卡巴斯基预计,2024年工业网络威胁形势不会发生巨大变化。 下面描述的大多数趋势以前已经观察到,其中许多趋势已经存在多年。 然而,其中一些趋势已经达到了缓慢变化的临界点,这可能导致威胁形势最早在明年发生质的变化。
勒索软件
到 2024 年,勒索软件仍然是工业企业的头号祸害。
2023 年,勒索软件攻击巩固了其在工业企业信息安全威胁列表中的地位。 从2023年上半年从受网络事件影响的组织的官方声明中可以看出,至少有六分之一的勒索软件攻击导致产品生产或交付停止。 在某些情况下,攻击造成的损失估计高达数亿美元。 目前,没有理由相信这种威胁会在不久的将来减少。
针对大型组织、提供独特产品(设备、材料)的供应商或大型物流和运输公司的勒索软件攻击可能会造成严重的经济和社会后果。
目前,根据受到攻击的公司,不低于18%。针对工业公司的勒索软件攻击会导致生产和/或产品交付中断。 此外,网络犯罪分子在选择受害者时显然瞄准了高端市场,他们更愿意攻击可以支付巨额赎金的大型组织。
结果是攻击者有意或无意地可能再次越界,导致攻击的后果成为基础设施级别的后果,例如殖民地管道遭到袭击的案例一样。 另一个例子是总部位于迪拜的国际集装箱码头和**连锁运营商DP World 最近遭到攻击,导致墨尔本、悉尼、布里斯班和弗里曼特尔港口的工作陷入停顿,约有30,000个集装箱无法交付。
勒索软件市场正走向顶峰,随后可能会出现下滑或停滞。 潜在的受害者不太可能在短期内免受攻击。 但是,他们可以学会更有效地减轻影响(例如,通过更好地保护其最机密的数据并制定适当的备份和事件响应计划)。
如果这导致受害者支付的金额减少并且频率降低,网络犯罪分子将不得不寻找新的目标类型和攻击货币化选项。 可能的发展途径包括:
1. 对物流和运输公司的攻击可能不再针对支持运营的 IT 基础设施,而是针对车辆本身(汽车、船舶)。
乍一看,停车场和车队中种类繁多的车辆似乎阻碍了此类攻击的实施,大大增加了攻击者的开发成本。 但是,攻击的目标可以是具有相同或相似内部控制系统的同一类型的多辆车辆,而不是针对特定的所有者或运营商。
导致攻击的另一个因素是,车队所有者和运营商还为车辆配备了自己的定制遥测收集系统,这些系统通常默认具有远程控制功能(例如,远程刷新固件或更改要收集的数据集)。 汽车制造商和服务提供商有时也会这样做。 因此,这种攻击媒介变得可行。
如果发生此类攻击,受害者将无法自行恢复运营,或者将产生使企业无法继续生存的成本。 恢复加密 IT 系统的运行(例如,从备份中恢复)比解决影响广泛分布的车辆的技术简单问题(例如,删除阻止车辆发动机启动或切断船舶内部电源的恶意软件)要容易得多。 公司可能会发现自己无法及时恢复正常运营,而不会造成不可接受的经济损失。
2. 同样的攻击媒介也适用于在偏远、难以到达的地点(例如采矿或农业部门)操作的各种专用设备的所有者和运营商。
3. 石油和天然气公司、公用事业和一般行业的网络安全问题对于任何拥有高度分布式运营技术基础设施的组织来说同样重要,这些组织拥有多个难以到达的站点。 对于远离主要位置的站点的攻击,排除了远程恢复的可能性(例如,因为恶意软件阻止了常规的远程访问通道),这保证了赎金的支付。
4. 非传统攻击变现方法(如通过投机)针对经济上重要的企业,如大型运输和物流组织、大型矿业公司、材料制造商和商人(如金属、合金或复合材料)、农产品和食品,以及难以快速补偿的独特和需求产品(如微芯片或化肥)。
5、这些企业的产品中断,将严重影响其市场。 除了直接的后果外,还可能产生连锁反应和间接***沙特阿美出人意料地决定在Shamoon攻击对全球硬盘产生性影响后,用新的硬盘替换所有受攻击影响的计算机硬盘。
黑客行动主义者
在地缘政治分界线上,出于政治动机的黑客行动主义将变得更加凶猛,并产生更具破坏性的后果。
