知名OT/IoT網(wǎng)絡(luò)安全廠商N(yùn)ozomi Networks Labs于當(dāng)?shù)貢r(shí)間8月1日發(fā)布了新的安全研究報(bào)告，對(duì)2023年上半年公共OT/IoT網(wǎng)絡(luò)安全事件的趨勢(shì)進(jìn)行分析，報(bào)告的數(shù)據(jù)來自Nozomi Networks部署的真實(shí)遙測數(shù)據(jù)。該報(bào)告重點(diǎn)關(guān)注基于ICS漏洞、物聯(lián)網(wǎng)蜜罐數(shù)據(jù)以及OT環(huán)境攻擊統(tǒng)計(jì)數(shù)據(jù)的調(diào)查結(jié)果。Nozomi Networks Labs從涵蓋全球各種用例和行業(yè)的OT和物聯(lián)網(wǎng)環(huán)境中收集的獨(dú)特遙測數(shù)據(jù)發(fā)現(xiàn)，與惡意軟件相關(guān)的安全威脅在過去六個(gè)月內(nèi)激增了10倍。在廣泛的惡意軟件和潛在有害應(yīng)用程序類別中 ，活動(dòng)增加了96%。與訪問控制相關(guān)的威脅活動(dòng)增加了一倍多。身份驗(yàn)證和口令衛(wèi)生不良連續(xù)第二個(gè)報(bào)告期位居嚴(yán)重警報(bào)列表之首，盡管該類別的活動(dòng)比上一個(gè)報(bào)告期下降了22%。 

威脅態(tài)勢(shì)趨勢(shì)

報(bào)告認(rèn)為，OT/IoT網(wǎng)絡(luò)事件主要分為三類：機(jī)會(huì)性事件、針對(duì)性事件和意外事件。對(duì)過去六個(gè)月公開披露的攻擊的回顧發(fā)現(xiàn)，機(jī)會(huì)主義攻擊仍然是最普遍的，并繼續(xù)通過DDOS嘗試淹沒流量，列舉用于初始訪問的常見弱點(diǎn)和漏洞，以及無論網(wǎng)絡(luò)域和目標(biāo)系統(tǒng)如何的試錯(cuò)惡意軟件菌株。 

有針對(duì)性的攻擊繼續(xù)針對(duì)特定的、經(jīng)過充分研究的受害者組織、位置或兩者進(jìn)行攻擊。威脅行為者還繼續(xù)尋求依靠陸地技術(shù)來逃避安全，并擴(kuò)大偵察力度，以增加潛在利用、破壞和/或損害的嚴(yán)重程度。

意外影響(人為錯(cuò)誤或超出范圍的攻擊影響了OT和物聯(lián)網(wǎng))雖然并不總是公開報(bào)道，但仍然相當(dāng)常見，并且隨著互操作性繼續(xù)推動(dòng)組織使命和業(yè)務(wù)決策，成本將變得更高。 

自今年年初以來，Nozomi不斷看到來自多種類型的威脅行為者的高調(diào)網(wǎng)絡(luò)活動(dòng)，其中主要是部署離地技術(shù)的勒索軟件團(tuán)伙。這些技術(shù)易于獲取、能夠逃避檢測、高度適應(yīng)性且支持自動(dòng)化。

制造、能源、醫(yī)療保健、水和廢水處理行業(yè)尤其受到影響，政府和城市服務(wù)也受到干擾。除了勒索軟件之外，還出現(xiàn)了分布式拒絕服務(wù) (DDoS) 攻擊以及2016年 Mirai僵尸網(wǎng)絡(luò)的新變種。在此期間的至少三起事件中，工業(yè)控制系統(tǒng)受到直接影響。

上半年，世界各國政府也一直致力于加強(qiáng)國家層面的網(wǎng)絡(luò)安全立法和關(guān)鍵基礎(chǔ)設(shè)施政策，包括美國國家網(wǎng)絡(luò)安全戰(zhàn)略及其后續(xù)實(shí)施計(jì)劃、歐盟NIS 2指令、安全網(wǎng)絡(luò)安全法案等。澳大利亞《關(guān)鍵基礎(chǔ)設(shè)施法》。

2023年上半年值得注意的網(wǎng)絡(luò)事件時(shí)間表。

 OT/IoT中的攻擊行為趨勢(shì)

