網(wǎng)絡(luò)洞察 2025:OT 安全
正如 OT 技術(shù)與 IT 技術(shù)不同,威脅、可能的對手和潛在危害也不同。
OT 風險比 IT 風險更為極端。它可能導(dǎo)致社會混亂、個人傷害、國家經(jīng)濟受損以及國家安全受到威脅。歡迎來到 OT 安全。
操作技術(shù)是指用于操作物理設(shè)備的硬件和軟件,通常在工業(yè)環(huán)境中使用。這包括全系列的 ICS 和 SCADA 系統(tǒng)及其組件、從工廠車間收集數(shù)據(jù)并向其發(fā)送指令的 IoT 設(shè)備、可編程邏輯控制器以及允許人類操作員監(jiān)視和控制其余 OT 系統(tǒng)的人機界面 (HMI) 設(shè)備。
這些系統(tǒng)的性質(zhì)意味著它們高度集中在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。正如 OT 技術(shù)與 IT 技術(shù)不同,威脅、可能的對手和潛在危害也不同。這就是我們所說的 OT 安全。
2025 年 OT 安全——概述
所有網(wǎng)絡(luò)安全都是對手與防御者之間的持續(xù)戰(zhàn)斗。所有戰(zhàn)斗都有起有落。2025 年的 OT 也將如此:防御者會獲勝,對手也會獲勝。ADAMnetworks 創(chuàng)始人兼首席執(zhí)行官 David Redekop將 2025 年描述為 OT 的“好壞參半”。
“隨著舊設(shè)備達到使用壽命并被替換,新的默認設(shè)置將消除犯罪分子唾手可得的易于破解的憑證,”他解釋道。“另一方面,攻擊者的工具將繼續(xù)發(fā)展;因此,一旦攻擊者成功植入網(wǎng)絡(luò),可利用主機和服務(wù)的發(fā)現(xiàn)就會比以往更加高效,從而縮短駐留時間并加快攻擊速度。”
Viakoo副總裁 John Gallagher擔心,OT 仍被視為 IT 的弱勢一方。“OT 通常缺乏傳統(tǒng) IT 系統(tǒng)的保護,并且通常由非 IT 人員配置和管理(因此更容易被利用)。這就是為什么 IoT 設(shè)備通常使用默認密碼、不在分段網(wǎng)絡(luò)上并且固件補丁落后的原因。”
他特別擔心,已經(jīng)受到攻擊的系統(tǒng)(尤其是物聯(lián)網(wǎng)設(shè)備)將在 2025 年被利用。“OT 系統(tǒng)經(jīng)常用于發(fā)起 DDoS 攻擊,這些設(shè)備已經(jīng)部署了僵尸網(wǎng)絡(luò)大軍,等待被激活。到 2025 年,這些僵尸網(wǎng)絡(luò)可能會發(fā)起更復(fù)雜的攻擊,而且由于采用了多態(tài)編碼等方法,它們將更難被發(fā)現(xiàn)。”
RunSafe Security創(chuàng)始人兼首席執(zhí)行官喬·桑德斯 (Joe Saunders)對這些威脅的看法非常明確。他警告說:“我們可以肯定,民族國家、對手和 APT 將瞄準 OT 設(shè)備、軟件供應(yīng)鏈和關(guān)鍵基礎(chǔ)設(shè)施本身,并可能破壞它。”
“這些攻擊將變得越來越具有破壞性,從民族國家預(yù)先部署資產(chǎn)以在未來破壞基本服務(wù),到不法分子通過勒索軟件攻擊尋求經(jīng)濟利益。到 2025 年,”他繼續(xù)說道,“如果美國排名前 20 的城市因勒索軟件攻擊而失去一項關(guān)鍵服務(wù)(無論是電信還是水務(wù)),那也不足為奇。”
不過,他補充道:“我仍然樂觀地認為,美國將在保護關(guān)鍵基礎(chǔ)設(shè)施方面取得巨大進展。”
但別忘了,人工智能效應(yīng)是 OT 面臨的新威脅。Frenos 增長與戰(zhàn)略高級副總裁 Vivek Ponnada 表示:“到 2025 年,更復(fù)雜的攻擊可能會利用人工智能來提高準確性,而不是使用該技術(shù)來創(chuàng)建惡意代碼,目的是讓攻擊更難檢測和防御。”
Phosphorus Cybersecurity 首席戰(zhàn)略官 John Terrill
Phosphorus Cybersecurity的 CSO John Terrill擔心新的 OT 惡意軟件。“我預(yù)計明年我們將看到更復(fù)雜的 OT 惡意軟件。”過去十年來,OT 惡意軟件不斷發(fā)展,對不同的設(shè)備和協(xié)議提供了更多支持,而直到最近,人們還認為這些設(shè)備和協(xié)議還很模糊,難以操縱。
“這包括漏洞和技術(shù)庫,例如暴力破解密碼的能力。隨著攻擊者適應(yīng)曾經(jīng)不太了解的 OT 世界,很明顯,下一代 OT 惡意軟件支持多種協(xié)議、多種設(shè)備,并且比過去脆弱的技術(shù)工具更加注重結(jié)果。”
