當地時間2月24日，美國知名工業網絡安全公司Dragos發布了工業控製係統網絡安全年度2020總結報告，回顧了2020年披露的工業控製係統(ICS)威脅狀況和漏洞。該報告還分享了Dragos在2020年工作中吸取的經驗教訓
，並為行業組織提供了保障其網絡安全的建議。

關於威脅態勢，報告指出工業部門的網絡風險急劇增長和加速
，首當其衝的是影響工業流程的勒索軟件、使信息收集和過程信息盜竊成為可能的入侵，以及來自針對ICS的攻擊對手的新活動，特別指出專門針對ICS的勒索軟件出現。另外，由於OThuanjingkejianxingdeyanzhongqueshi，gongyingliandefengxianyufayanjun。gongjiduishoutongchanghuimanmandijianliruqinjichusheshihexingdong，zhihoudexingdongwangwangyouyuzhiqiandegongzuoergengjiachenggonghejuyoupohuaixing。

關於ICS漏洞態勢，報告指出，2020年分析了703個ICS/OT漏洞
，比2019年增加了29%，表(biao)明(ming)支(zhi)持(chi)工(gong)業(ye)運(yun)營(ying)的(de)係(xi)統(tong)中(zhong)公(gong)開(kai)已(yi)知(zhi)漏(lou)洞(dong)的(de)增(zeng)加(jia)。對(dui)這(zhe)些(xie)漏(lou)洞(dong)和(he)相(xiang)關(guan)建(jian)議(yi)的(de)分(fen)析(xi)發(fa)現(xian)
，一(yi)小(xiao)部(bu)分(fen)漏(lou)洞(dong)可(ke)以(yi)被(bei)歸(gui)類(lei)為(wei)需(xu)要(yao)立(li)即(ji)采(cai)取(qu)行(xing)動(dong)的(de)
，例(li)如(ru)帶(dai)有(you)外(wai)部(bu)和(he)網(wang)絡(luo)可(ke)利(li)用(yong)漏(lou)洞(dong)的(de)關(guan)鍵(jian)漏(lou)洞(dong)。困(kun)難(nan)在(zai)於(yu)
，由(you)於(yu)錯(cuo)誤(wu)和(he)建(jian)議(yi)中(zhong)缺(que)乏(fa)可(ke)操(cao)作(zuo)的(de)指(zhi)導(dao)
，從(cong)業(ye)者(zhe)很(hen)難(nan)對(dui)這(zhe)些(xie)問(wen)題(ti)進(jin)行(xing)優(you)先(xian)級(ji)排(pai)序(xu)。

關於針對ICS的攻擊組織活動情況，報告指出，在整個2020年，Dragos在2020年之前確定的11個威脅行為組織仍然積極地針對工業組織開展活動。此外
，該公司又發現了4個新的威脅行為組織，其動機是確定是瞄準了ICS/OT。

四個新發現攻擊組織概況

2018年，Dragos報告稱，有5個組織直接攻擊了ICS
，或表現出收集ICS係統信息的強烈興趣。2019年
，Dragos報告說，這個數字已經增長到9個，現在共有15個攻擊行動組織。

Dragos表示，該公司在2020年的針對ICS的攻擊組織榜單上增加了4個新團體。這些威脅行為體對瞄準運營技術(OT)係統表現出了興趣。此外，前麵所述的11組仍然活躍。該公司告訴《安全周刊》


，新增加的攻擊組織“有可能破壞控製係統，但還沒有發現專門針對控製係統的攻擊案例。”

第一個新組織被Dragos命名為STIBNITE。tabeiguanchadaogongjiesaibaijiangdedianligongsi，tebieshifengliwolunji。suiranyameiniyaheesaibaijiangzhijiandechongturengzaichixu，danzhejiawangluoanquangongsibiaoshi，“衝突與輝銻礦開采之間的聯係並不緊密，Dragos團隊沒有就誰可能對攻擊負責做出評估。”

