新闻中心

NEWS CENTER

OT网络攻击的过去、现在与未来


以下文章来源于数世咨询 ,作者茉泠

 

 

当人们阅读有关OT网络攻击的报道时,很容易被夸大的言辞所吸引,认为每一次攻击都是复杂且精密设计的。但全球的OT环境真的正在遭受着持续不断的复杂网络攻击吗?要回答这个问题,我们首先需要对不同类型的OT网络攻击进行分析,然后回顾历史上所有的攻击事件,看看这些类型之间有何区别。

 

01 网络攻击的类型

 

过去几十年来,人们逐渐认识到在IT鲜为人知的对应领域——OT中,提高网络安全实践的必要性。实际上,从未有过明确的定义来解释针对OT环境的网络攻击的构成部分是什么样的。即便有,但随着时间的推移,这些界限也逐渐变得模糊。因此,本文打算以讨论网络攻击是如何针对OT环境,或者说仅对OT环境造成影响来开始这篇文章,并解释为什么说未来区分这些不同的攻击类型至关重要。

 

本文如何定义OT

 

在对任何类型的OT网络攻击进行定义之前,我们需要首先对OT进行定义。大多数OT环境都是独一无二的,这取决于多个因素,例如不同的应用和用例、众多的供应商生态系统,以及工程化物理过程的多种方式等。因此,本文将参考PERA(the Purdue Enterprise Reference Architecture,普渡企业参考架构)——通常被称为普渡模型,如图1所示。

 

 

从顶部开始数,第4级和第5级被称为企业区域,这是传统IT所涉及的地方。接下来是第3.5级,即非军事区(DMZ),它充当了IT和OT之间以及OT周边的隔离器。DMZ以下的所有级别则都属于OT领域。第2级和第3级在某种程度上相似,因为它们都可以对物理环境进行监视、控制甚至配置。然而,第2级通常特定于单个单元或过程,甚至可能物理上靠近,而第3级通常是集中的,特别是在地理分散的组织中。第1级是OT的核心,在这里,诸如可编程逻辑控制器(PLC)之类的设备会根据它们被提供的逻辑来感知和操纵物理世界。最后,来到第0级,这实际上是物理世界,包含PLC用于操纵的传感器和执行器。

 

OT网络攻击的不同类型并不一定是按照它们所影响的资产来划分的,更多是基于攻击的目标资产及其攻击手段。更精准地讲,是根据定位的精确度、所需的技能集以及背后的意图来区分的。尽管这种差别听上去可能过于微妙,但它为防御者描绘了一个全新的威胁环境,并展示了传统IT安全控制措施的局限性。OT网络攻击可以分为五种类型,这些类型又被归纳为两个不同的类别。下面我们将详细探讨这些类别。

 

类别1: IT TTP

 

第一类OT网络攻击在公开报告中最为常见的,其特征在于攻击者仅使用信息技术(IT)的战术、技术与流程(TTP),尽管如此,这些攻击仍能以某种形式对生产活动造成干扰。在这一类别中,有三种类型的OT网络攻击。

 

类型1a: 针对IT

 

1a型攻击发生在攻击者尚未接触到OT环境的情况下。对于攻击者来说,他们并未直接针对受害者的OT环境发动攻击。而是通过未得到控制的IT网络攻击引发的连锁反应,例如网络勒索(Cy-X)延迟了发货系统。这种攻击所导致的后果可能表现为临时失去遥测数据或着完全停止生产等情况,并且需要一个复杂、耗时的修复过程才能恢复联网。需要注意的是,任何一种IT网络攻击都可能会导致OT环境的断联与关闭(作为响应和恢复措施的一部分),最终造成类似的影响。

 

类型 1b: 针对IT/OT

 

第二种类型,1b,是由于偶然或只是因为攻击者有能力而触及OT环境时发生的。在仍然采用IT TTP的情况下,攻击者通常会部署勒索软件或者为了双重勒索而窃取数据。然而,由于隔离区不够强大,或者说根本就不存在隔离区,攻击者的攻击可能会扩展到普渡模型的第2层甚至是第3层中的一些OT资产。虽然攻击者已经对OT资产造成了直接影响,但通常并非是有意而为之的。这种攻击类型所带来的影响可能包括失去配置能力甚至失去对OT环境的控制。

 

类型 1c: 针对OT 

 

