SolarWinds供應鏈APT攻擊的風暴正在席卷全球
，同時也為工控係統安全敲響警鍾，因為與曾經波及工控係統的NotPetya和Havex類似，SolarWinds供應鏈攻擊中的SUNBURST和SUPERNOVA惡意軟件（後門）再次向世人證明
，當下的防火牆、防病毒係統、入侵檢測係統對此類攻擊無能為力
，而隨著OT網絡與企業網絡的集成化發展
，類似SolarWinds供應鏈漏洞的巨大威力已經引起了勒索軟件組織的極大興趣。如果能夠殺死甚至控製工控係統OT網絡的關鍵進程，那麼勒索贖金的籌碼也許將不再是解密數據，而是花錢消災甚至拿錢換命。

　　根據Dragos和X-Force本周發布的《針對工控係統的勒索軟件攻擊評估報告》，過去兩年針對工業實體的勒索軟件攻擊暴增了500％以上（下圖）。

　　勒索軟件在工控係統相關網絡攻擊中的占比（2018-2020） 數據來源：Dragos

　　zhidezhuyideshi，yuqitaleixingdewangluofanzuileisi，zhenduigongkongxitongdelesuoruanjianshijiandekuaisuzengchangsihuyeyuquanqiuxinguanbingdudaliuxingtongbu。yanjiurenyuanzhichu：“勒索軟件的攻擊者利用用戶對健康和安全的關注，使用新冠病毒主題的網絡釣魚誘餌進行初始訪問操作。”

　　北美地區占半數

　　以下是2018-2020年，針對工控係統的勒索軟件攻擊的地理分布：

　　可以看出

，北美是工控勒索軟件的重災區，占比接近一半，歐洲（31%）和亞洲（18%）排名二、三。

　　製造業工控勒索軟件增長三倍

　　行業分布方麵，製造業是工業勒索軟件增長最快的領域，從2018年到2020年數量增長了三倍。過去兩年
，製造業也是勒索軟件攻擊最為頻繁的行業
，攻擊數量占比高達36%。

　　在(zai)某(mou)些(xie)情(qing)況(kuang)下(xia)

，攻(gong)擊(ji)者(zhe)的(de)重(zhong)點(dian)目(mu)標(biao)是(shi)冷(leng)藏(zang)設(she)施(shi)和(he)生(sheng)物(wu)醫(yi)學(xue)，以(yi)及(ji)製(zhi)藥(yao)商(shang)正(zheng)在(zai)研(yan)究(jiu)和(he)開(kai)發(fa)病(bing)毒(du)疫(yi)苗(miao)和(he)分(fen)配(pei)方(fang)法(fa)
，這(zhe)可(ke)能(neng)會(hui)破(po)壞(huai)重(zhong)要(yao)藥(yao)物(wu)的(de)研(yan)發(fa)和(he)分(fen)發(fa)。

　　工控勒索軟件三巨頭

　　2018年-2020年，Dragos和X-Force記錄了194次針對工控係統（包括向工控係統提供OT基礎設施和環境的可管理服務提供商和電信公司）的勒索軟件攻擊

，最猖獗的工控係統勒索軟件家族有九個，其中Revil（Sidinokibi，17%）、Ryuk（14%）和Maze（13%）排名前三。（下圖）

　　另據今年夏天FireEye的報告，已經發現七個勒索軟件家族開始針對運營技術（OT）軟件進程，有數十個工控係統軟件進程被列入勒索軟件殺死進程的“黑名單”中。

　　工控勒索軟件的威脅趨勢

　　分fen析xi還hai發fa現xian
，未wei來lai勒le索suo軟ruan件jian將jiang成cheng為wei工gong控kong係xi統tong的de主zhu要yao威wei脅xie之zhi一yi。越yue來lai越yue多duo的de勒le索suo軟ruan件jian組zu織zhi開kai始shi將jiang數shu據ju盜dao竊qie和he勒le索suo操cao作zuo納na入ru其qi攻gong擊ji技ji術shu中zhong，與yu通tong過guo泄xie露lu知zhi識shi產chan權quan和he其qi他ta關guan鍵jian數shu據ju破po壞huai操cao作zuo相xiang比bi，勒le索suo軟ruan件jian帶dai來lai的de影ying響xiang和he損sun失shi可ke能neng更geng大da。

　　類似EKANS這樣的能夠殺死關鍵工業控製係統進程的新勒索軟件

，有可能成為未來工控係統攻擊的基礎和主流方向。

　　此外
，報告還預測
，將有國家黑客行動將勒索軟件作為掩護和偽裝。（編者：例如近日伊朗Pay2Key組織針對以色列的行動。）

　　根據報告

，在公共網站上被盜和泄漏的數據也可能為工控係統攻擊者提供受害者數據，這些信息可以指導未來的ICS破壞性攻擊。

　　緩解建議

　　為了與ICS環境中的勒索軟件作鬥爭
，研究人員建議資產所有者和運營商采用有效的深度防禦安全策略，重點如下：

• “確保了解網絡的相互依賴性，並進行分析
  ，以確定可能破壞業務連續性和生產的潛在弱點和漏洞。”

• 在所有IT環境中都確保盡可能地啟用MFA（多因素身份認證），尤其是安全設備
  、關鍵網絡服務（例如Active Directory）與主機、運維和第三方供應商人員等。　　

• 確保遠程訪問服務如VPN和RDP連接符合工業標準安全證書並與OT域隔離。　　

• 確保所有員工都接受釣魚攻擊安全意識培訓。　

• tongguozainanhuifumoniceshiquebaoqiyeyuyunyingwangluoxitongshujudemeiribeifenheweihudeyouxiaoxing。lixianbeifenshizuianquandexuanze，danshiruguochengbenyuanyinwufashixian
  ，wubixianzhiduibeifenshujudewangluofangwenquanxian——隻能讀不能寫。對存儲備份重建計劃的測試也極為重要。　　

• 製定針對工控係統勒索軟件的事件響應計劃，並通過網絡靶場等方式對響應計劃進行壓力測試。　　

• 建立一個“業務防空洞”
  ，當企業被勒索軟件全麵攻陷
  ，攻擊緩解工作正在進行時，部分業務依然可以在“防空洞”臨時運行不至中斷。　　

• 利用工業級威脅檢測機製來識別OT係統中的惡意軟件
  ，在網絡層麵強化深度防禦措施，浙江大大增強防禦和分析人員的調查能力。