網(wǎng)絡(luò)威脅針對能源行業(yè)的形式多種多樣，包括尋求破壞國家基礎(chǔ)設(shè)施的國家支持行為體、受利潤驅(qū)使的網(wǎng)絡(luò)犯罪分子以及故意制造破壞的內(nèi)部人士。

Darktrace針對英國和美國能源行業(yè)進(jìn)行的一項為期三年(2021年11月至2024年12月)的研究顯示，網(wǎng)絡(luò)攻擊一旦成功，后果可能十分嚴(yán)重，可能會破壞能源供應(yīng)并造成經(jīng)濟(jì)和社會損失。

“我們的三年分析揭示，英國和美國能源行業(yè)存在亟待關(guān)注的重大漏洞。安全團(tuán)隊?wèi)?yīng)優(yōu)先考慮以下三個關(guān)鍵領(lǐng)域：首先，減少OT系統(tǒng)向互聯(lián)網(wǎng)的重大暴露，因為能源行業(yè)在此類易受攻擊的配置方面首當(dāng)其沖，攻擊者可利用此類配置獲得初始訪問權(quán)限。其次，實施全面的資產(chǎn)可見性解決方案，因為該行業(yè)大多數(shù)組織缺乏適當(dāng)?shù)膸齑婀芾?，而這一點在我們觀察到的整個行業(yè)的供應(yīng)鏈攻擊中已被利用。第三，加強(qiáng)電子郵件安全協(xié)議，因為我們的研究表明，55%的成功攻擊仍然源自網(wǎng)絡(luò)釣魚活動。我們已確定國家和高級持續(xù)性威脅(APT)行為體以及專門針對工業(yè)控制系統(tǒng)的成熟攻擊者已潛入能源網(wǎng)絡(luò)。隨著該行業(yè)加速向凈零目標(biāo)推進(jìn)數(shù)字化轉(zhuǎn)型，安全團(tuán)隊必須確保防護(hù)措施同步發(fā)展。”Darktrace的分析主管Zoe Tilsiter(本報告作者)向記者介紹道。

電子郵件是初始攻擊載體

美國和英國以及各類能源客戶的情況顯示，55%的事件涉及電子郵件或軟件即服務(wù)(SaaS)，使其成為最頻繁的攻擊載體。收件箱仍然是傳遞惡意有效載荷的主要方式，其次是SaaS在整個部署中的漏洞傳播。

在大多數(shù)情況下，網(wǎng)絡(luò)釣魚郵件被用來竊取憑證，從而導(dǎo)致(通常是)Microsoft 365帳戶遭到攻擊。

18%的案件利用并部署了勒索軟件。常見的威脅行為體包括ALPHV/BlackCat和Fog，其他還包括Sodinokibi、Hunters International和KOK08，其中一些勒索軟件組織(例如Sodinokibi)采用勒索軟件即服務(wù)(RaaS)模式，13%的案件因網(wǎng)絡(luò)安全態(tài)勢薄弱而遭到初次攻擊。

自2022年以來，歐洲、中東和非洲(EMEA)地區(qū)針對可再生能源生產(chǎn)商和供應(yīng)商的攻擊明顯增多。2019年至2022年期間，霍尼韋爾(Honeywell)和施耐德電氣(Schneider Electric)等公司遭到疑似與APT28相關(guān)的間諜活動攻擊。

2022年4月，烏克蘭的變電站遭到Sandworm(俄羅斯武裝部隊總參謀部(GRU))的攻擊，其目標(biāo)是IT IEC-104協(xié)議，該協(xié)議與電力公用事業(yè)設(shè)備交互，向變電站設(shè)備發(fā)送電力流指令。

Lazarus組織(朝鮮贊助的APT)利用互聯(lián)網(wǎng)上暴露的VMware Horizon和Unified Access Gateway服務(wù)器上的Log4j漏洞(CVE-2021-44228)攻擊了美國、加拿大和日本等地的能源公司。

能源行業(yè)的AI應(yīng)用

AI正被廣泛應(yīng)用于各行各業(yè)，能源行業(yè)也不例外，然而，盡管AI潛力巨大，但該行業(yè)尚未完全實現(xiàn)AI驅(qū)動。業(yè)內(nèi)認(rèn)為，如果AI的使用未伴隨充分的培訓(xùn)，可能會給該行業(yè)帶來更多風(fēng)險。目前尚無確鑿證據(jù)表明AI已被用于攻擊能源行業(yè)。

采用AI的攻擊者可能會改變攻擊的方式、規(guī)模和速度，從而造成更大破壞。理論上，敵人可利用AI訓(xùn)練語言模型，從而在大范圍內(nèi)進(jìn)行偵察和鎖定目標(biāo)。

“關(guān)于AI將摧毀電網(wǎng)的說法，粗略一看似乎頗為可信，但實際上很多時候并不明智。我不認(rèn)為我們已接近那個程度，我們還差得遠(yuǎn)呢?！甭槭±砉W(xué)院(MITRE)網(wǎng)絡(luò)基礎(chǔ)設(shè)施保護(hù)創(chuàng)新中心(CIPIC)主任Mark Bristow說道。

過度依賴、外包和云端

該行業(yè)歷來過度依賴少數(shù)關(guān)鍵供應(yīng)商和系統(tǒng)，這種依賴集中化增加了單一針對性攻擊可能對關(guān)鍵國家基礎(chǔ)設(shè)施(CNI)產(chǎn)生連鎖影響的風(fēng)險。正如英國皇家聯(lián)合軍種研究院(RUSI)所警告的，“關(guān)鍵軟件系統(tǒng)由少數(shù)幾家公司控制”，由于缺乏供應(yīng)商多樣性而帶來嚴(yán)重風(fēng)險。

能源行業(yè)高管開始考慮將人機(jī)界面(HMI)和甚小孔徑終端(VSAT)等OT設(shè)備以及離散邏輯控制系統(tǒng)和5G通信托管在云端。云端設(shè)置有助于提升規(guī)模和速度，但也帶來了新的風(fēng)險。一位美國專家表示，“風(fēng)險在于最終將資產(chǎn)連接到以太網(wǎng)轉(zhuǎn)換器并插入云端”。

同時，能源公司正在外包更多工作，這意味著他們通常不了解其供應(yīng)商使用的軟件是什么，也不清楚其安全性如何。