这一类别中的第三种类型,1c,是最为微妙的,也是与下一个大类别最为接近的。在这种类型的攻击中,一个几乎没有或着完全没有OT能力的攻击者会有意使用IT TTP来针对组织基于Windows的OT资产发起攻击。这通常是为了引起受害者更强烈的重视或着造成比单纯影响IT更严重的后果。尽管此类攻击是专门针对OT资产的,但其目标范围也仅限于那些专注于IT领域的攻击者所熟悉的资产。这样的攻击中没有针对OT的特定意图或应用,也缺乏在影响生产方式上的精准度。与1b类型一样,此类攻击的影响可能包括配置能力或对OT环境控制权的丧失,生产活动仅可能因连锁效应或响应和恢复工作而受到影响。

 

类别 2: OT TTPs

 

第二大类包括了提及OT网络攻击时最可能想到的两种类型。这些攻击通过利用专为OT设计的战术、技术和流程(TTP)脱颖而出,其核心目标是以某种形式直接干预生产活动。

 

类型 2a: 粗略地针对OT目标

 

类型 2a,也被称作“干扰攻击”,是第二大类中的第一种也是总体上的第四种网络攻击形式。此类攻击策略并不考虑是否通过非军事区(DMZ),而是选择直接入侵OT系统。攻击者利用基础的OT知识和技巧,以一种笨拙而缺乏精细度的方式进行攻击。与仅限于干扰Windows系统的第1类攻击不同,它们可能会瞄准普渡模型更深层的OT资产,如可编程逻辑控制器(PLC)和远程遥控单元(RTU),这些资产更接近物理操作层面。此类攻击通常依赖于公开的攻击框架和工具,操作方式较为粗糙。其造成的影响可能包括停止PLC的循环或者粗略地修改PLC的输出值,显著影响生产流程等。然而,鉴于这种攻击方式通常较为明显,因此往往会迅速引起受害组织的响应与恢复。

 

类型 2b: 精准地针对OT目标

 

类型 2b为针对OT的高级攻击,是所有类型中最为复杂且出现频率最低的。这类攻击展示了攻击者在OT领域的高级能力,通过精确且复杂的手段执行攻击并造成影响。攻击过程涉及对操作流程的深入理解,通过特定于OT的信息收集策略来洞察物理环境及其与OT系统的交互方式。攻击者会根据他们渗透的OT环境来进行攻击定制化,旨在以非常精确的方式对该环境造成影响。这种攻击可能会导致的影响范围广泛,取决于被攻击的系统或流程的具体特性。与其它类型的攻击(如直接导致系统停机或数据丢失)不同,高级攻击往往不会选择直接停止目标生产活动的方式来实现其目的。除非攻击者的目的就是造成不可逆转的严重损害,否则他们可能会避免采用这种容易被发现并触发快速响应的攻击方式。攻击者可能更倾向于悄无声息地进行攻击,以便在不被立即发现的情况下达到其目的。

 

重要性所在

 

我们注意到,攻击者目前更倾向于执行第1类攻击,这种情况意外地为OT系统的安全提供了一层保护。现有的OT网络安全防护措施和理念很多都源自于IT领域,因而在识别和防止第1类攻击上更为有效。但随着人们获取知识和工具的途径日益增多,攻击者在专门针对OT方面的攻击能力也在不断增强,这也意味着第二类攻击的数量也将不断上涨。因此,开发出能够检测和阻止这些攻击的OT网络安全措施变得尤为重要,这是我们为应对未来挑战所需采取的首要步骤。为了实现这一点,我们需要明确不同的攻击类别和类型,以便更加准确地判断何时及如何面对第2类攻击的增加。

 

02 35年来的OT网络攻击

 

考虑到上文中关于OT网络攻击类型及其重要性的声明颇为大胆,接下来本文将通过实际数据来验证它们。为此,本文搜集并分析了1988年至2023年间所有可查找到的公开OT网络攻击事件。过去35年间,OT网络攻击最显著的特点是,从2020年开始,网络犯罪分子发动的攻击数量急剧增加。这一趋势与双重勒索的兴起相吻合,也与我们的Cy-X数据相一致。

 

 

双重勒索的兴起不只改变了针对OT系统的攻击者群体,它也同样影响了哪些行业领域会成为攻击目标。分析不同年份受攻击的行业数据,我们可以明显观察到受害行业从广泛多样转向了以制造业为主的集中态势。不过,鉴于Cy-X通常选择制造业作为攻击目标,这一转变符合预期。

 

 

图3展示了OT网络攻击的动态流向。为了便于理解,将攻击的年份按每5年一组的方式组织,从左边流向实施攻击的攻击者。攻击的流程继续从这些攻击者流向OT网络攻击的分类,进而到达具体的攻击类型。最后,攻击类型流向它在普渡模型中达到的最深层级的描述(可能影响到整个OT系统,甚至是从第5级开始)。

 