基于從涵蓋全球各種用例和行業(yè)的OT和物聯(lián)網(wǎng)環(huán)境收集的遙測數(shù)據(jù)，Nozomi繼續(xù)跟蹤水處理設(shè)施中的大量網(wǎng)絡(luò)掃描指標(biāo)、整個(gè)建筑材料行業(yè)的明文口令警報(bào)、工業(yè)中的程序傳輸活動(dòng)機(jī)械、石油和天然氣網(wǎng)絡(luò)中的OT協(xié)議數(shù)據(jù)包注入嘗試等等。

總體而言，與不良身份驗(yàn)證和口令衛(wèi)生相關(guān)的活動(dòng)連續(xù)第二個(gè)報(bào)告期位居嚴(yán)重警報(bào)列表之首，盡管該類別的活動(dòng)在過去六個(gè)月中下降了22%。具體到惡意軟件，拒絕服務(wù) (DOS) 活動(dòng)仍然是針對(duì)OT系統(tǒng)的最普遍的攻擊之一。其次是遠(yuǎn)程訪問木馬 (RAT) 類別，攻擊者通常使用它來控制受感染的計(jì)算機(jī)。分布式拒絕服務(wù) (DDoS) 威脅是物聯(lián)網(wǎng)網(wǎng)絡(luò)域中的首要威脅。惡意物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)今年仍然活躍，威脅行為者繼續(xù)使用默認(rèn)憑據(jù)嘗試訪問鏈?zhǔn)轿锫?lián)網(wǎng)設(shè)備。

“特洛伊木馬”和“雙重使用”是OT和IOT環(huán)境中最常檢測到的警報(bào)。“勒索軟件”仍然是企業(yè)/IT領(lǐng)域中常見的惡意軟件類別，對(duì)全球正常業(yè)務(wù)運(yùn)營造成重大損害。在分析跨域惡意軟件時(shí)，“網(wǎng)絡(luò)釣魚”警報(bào)是多個(gè)域下最常見的威脅活動(dòng)，通常用于竊取敏感信息并建立初始訪問，有時(shí)會(huì)部署惡意軟件來感染目標(biāo)。 

 最常觸發(fā)的客戶警報(bào)因行業(yè)而異。雖然水處理設(shè)施出現(xiàn)了更多通常與授權(quán)掃描或威脅參與者探測相關(guān)的通用網(wǎng)絡(luò)掃描警報(bào)，但石油和天然氣領(lǐng)域的客戶更有可能遇到與OT協(xié)議數(shù)據(jù)包注入相關(guān)的警報(bào)。OT協(xié)議包注入涉及在錯(cuò)誤的上下文中注入正確的協(xié)議包，例如以錯(cuò)誤的順序發(fā)送正確的協(xié)議消息?？傮w而言，許多部門都具有相似的常見警報(bào)類型，例如不良的憑證管理、明文密碼識(shí)別和 TCP 洪水警報(bào)。

ICS漏洞態(tài)勢(shì)

根據(jù)CISA和美國國家漏洞數(shù)據(jù)庫的報(bào)告和編目，OT/ICS機(jī)器和設(shè)備中仍然存在數(shù)千個(gè)已知漏洞。威脅行為者繼續(xù)積極探測全球范圍內(nèi)的企業(yè)/IT、OT和物聯(lián)網(wǎng)網(wǎng)絡(luò)，并且其能力和復(fù)雜性以及增強(qiáng)的TTP不斷增長。他們繼續(xù)在網(wǎng)絡(luò)通信、硬件、軟件、供應(yīng)鏈入侵以及供應(yīng)商訪問和管理等方面尋找新的接入點(diǎn)。即使IT攻擊沒有侵入OT系統(tǒng)，OT網(wǎng)絡(luò)和流程也經(jīng)常會(huì)受到對(duì)其所依賴的IT系統(tǒng)的攻擊的阻礙。

報(bào)告發(fā)現(xiàn)，截至2023年，OT和物聯(lián)網(wǎng)設(shè)備中發(fā)現(xiàn)的漏洞數(shù)量仍然很高，其中許多漏洞被認(rèn)為是關(guān)鍵和/或易于利用。制造業(yè)、能源和水/廢水處理行業(yè)仍然是最脆弱的行業(yè)。食品、農(nóng)業(yè)和化學(xué)品進(jìn)入前五名，取代了運(yùn)輸和醫(yī)療保健，而在Nozomi之前的六個(gè)月報(bào)告期內(nèi)，運(yùn)輸和醫(yī)療保健位居最脆弱的5個(gè)行業(yè)之首。

