2020年，一個名為耶路撒冷電子軍(Jerusalem Electronic Army)的黑客組織在社交媒體上發布了幾條帖子，聲稱已經破壞了屬於以色列公共供水基礎設施的控製係統。以色列國家網絡局(INCD)發出安全警報，要求能源和供水部門立即更改所有聯網連接控製係統的密碼
，減少聯網連接
，並確保安裝最新版本的控製器。

後續的媒體報道披露了該次安全攻擊事件的一些細節，值得關注的是黑客將SCADA（數據采集與監控）係統作為攻擊目標——工gong業ye從cong業ye者zhe都dou知zhi道dao，數shu據ju采cai集ji和he監jian測ce控kong製zhi是shi工gong業ye過guo程cheng中zhong極ji為wei重zhong要yao的de環huan節jie，它ta能neng幫bang助zhu管guan理li者zhe實shi時shi發fa現xian生sheng產chan問wen題ti並bing調tiao整zheng生sheng產chan計ji劃hua。可ke以yi說shuo，作zuo為wei工gong業ye控kong製zhi係xi統tong重zhong要yao組zu成cheng部bu分fen的deSCADA的安全至關重要，一旦遭遇黑客攻擊，輕則某個工業領域受到重創
，重則整個國家關鍵基礎設施癱瘓。

haoxiaoxishi，gaizuzhizuizhongmeiyouraoluanhuopohuaiyiseliedegongshui，ershizaizhanshizijidenengli，shitufabiaozhengzhihuowenhuashengming。buguo

，leisideshijianyijingzaiquanqiufanweiweigongyeyunyingdewangluoanquanqiaoxianglejingzhong。

上個月，羅克韋爾自動化（Rockwell Automation）發布了名為《工業運營中100多起網絡安全事件解剖》的調研報告，該份報告分析了122起網絡安全事件，其中包括對OT/ICS(工業控製係統)的直接威脅
，每起安全事件都收集和審查了近100個數據點。

根據對這些安全事件的分析，關鍵發現如下：

• 在過去短短幾年的時間內， OT/ICS 安全事件已超過 1991 年至 2000 年期間報告的總數。
• 能源行業受到的安全攻擊最為集中（39%），受到攻擊的頻率是排行第二垂直行業的三倍多。
• 網絡釣魚仍然是最為流行的攻擊技術 (34%)，這突顯了安全策略（例如氣隙
  、網絡分段、隔離、零信任和安全意識培訓）對於降低風險的重要性。
• 在超過一半的 OT/ICS 安全事件中，SCADA係統都被作為攻擊目標 (53%)
  ，PLC則是第二常見的攻擊目標 (22%)。
• 超過 80% 的威脅者來自外部組織，但在大約三分之一的安全事件中，內部人員無意中為威脅者打開了大門。
• 在報告調研的 OT/ICS 安全事件中，60% 導致運營中斷，40% 導致未經授權的訪問或數據泄露。然而
  ，安全攻擊的損害超出了受影響的企業範圍，因為更廣泛的供應鏈在 65% 的情況下也會受到影響。
• 研究表明，在大多數OT事件中
  ，攻擊者首先進入IT網絡。所以加強 IT 係統的安全對於打擊關鍵基礎設施和製造設施的網絡攻擊至關重要。

本文將對報告的精華內容進行編譯：

關鍵發現（1）

在最近短短幾年的時間裏，OT/ICS 安全事件已超過 1991 年至 2000 年期間報告的總數。

在2022年，報告顯示，針對Modbus/TCP端口502(一種常用的工業協議)的對抗性偵察增加了2000%
，這可能允許黑客控製物理設備並破壞OT操作。

安全攻擊事件的數據和頻率增加，不僅是因為確實有更多目標遭受其害

，還因為有更好的檢測工具和能力來幫助識別安全攻擊事件。

下圖具體顯示了該份報告分析的122起網絡安全事件的調查結果。

羅克韋爾自動化發現：

美國和整個歐洲對OTwangluoanquandejianguanzhengyuelaiyueqiang，youqishiduishejiguanjianjichusheshilingyudexingye。gengqiangdejianguanyiweizhegongyezuzhiyinggaipinggutamenmuqiandewangluoanquanbaohucuoshishifoucunzaiqianzailoudong，zengjiagengduodezhudonganquancuoshiyigenghaodibaohutamendegongyeyunying。