我们都记得 2021 年的伊朗铁路跟加油站黑客 攻击登上头条新闻,亲以色列的头条新闻黑客组织声称对此事负责。 去年,我们看到了更多的案例:以色列的灌溉系统遭到袭击以色列制造的UNITRONICS Vision一体机(PLC和集成HMI)解决方案就在这里美国跟爱尔兰在攻击下,伊朗的加油站2023年再次遭到袭击。 撇开公关效应不谈,所有这些事件的实际负面影响规模并不显著。
也就是说,最近的黑客行动主义攻击表明,攻击者有能力入侵 OT 系统。 在卡巴斯基ICS Cert今年调查的一些类似案件中,攻击者略微缺乏准备和毅力,使受害者免于实际损害。 紧张局势的升级可能会将出于政治动机的黑客攻击提升到一个全新的威胁水平。
除了在社会紧张局势加剧(由宗教和种族冲突以及全球许多地区日益不稳定的经济不稳定引起)的背景下引发的国内**运动外,我们还将看到日益增长的国际主义**黑客行动主义,例如由引入新的社会文化和宏观经济议程所驱动,或者相反, 旨在反对引入新的社会文化和宏观经济议程。与环境保护和绿色技术有关的一个例子是所谓的“生态黑客行动主义”,例如Guacamaya Roja黑客行动主义组织对危地马拉一家矿业公司的袭击。
黑客行动主义在全球范围内的全面兴起将激励更多的个人和团体开始为“无关紧要的原因”而战,甚至“只是为了好玩”,类似于今年黑客组织Siegedsec对爱达荷州国家实验室的攻击。
从灰色区域到阴影
广泛使用“进攻性网络安全”来收集网络威胁情报将产生积极和消极的后果。
一方面,我们将看到企业安全方面的一些改进,因为进攻性网络威胁情报将为用户提供潜在威胁的迹象,不仅通过传统的网络威胁情报,如遥测、事件研究、间接信息**和来自安全解决方案的暗网,而且还直接来自攻击者控制的基础设施。 这将使受害者能够更快、更有效地恢复系统安全。
另一方面,进攻性网络情报的发展在成为新常态的同时(虽然没有正式合法化,但在格雷的默许下应用),也会产生负面影响,因为灰色地带和阴影之间的界限对于越过这个界限的人来说可能太脆弱了,无法抵抗。 在一些国家的带头下,一些商业企业可能会试图从商业进攻性情报解决方案和服务提供商的帮助中受益,甚至可能不限于网络安全目的。 一些工业企业也可能参与其中。 这在竞争激烈的生态系统中尤为明显,例如建筑、采矿和能源以及许多其他工业部门。
这些"利润驱动"Web 活动将比常见的 APT 活动更精确。 这些活动将主要使用商业和开源工具,这将使他们能够在网络犯罪攻击普遍高发的背景下掩盖其活动。 因此,这些行为被发现和调查的机会甚至低于 APT 活动。
与物流和运输有关的威胁
物流运输行业的快速自动化和数字化将导致:
网络犯罪和传统犯罪交织在一起更加紧密,特别是在历史悠久的犯罪领域,例如:
1. 汽车盗窃,适用于所有现代汽车,但与亚洲品牌尤其相关,并且由于快速进入市场的积极战略,新汽车品牌通常将网络安全成熟度作为首要任务。
2. 网络驱动的海盗和物流中断——作为已知攻击策略和技术的合乎逻辑的延续,例如最近对红海和印度洋自动跟踪系统 (AIS) 的攻击,或 2020 年对伊朗沙希德·拉贾伊港口码头的袭击。
3.利用网络手段窃取物品。
4. 通过网络手段走私——就像安特卫普港臭名昭著的“十三号海洋”案中使用的战术发展一样。
5. 其他物流和运输欺诈,例如与取消保险索赔罚款相关的付款,以及许多其他欺诈策略,有些不可预测,例如我们最近在波兰看到的使用 DRM 作为不公平竞争的手段。
非针对性攻击造成物理后果的可能性增加。
在各种类型的车辆中都有恶意软件感染的案例。 如果我们展望不久的将来,由于运输部门采用 Android 和 Linux 等“传统”操作系统、标准 IT 组件和通信协议的广泛集成以及涉及连接到云服务的用例数量的增加,此类感染将呈指数级增长。 有些可能导致关键监测和控制系统的故障,并产生不良后果。 最重要的是,这种风险涉及河流、海上、卡车运输和紧急运输——这些车辆通常不如公共汽车安全。
文章**:计算机和网络安全。