 系统的依赖。它还涵盖了美国 TSA(运输安全管理局)发布的新铁路指令,反映了其 2021 年管道指令,这些指令中的许多措施直接针对 IT/OT 连接和 IT/OT 相互依赖性。
Waterfall-lCSSTRIVE 报告提到了基于大型语言模型的工具,例如 ChatGPT,这些工具有可能增强攻击者编排网络攻击并造成物理后果的能力。它还补充说,随着网络攻击对国家安全和公民日常生活的影响越来越大,预计许多司法管辖区将出台新的法规和立法。
报告还涵盖了新的 CIE 战略,该战略显示了开发工程知识体系以设计物理操作和公共安全的网络风险的希望。“2020 年后,工业安全威胁环境发生了重大转变——造成物理后果的攻击现在呈指数级增长。美国政府已经通过修改其防御策略来应对这种转变的最初症状。全球其他当局将别无选择,只能在未来几年效仿,”它补充说。
展望未来,Waterfall-lCSSTRIVE 报告预测,由于关键基础设施中断的数量稳步增加,许多司法管辖区的政府将命令关键基础设施所有者和运营商实施更强大的网络安全措施。“更糟糕的是,我们注意到诸如 ChatGPT 之类的自然语言人工智能工具有可能增强网络攻击能力,从而从实质上加速网络攻击的增长,并带来物理后果。”
另一方面,它补充说:“我们还观察到,新的网络信息工程计划有可能显着提高OT 安全态势的强度,即使面对国家级勒索软件和人工智能驱动的网络攻击也是如此”
年度威胁报告侧重于离散制造操作,这些操作将许多小部件组装成更大的制造对象,例如汽车或笔记本电脑。它还考虑了将原材料转化为更有用形式的过程工业操作,例如采矿或精炼,以及关键基础设施,包括对社会运作至关重要的工业操作,例如运输、电力和公用事业。
报告确定了今年一些最引人注目和最值得注意的事件。其中包括知名企业的停电,其中包括 14 家丰田汽车制造厂、23 家普利司通轮胎工厂以及Maple Leaf Foods 和 Macmillan Publishers 的停电。它还包括在四次单独的攻击中数万名航空旅客的航班延误,以及在四次针对金属和采矿的攻击中影响物理操作,其中一次攻击导致火灾和材料设备损坏。
该报告还涵盖了三大洲六个海港的集装箱、燃料和散装油装卸故障。它还包括促成两个受害组织的破产。“虽然这些事件都没有像我们在 2021 年的 Colonial Pipeline 事件中看到的那样成为头版新闻,但 2022 年确实看到这些备受瞩目的关键基础设施站点受到了物理后果的影响,”它补充说。
报告的核心重点是物理上后果性的 OT 网络事件,但一些未遂事件值得研究,以更深入地了解关键工业基础设施威胁的性质。这些事件被定义为有惊无险的网络攻击,如果攻击的情况略有不同,则可能会造成物理后果。
六个值得注意的未遂事件包括 Seliatino Agrohub,2 月份黑客活动分子试图通过将温度设定点从 -24 更改为 +30 °C 来破坏莫斯科地区的 40,000 吨冷冻肉制品,但操作检测到攻击,设置放置回来了,网络断开了。
4 月,七个印度国家负荷调度中心 (SLDC) 面临长达八个月、拉达克地区印度负荷分配中心的攻击。4 月,ESET 和 CERT-UA高度自信地确定俄罗斯 GRU(又名 Sandworm)的 74455 部队使用 Industroyer2 恶意软件将乌克兰的高压变电站作为目标,但攻击在进行中被检测到并被阻止。
7 月,DTEK 的 Kryvorizka 发电厂面临乌克兰电网的动能和网络联合攻击,俄罗斯的导弹袭击和威胁组织 XakNet 对工厂 OT 网络发起的网络攻击最终未能破坏电网的稳定。