關鍵發現（2）

在本報告分析的所有安全事件中，60%的OT/ICS事故會導致運營中斷。

40%的OT/ICS事故會導致未經授權的訪問或數據暴露。

在超過一半的OT/ICS安全事件中，SCADA係統都是攻擊目標，其次的目標是PLC。中鋼協和美國國家安全局在一份OT網絡安全谘詢報告中對PLC的攻擊提出了警告。

更廣泛的供應鏈在大約65%的時間內也會受到影響。一家日本汽車製造商暫停了14家工廠的28條生產線的運營
，至少持續了一天。此前
，該公司的一個關鍵供應鏈合作夥伴——一家塑料零部件和電子元件製造商——疑似遭到了網絡攻擊。

關鍵發現（3）

如下圖所示的數據，能源行業受到的安全攻擊最為集中（39%），受(shou)到(dao)攻(gong)擊(ji)的(de)頻(pin)率(lv)是(shi)排(pai)行(xing)第(di)二(er)垂(chui)直(zhi)行(xing)業(ye)的(de)三(san)倍(bei)多(duo)。正(zheng)如(ru)所(suo)報(bao)道(dao)的(de)那(na)樣(yang)，基(ji)礎(chu)設(she)施(shi)受(shou)到(dao)攻(gong)擊(ji)後(hou)可(ke)能(neng)造(zao)成(cheng)的(de)巨(ju)大(da)影(ying)響(xiang)也(ye)為(wei)勒(le)索(suo)軟(ruan)件(jian)和(he)敵(di)對(dui)勢(shi)力(li)創(chuang)造(zao)了(le)更(geng)大(da)的(de)機(ji)會(hui)。然(ran)而(er)，發(fa)電(dian)廠(chang)、變電站和相關基礎設施也在逐步老化，其中許多甚至是在50年前建成的
，舊的基礎設施顯然在安全控製方麵有所不足。

美國政府已經認識到越來越多針對供水和廢水處理部門的安全事件，並在相關部門和其他關鍵基礎設施部門實施了應急法規。

監管機構加強報告要求是全球趨勢。政府正在強迫公共和私營實體披露安全攻擊事件
、數據被盜和贖金支付情況。歐盟的一項此類法規是《安全網絡和信息係統指令》。

關鍵發現（4）

超過80%的安全事件都始於IT係統的威脅。這可以歸因於不斷增加的互聯性
；大多數OT網絡通過IT網絡與外界通信。此外，攻擊者越來越多地利用麵向互聯網的係統，如人機界麵（HMIs）和工程工作站應用程序，這些都是主要的攻擊目標。

這強調了在工業互聯不斷增加的時代，建立正確的網絡架構以支持企業安全的重要性。如果不正確地設置網絡、將OT網絡分隔並進行氣隙隔離
，以及采用其他最佳實踐，如不斷進行員工安全意識培訓，告知他們攻擊的潛在風險會增加。

羅克韋爾自動化建議：

隨著安全意識的進一步進化
，對更強大的OT安全保護的需求也在增加。僅僅在IT和OT環境之間設置防火牆不再足以有效地分隔IT和OT網wang絡luo以yi防fang止zhi攻gong擊ji。遠yuan程cheng訪fang問wen也ye是shi如ru此ci
，攻gong擊ji者zhe經jing常chang能neng夠gou輕qing易yi地di規gui避bi標biao準zhun做zuo法fa，比bi如ru密mi碼ma。如ru果guo沒mei有you更geng強qiang大da的de保bao護hu措cuo施shi，終zhong端duan設she備bei將jiang有you可ke能neng被bei滲shen透tou。必bi須xu考kao慮lv額e外wai的de對dui策ce，包bao括kuo一yi個ge明ming確que定ding義yi的de事shi件jian響xiang應ying計ji劃hua，可ke以yi幫bang助zhu您nin的de組zu織zhi迅xun速su應ying對dui和he從cong網wang絡luo安an全quan事shi件jian中zhong恢hui複fu元yuan氣qi。

關鍵發現（5）

超過80%的攻擊者來自組織外部。

內部人員在超過三分之一的安全事件中扮演了一個“間接”的角色。內部人員的“間接”角色主要是成為釣魚攻擊的受害者。

在Cyentia的研究中，將近60%的攻擊者來自與國家相關的團體。許多攻擊者的身份和地理位置都被隱藏起來。威脅行為者付出了巨大的努力來掩蓋這些信息。

報告顯示，發起安全攻擊最常見的動機是政治或經濟驅動。

關鍵發現（6）

在本報告選取的樣本中，歸因於國家相關團體的攻擊比其他研究更高
，幾乎占所有攻擊的60%。在其他研究中——比如Cyentia研究院發現，隻有略超過1%的網絡攻擊事件可以歸因於國家行為。