从这个视图中,我们可以清楚地看到一个重要的趋势——2020年攻击频次的剧增,这主要是不法分子对IT目标执行的IT TTP,这些攻击主要在普渡模型的第4级和第5级得到体现。这一点进一步证实了上文中所讨论的,在2020年双重勒索出现前后所发生变化的两个情形。

 

当深入分析不同的类别和类型时,很容易发现,导致OT系统受影响的网络攻击中,绝大多数属于第1类,且仅利用了IT TTP。此类攻击占比高达总数的83%,这一发现得到了大量证据的支持,尤其是占总数60%的1a型攻击的例子。这些攻击专门针对IT系统,即普渡模型的第4级和第5级。与此同时,只有17%的攻击明确使用了针对OT系统的TTP,其在整体中所占比例相对较低。

 

那么问题来了,接下来该怎么办?未来将会如何展开?OT网络攻击是否会仍然仅限于使用针对IT目标的IT TTP,并间接影响OT环境?还是说攻击者将会转而偏爱更加残酷的第2类攻击方式呢?

 

03 攻击者是否会转向使用 OT TTP?

 

无论使用OT的组织如何,目前的1a类Cy-X攻击对攻击者来说似乎相当有利可图,而这场类似于疫情的危机往往会在事态好转之前发生进一步恶化。然而,当组织开始通过建立良好的备份流程或者其他方式来对现有的Cy-X攻击形成有效的抵抗力时,攻击者改变自己的MO(modus operandi ,作案模式)自然也是符合逻辑的。鉴于使用OT的组织经常成为Cy-X攻击的受害者,那么攻击者的作案手法又是否会向第2类OT网络攻击进行转变呢?幸运的是,我们可以引用RAT( routine activity theory,常规活动理论)来进一步对该问题进行进一步探讨。

 

RAT是一种犯罪学理论,它指出当有动机的犯罪者、合适的目标,以及能力不足的防卫者,这三个因素存在时,犯罪发生的概率就会变高。基于我们目前所观察到的情况,以下是对每个要素的简要分析。

 

有动机的犯罪者

 

从收集到的OT网络攻击数据中可以看出,不管出于什么原因,攻击者目前似乎更加倾向于攻击那些恰好使用OT的组织。更重要的是,当前Cy-X攻击对受害者的OT环境造成的影响明确表明,犯罪者对造成的物理后果不予考虑,或者说他们可能甚至在有意识地制造人身安全威胁。最后,随着Cy-X勒索的支付率下降,攻击者很可能会改变自己的作案手法,转而针对受害者防御准备不足的某些方面。

 

合适的目标

 

目前,使用OT的组织大都是攻击者所特别关注的目标,因为在攻击者眼中生产活动能够带来巨大价值。当1a型Cy-X攻击这样的常规方法开始失效时,攻击者可能会直接将瞄准点对准OT本身。当前的数据显示,所有OT网络攻击中有40%(其中由不法分子进行的攻击中有16%),成功触达OT,并对其造成了影响。这些攻击涵盖了1b、1c、2a以及2b等攻击类型。无论是竞争对手,还是不法分子,他们都已经能够成功访问OT环境。如果其有意计划攻击组织的OT,不难想象他们确实具备实现此目的的能力。

 

关于OT是否是一个合适的目标这一问题,其中一个主要考虑因素就是:大多数攻击者对它是不够熟悉的。然而,尽管他们的技能还需继续提升,但如今已经有越来越多的OT网络安全知识相继出现,包括课程、书籍、演讲甚至专门的会议,以供其学习。此外,如PLC和HMI这样的OT设备变得不再那么昂贵,对于学习以及最终的攻击测试而言更加可行。所有这些因素都在从技术角度为攻击者降低了入门的门槛。

 

这个部分最根本的一点是受害组织本身的适宜性。这种适宜性包括大型的攻击面、进行攻击的可用时间,以及特定资产对受害者而言的价值。从以往的Cy-X攻击事件中可以看出,攻击者已经找到了许多可以在其受害者系统中利用的漏洞,并且很少遇到符合最佳网络安全实践的目标组织。

 

OT环境的正常运行时间以及运行效率通常都可以被精准地量化。这样就意味着OT受影响的损失要比加密或泄漏的数据更为明确。这样就使得使用OT的组织成为了更加合适的攻击目标。

 

能力不足的防卫者

 

由于IT网络安全控制的有效监管,一些攻击者开始考虑放弃使用IT TTP来进行1类Cy-X攻击。如今他们更倾向于利用目标组织OT方面的一些缺陷,而这些目标往往缺乏专门为OT设计的可用控制措施。

 