8 月,South Staffs Water 和 Thames Water 面临Cl0p 勒索软件团伙,该团伙破坏了英国 South Staffs Water 的 IT 和 OT 系统,但在该国其他地方却以一种奇怪的混合企图双重勒索 Thames Water。自来水公司都没有遭受 OT 的后果。
10 月,基础设施、通信和运输秘书处 (SICT) 面临网络攻击,关闭了墨西哥颁发商业卡车运营商执照的机构的 IT 系统,这可能会损害国际贸易并停止许可证到期的卡车司机的运营。一项将所有许可证和文件延长至 12 月 31 日的紧急法令以及随后没有媒体报道这一问题表明该问题已在新年之前得到解决。
报告称,2022 年,在离散制造、流程工业和工业关键基础设施中发现了 42 次勒索软件攻击,造成了物理后果。“这几乎是之前所有研究年度(2010-2021)中 47 次此类攻击的总和。
在 2022 年已知的勒索软件攻击中,有 17 起 (40%) 归因于已知的勒索软件类型或组。
该报告补充说,所涵盖的大多数勒索软件攻击都不是故意导致运营关闭,而是因为对 OT 系统持续运营至关重要的 IT 系统因攻击而瘫痪,或者因为受害组织选择关闭运营以防止传播对这些系统的勒索软件“非常谨慎”。
交通运输、离散制造和食品饮料是 2022 年受害目标行业前三名,与上年持平。这种分布的一个可能原因是“离散制造”不是一个行业,而是多个行业,市场研究表明,地球上的离散制造地点至少与所有关键工业基础设施和流程制造地点的总和一样多。因此,这一行业集合因网络攻击而遭受相当比例的中断也许并不奇怪。
该报告还确定了影响行业目标的另一个因素可能是 IT/OT 的相互依赖性。“在运输行业,IT 系统对于每分钟的运营来说往往是必不可少的,因为正是 IT 系统跟踪包裹、集装箱和内容。在大部分勒索软件攻击中,IT 网络是第一个受到威胁的网络,也是第一个内容和系统被加密和受损的网络。因此,当勒索软件进入其 IT 网络时,物理操作和 OT 自动化系统严重依赖 IT 系统的行业更有可能遭受物理后果。
报告确定了揭示攻击复杂性增加的关键要点,从而强调了提高安全性、新的安全观点以及实施网络安全措施的新方法的必要性。它还确定了 OT 中的 IT 依赖性,因为很明显,消除 OT 对 IT 系统的所有依赖性可能非常困难。
但是,我们不能简单地忽略任何必须保留的依赖性。相反,我们必须认识到,对于持续物理操作必不可少的 IT 系统实际上是可靠性关键组件。这些可靠性关键系统可能托管在 IT 网络而不是 OT 网络上,但必须像 OT 系统一样进行管理和保护。
该报告还指出了对外部系统和供应商的依赖。“如果供应商无法交付对制造商或其他工业运营的物理运营至关重要的商品或服务,那么受影响的运营必须关闭。如果与制造商有联系的供应商或云服务提供商受到损害,那么该制造商以及实际上与该受损供应商有联系的每个工业运营商都会面临“谨慎”关闭的风险。受损供应商或服务的客户是否关闭当然取决于每个客户的网络安全强度。”
报告提供预测,包括在 ICS 网络杀伤链第 2 阶段使用人工智能、增强全球响应和立法,以及工程网络安全的出现,例如能源部网络信息工程的发布(CIE) 战略。
在全球范围内,勒索软件攻击的风险越来越大,这将继续定义OT 网络威胁格局。2022 年,勒索软件针对各行业的组织、供应商和子公司的 ICS(工业控制系统)机制直接破坏了运营,而且频率越来越高。
Lockbit Builder 的推出以及 RaaS 模型的持续增长等多种因素已被确定导致勒索软件活动不断增加,这些活动正在影响工业组织并将继续影响威胁格局。去年,RaaS 还继续发展成为一种攻击媒介,对 ICS 和 OT 环境的影响更大。