STIBNITE被發現使用PoetRAT惡意軟件從受害者那裏收集信息，它的目標可能是位於烏克蘭的風力發電場的供應商和維護者。

Dragos追蹤的第二個攻擊組織

，命名為VANADINITE（釩礦）。該組織被觀測到瞄準北美
、亞洲、歐洲和澳大利亞的能源
、製造和運輸部門。攻擊者們一直專注於收集信息，包括與ICS流程和設計相關的信息

，專家們認為，這些信息可以使其幕後支持者開發出專門的ICS目標鎖定能力。

Dragos認為，VANADINITE可能是名為ColdLock的勒索軟件的幕後黑手，該軟件被用來攻擊台灣
，包括一些國有工業企業，它們的業務被勒索軟件間接中斷。

VANADINITE被認為與Winnti有關——Winnti已經存在了十多年，據信起源於中國——還有一個與Winnti相關的活動組織被追蹤為LEAD。

Dragos追蹤的第三個新攻擊組織被命名為TALONITE。它(ta)似(si)乎(hu)專(zhuan)注(zhu)於(yu)突(tu)破(po)美(mei)國(guo)電(dian)力(li)部(bu)門(men)的(de)組(zu)織(zhi)，以(yi)期(qi)實(shi)現(xian)初(chu)始(shi)訪(fang)問(wen)。黑(hei)客(ke)一(yi)直(zhi)在(zai)利(li)用(yong)與(yu)電(dian)網(wang)相(xiang)關(guan)的(de)主(zhu)題(ti)進(jin)行(xing)網(wang)絡(luo)釣(diao)魚(yu)活(huo)動(dong)。他(ta)們(men)因(yin)使(shi)用(yong)惡(e)意(yi)軟(ruan)件(jian)而(er)聞(wen)名(ming)
，比(bi)如(ru)在(zai)2019年出現的用於針對美國公用事業公司的遠程訪問木馬(RAT)，以及在2020年被研究人員分析的遠程控製工具FlowCloud。

Dragos追蹤的第4個組織命名名為KAMACITE。該組織也以美國能源公司為目標。KAMACITE的行動與臭名昭著的與俄羅斯有關聯的組織“沙蟲”(ELECTRUM)的活動有重疊，據信該組織曾對烏克蘭的電網發起破壞性攻擊。盡管發現存在TTP的重疊，但Dragos認為，KAMACITE是一個獨特的群體，應該單獨進行追蹤。

該公司認為KAMACITE是一個“訪問支持團隊”
，幫助其他團隊專注於破壞性操作。

Dragos表示
，這類事件
，即對手進入ICS網絡，但目前沒有破壞的意圖，比公開報道的情況要常見得多。威脅來自學習ICS。雖然不是每一個攻擊都會影響到今天，但很多攻擊可能會影響到未來的攻擊。Dragos補充說，威脅的增長速度是驚人的。這可能是由於對手在過去5到10年增加了針對ICS的投入，他們的投入將繼續加速ICS威脅環境的惡化。

Dragos的安全建議

Dragos根據報告中的經驗總結
，推薦了5個關鍵的OT網絡安全倡議，以在2021年進行改進提高。

1 增加OT網絡可見性

90%的服務約定都包含了關於缺乏可見性的發現。可見性包括網絡監視、主機日誌記錄和維護收集管理框架(CMF)。

2 確定“皇冠”資產的優先級

到ICS環境的100%外部可路由網絡連接被認為是物理隔離的。“皇冠寶石”分析確定了影響關鍵物理過程的數字攻擊路徑。

3 增強事件響應能力

42%的事件響應服務項目發現組織沒有合適的事件響應計劃(IRP)， 75%難以公布網絡事件。

4 驗證網絡隔離有效性

88%的服務約定中包括關於不適當的網絡微隔離的發現。這包括IT和OT網絡之間的薄弱或隔離
、允許的防火牆規則集和外部路由網絡連接等問題。

5 將IT和OT的憑證管理分開

54%的服務約定中包含了關於共享憑證的發現。這包括IT和OT之間共享的帳戶、默認帳戶和供應商帳戶。共享憑據使對手能夠使用有效帳戶，這是跟蹤的ICS攻擊組織使用的頂級TTP。