CISA發(fā)布641個(gè)常見漏洞和暴露 (CVE);

62家供應(yīng)商受到影響;

頂級(jí)CWE中仍然存在越界讀取和越界寫入漏洞 - 兩者都容易受到多種不同的攻擊，包括緩沖區(qū)溢出攻擊;

另據(jù)SynSaber編制的數(shù)據(jù)，2023年上半年，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)共報(bào)告了670個(gè)ICS產(chǎn)品漏洞，低于2022年上半年報(bào)告的681個(gè)。在670個(gè)CVE中，88 個(gè)CVE的嚴(yán)重程度被評(píng)為“嚴(yán)重”，349個(gè)被評(píng)為“高”，215個(gè)被評(píng)為“中”，18個(gè)被評(píng)為“低”嚴(yán)重程度。與Nozomi的數(shù)據(jù)略有出入。

物聯(lián)網(wǎng)探測攻擊態(tài)勢(shì)

Nozomi Networks的分布式物聯(lián)網(wǎng)蜜罐每天都會(huì)發(fā)現(xiàn)成百上千個(gè)獨(dú)特的攻擊者IP地址。竊取憑據(jù)后使用的一些命令是通用的，是用于訪問正確的shel 或管理終端的命令。其他的則非常有趣，具有硬編碼的公共SSH密鑰，攻擊者將其添加到“可信密鑰”列表中。受信任的密鑰用于維護(hù)持久訪問，提供稍后通過SSH連接到受感染計(jì)算機(jī)的方法。從2023年1月到6月，Nozomi Networks蜜罐發(fā)現(xiàn)：

平均每天發(fā)生813次獨(dú)特攻擊——5月1日的最高攻擊日達(dá)到1,342次;

主要攻擊者IP地址與中國、美國、韓國、臺(tái)灣和印度相關(guān);

暴力嘗試仍然是獲取系統(tǒng)訪問權(quán)限的一種流行技術(shù)——默認(rèn)憑據(jù)是威脅行為者獲取物聯(lián)網(wǎng)訪問權(quán)限的主要方式之一;

主要結(jié)論

威脅行為者繼續(xù)在經(jīng)濟(jì)收益或造成的破壞方面追求最大的投資回報(bào)率。機(jī)會(huì)主義攻擊持續(xù)存在，而定制的OT和物聯(lián)網(wǎng)威脅活動(dòng)對(duì)于幾乎不容忍停機(jī)的流程所有者和運(yùn)營商來說是一個(gè)明顯的風(fēng)險(xiǎn)。在一個(gè)日益增加的技術(shù)依賴性伴隨著固有風(fēng)險(xiǎn)的世界中，自動(dòng)化水平的提高以及機(jī)器學(xué)習(xí)和人工智能功能的采用已經(jīng)引起了網(wǎng)絡(luò)防御者和對(duì)手的注意。 

 Nozomi Networks Labs致力于持續(xù)跟蹤工業(yè)和關(guān)鍵基礎(chǔ)設(shè)施安全不斷變化的威脅形勢(shì)。2023年下半年的關(guān)注點(diǎn)，主要包括：

在OT和物聯(lián)網(wǎng)設(shè)備中發(fā)現(xiàn)了大量漏洞，其中一些被認(rèn)為是關(guān)鍵和/或易于利用的漏洞。

由于勒索軟件繼續(xù)困擾組織，醫(yī)療保健、能源和制造業(yè)仍然是威脅行為者的高度目標(biāo)行業(yè)。

生成式人工智能模型用于幫助網(wǎng)絡(luò)安全防御者和威脅行為者機(jī)會(huì)主義攻擊：

利用漏洞、濫用憑證、初始訪問的網(wǎng)絡(luò)釣魚嘗試、DDOS嘗試和特洛伊木馬執(zhí)行。

參考資源 

1、https://www.nozominetworks.com/blog/new-nozomi-networks-labs-report-august-2023/

2、https://www.nozominetworks.com/resources/iot-ot-cybersecurity-research-report-august-2023/

3、https://industrialcyber.co/reports/malware-activity-surges-threatening-ot-and-iot-environments-with-nation-states-criminals-hackers/

來源： 網(wǎng)空閑話plus