然而

，令人驚訝的是
，考慮到國家相關團體通常想要影響關鍵基礎設施、供應鏈、從關鍵係統中竊取數據

，或者隻是讓OT係統脫機
，上述結論並非不合邏輯。

在2020年一次臭名昭著的攻擊中，俄羅斯政府支持的黑客利用係統漏洞入侵了200多個係統。攻擊者使用來自至少三個組織的憑證來執行攻擊，影響了多個美國政府係統、北約、英國和歐盟係統。結果，美國對俄羅斯實施了製裁。而滲透和泄露國際政府數據的影響需要數年時間才能完全消解。

關鍵發現（7）

釣魚在初始訪問（攻擊）技術中一直占據著最簡單、最成功的地位。釣魚已經發展到包括電子郵件
、在線、短信/文本消息和語音/電話等多個領域，使其成為網絡犯罪分子的強大武器。

外部遠程服務在IT和OT事件的初始訪問方法中排名第二。雖然其意圖是為合法用戶提供遠程訪問權限
，但自2020年以來
，這已成為攻擊者的入口。

智能目標：隨著攻擊者的技術水平提升，網絡上的任何“智能”設備都可能成為攻擊目標。使用實時網絡資產清單、全天候威脅檢測以及有關可移動媒體的適當策略和程序等最佳實踐，有助於防止IT攻擊轉向OT，從而有可能關閉組織的供應鏈
、流程，甚至整個物理工廠。

關鍵發現（8）

根據MITRE的說法，“ATT&CK for ICS側重於那些以攻擊工業控製係統為主要目標，試圖幹擾工業控製流程、破壞財產或通過攻擊工業控製係統來對人類造成臨時或永久傷害或死亡的對手。”

在IT環境中，攻擊通常從網絡發現開始，這用於幫助攻擊者了解資產的位置以及如何訪問它們。

在OT領域，攻擊者通常試圖直接影響工業流程。許多人試圖以獲取金錢為目的，比如贖金

，或是追求其他涉及經濟或軍事優勢的結果。2022年
，美國境內威脅行為者攻擊工業組織的數量增長了35％，導致同一時期內數據泄露事件增加了87％。

• 攻擊者使用橫向工具傳輸
  ，利用遠程服務和標準應用層協議來操縱操作員的視圖，並且在許多情況下接管特定的OT進程。

關鍵發現（9）

數據泄露對企業的影響最大。

當發生破壞業務的攻擊時，影響是廣泛的。即使沒有wannacry式的事件，組織也會受到負麵影響。

讓我們來看看這些ATT&CK分類的影響——首先，我們從MITRE企業框架進行比較。在“通過C2通道外傳”的攻擊中，攻擊者竊取數據
，然後使用現有的命令和控製通道將數據外傳
，這是此類事件影響企業運營的主要方式。

另外兩種攻擊類型
，“數據加密影響”和“數據破壞技術”，是網絡攻擊影響企業的前三種方式。總的來說，下圖中顯示的前三種MITRE攻擊和攻擊技術最常與勒索軟件攻擊相關聯。

關鍵發現（10）

“操縱視圖”和“操縱控製”是影響ICS環境的前兩種主要方法。

進一步看
，排名前三的ICS ATT&CK分類之一是“生產力和收入損失”。當我們將這種方法與先前提到的“操縱視圖”和“操縱控製”的攻擊類型聯係起來，可以清楚地看到在這些事件中供應鏈可能會受到影響。如果惡意用戶操縱了負責生產的OT/ICS係統的視圖和控製，他們還可能滲透並影響組織合作夥伴
、供應商和客戶的整個產品供應鏈。

dangwomenhuiguzaifeinengyuanlingyushiyongdejishushi
，gongyinglianyingxiangshizuichangjiandesangejieguozhiyi。zhezhongshenyuandeyingxiang
，yuanyuanchaochulezuzhidebianjie
，yinciduiyugexinggeyedezuzhilaishuo，baohuzishenmianshouwangluogongjijiqizhongyao。

寫在最後

隨著越來越多的係統、網絡和設備連接到OT/ICS環境中
，建立強大的現代OT/ICS安全計劃必須成為每個工業組織維護安全
、可靠運營和持續可用性的責任的一部分。

報告的最後，羅克韋爾自動化也給出了一些加強OT安全的建議：

• 專注於縱深防禦，包括借鑒零信任（Zero Trust）和NIST網絡安全框架等。
• 通過更強的密碼和多因素身份驗證來確保遠程訪問的安全性。
• 24/7 全天候監控威脅。
• 將IT和OT網絡進行分隔，充分利用防火牆配置
  ，以防止IT攻擊滲透到OT環境中。
• 持續培訓內部員工，使其了解最新的網絡釣魚詐騙，並學會如何避免它們。