当然,技术安全控制并不是唯一有效的防护形式。RAT考虑了其他形式的防护,包括非正式的(如社区监督),以及正式(代表着执法机关和政府所做出的努力)。最终,OT 在颠覆犯罪生态系统方面将面临着相同的挑战。因此,缺乏强有力的守卫者以及对犯罪打击的有效性是一个现实问题。

 

04 一个POC: 死人的 PLC

 

当考虑是否会出现攻击者使用第2类攻击方式来针对OT环境时,我们一直在进行一些有趣且具有推测性的研究。这项研究最终创建了一种新颖而实用的Cy-X技术,它专门针对于OT设备,特别是PLC及其配套的工程工作站。我们称之为“死人的PLC”。

 

“死人的PLC”的起点是工程工作站,这是工程师创建配置并将其加载到OT环境中的资产。正如我们所见,OT网络攻击已经深入到了普渡模型中工程工作站所在的深层次(一般是2级或3级),这取决于许多因素。

 

当攻击者渗透到工程工作站时,他们可以查看项目文件中现有的“存活”PLC代码,对其进行编辑,并将新的配置下载到PLC中。“死人的PLC”利用了这种能力,结合现有的OT功能,以及目标组织安全控制薄弱等因素,来对受害者的整个运营过程进行勒索。

 

“死人的PLC”通过向合法的、运行中的PLC代码添加内容来创建一个隐秘的监控网络,其中所有的PLC保持功能正常,但不断地相互轮询。如果轮询网络检测到受害者正在试图抵御攻击,或者没有及时支付赎金,那么轮询将停止,随后“死人的PLC”触发类似于“死亡开关”的破坏行为。该“死亡开关”会迫使受害组织停用负责控制和自动化操作过程的合法PLC代码,并激活导致操作设备物理损坏的恶意代码。最后受害者别无他法,只能选择支付赎金。另外,受害者还存在一个唯一的恢复方法,就是粗暴地关闭并替换其操作过程中每一个受影响的PLC,但该方法会不可避免地导致生产时间的延长、货物的损坏以及新资产费用的增加。

 

05 总结:这一切都意味着什么?

 

本文分析探讨了OT网络攻击的历史,以理解不断变化的局势以及未来可能要面临的挑战。从2020年开始的最新数据分析表明,我们不应过分夸大OT网络攻击的影响。相反,我们应着眼于短期内解决Cy-X问题。这意味着要建立对OT环境安全的弹性与信心,以抵御普渡模型第4和第5级的攻击。同时,我们也需要明白这说起来容易,其实做起来难。

 

明智的做法不是盲目地假设攻击者会立即采用新型攻击来针对OT环境,从而回应不太可靠的赎金支付。但同时也不应该忽视这种可能性。可以说,不久的将来攻击者的作案手法确实会由Cy-X转变为针对于OT特定资产的攻击,只是这种转变可能需要一支特别具有创新性的网络攻击团队来实现。

 

数世点评

 

攻击者从依赖传统IT技术的攻击手段转向使用更加复杂的OT特定攻击技术的趋势,不仅反映了攻击者对更大收益的追求,也体现出他们不断适应和克服组织防御措施的能力。

 

然而,许多OT环境在设计之初并未充分考虑到安全威胁问题,更是给了攻击者可乘之机。为应对不断演变的威胁类型与攻击手段,组织必须重新审视自己OT 环境的风险水平、保护措施以及安全策略。

 

另外,OT环境中的网络安全策略必须经过精心地设计,采用不同于传统IT安全的方法,更侧重于最大限度地减少对物理流程的干扰,以平衡安全性和可靠性的需求与生产活动效率和稳定性的保障。

 

杭州中电安科现代科技有限公司

 

中电安科成立于2016年,是国内工业互联网安全行业领军者,自2021年起,公司相继获中国电科、中国中车、国家电网、长江资本等国资基金战略投资,正式进入网络安全“国家队”。凭借自身突出的的技术创新优势,在行业内率先入选国家级“专精特新‘小巨人’企业”。公司始终坚持与国内生态伙伴共同打造工业互联网安全产品的国产化赛道,融合可信计算体系,凭借覆盖审计检测、边界防护、终端防护、安全管理、攻防演练等全域的工业网络安全产品体系,以创新赋能大交通、电力、石油石化、智能制造、矿业开采、港口码头、军队军工等重要关键信息基础设施行业用户,为工业自主化、智能化转型保驾护航。

 

护航关基

支撑新质生产力安全

www.zd-sec.com

400-606-8226

华北区域 | 杨经理 13910211256

华东区域 | 李经理 19157600997

华南区域 | 张经理 18501793666

技术咨询 | 齐经理 15010390956

品牌合作 | 刘经理 15010923501

相关新闻