危險在于,更好、更易于訪問的惡意軟件將使 OT 攻擊更多地落入以經(jīng)濟為動機的犯罪分子(例如勒索軟件)的手中,而不僅僅是精英國家行為者。
規(guī)定
哪里有威脅,哪里就有法規(guī)。OT 自動受到大多數(shù) IT 法規(guī)的約束,但針對特定關(guān)鍵行業(yè)和特定 OT 設(shè)備還有一些額外的法規(guī)。
Armis OT 首席技術(shù)官 Carlos Buenano 表示:“隨著 OT 系統(tǒng)面臨的威脅不斷擴大,世界各地的監(jiān)管機構(gòu)正在出臺更嚴格的 OT 網(wǎng)絡(luò)安全合規(guī)要求。”他以美國 NERC CIP 的持續(xù)發(fā)展以及歐盟的 NIS2 和 CER 指令為例。
Carlos Buenano,Armis OT 首席技術(shù)官
最新的CIP-003 版本 9 的生效日期為 2026 年 4 月 1 日。NIS2(網(wǎng)絡(luò)和信息系統(tǒng))擴大了其范圍,涵蓋了 OT 密集型關(guān)鍵行業(yè),例如能源、交通、醫(yī)療保健、制造業(yè)和水利。與 NIS2 密切相關(guān)的 CER(關(guān)鍵實體復(fù)原力指令)于 2024 年 10 月 18 日生效。(NIS2 于 2024 年 10 月 17 日生效 - 雖然由于它是指令而不是法規(guī),但實際實施(即生效時間)在細節(jié)和日期上可能因不同的歐盟成員國而異)。
“到 2025 年,組織不僅必須實施這些保護措施,還必須通過審計和持續(xù)風險評估來證明合規(guī)性,”Buenano 補充道。
安全設(shè)計是硬件和軟件的隱性而非顯性要求。“2025 年,這將成為 OT 產(chǎn)品制造商的一大關(guān)注點,”Illumio 關(guān)鍵基礎(chǔ)設(shè)施總監(jiān) Trevor Dearing 表示。“制造商需要解決漏洞、提供自動更新并遏制潛在威脅,同時確保這些做法不會對此類設(shè)備的性能產(chǎn)生負面影響。”
雖然法律并未明確要求“安全設(shè)計”(在沒有可衡量的客觀指標的情況下很難實現(xiàn)),但法律還是敦促和鼓勵這樣做。例如,CISA 于 2024 年 5 月 8 日發(fā)布了“安全設(shè)計承諾”,“這是一項專注于企業(yè)軟件產(chǎn)品和服務(wù)的自愿承諾……”其中指出,“物聯(lián)網(wǎng)設(shè)備和消費產(chǎn)品等實體產(chǎn)品不在承諾范圍內(nèi),但希望展示這些領(lǐng)域進展的公司可以這樣做。”
有跡象表明監(jiān)管方面正在取得一些進展,但對于它們能否強制實施更安全的 OT 硬件,人們的懷疑仍然存在。“盡管在制造方面取得了一些進展——英國的《產(chǎn)品安全和電信基礎(chǔ)設(shè)施 (PSTI) 法案》和美國提出的物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)信任標志——但它們只是邁出了一小步,而且?guī)缀跬耆珜W⒂谥悄芟M物聯(lián)網(wǎng)產(chǎn)品,而不是任務(wù)關(guān)鍵型 OT 網(wǎng)絡(luò)物理系統(tǒng),如 PLC、HMI、RTU 和 SCADA 系統(tǒng),”Phosphorus Cybersecurity 的安全策略師 John Vecchi 說。
“像英國這樣的法律強制組織不采用默認密碼是一個開始,”加拉格爾補充道:“但還有很長的路要走。即使制造商改進了固有的設(shè)備安全性,用戶通常也不是 IT 人員,在密碼更改、固件更新和使用證書方面也不是本地人。”
這對于 2025 年的 OT 供應(yīng)商和用戶來說都將成為問題。法規(guī)隱含地要求安全性,但對于如何實現(xiàn)安全性卻提供很少的建議。
物聯(lián)網(wǎng)/工業(yè)物聯(lián)網(wǎng)
物聯(lián)網(wǎng)設(shè)備(通常稱為工業(yè)物聯(lián)網(wǎng),指工業(yè)環(huán)境中的設(shè)備)及其固有問題(丟失和遺忘但仍保持連接、不安全且經(jīng)常使用默認密碼)在業(yè)務(wù)轉(zhuǎn)型和 OT 的提升中發(fā)揮著重要作用。但它們將成為 2025 年 OT 的一個特殊痛點。CSC 首席技術(shù)官 Ihab Shraim 警告說:“物聯(lián)網(wǎng)設(shè)備的爆炸式增長將大大擴大攻擊面。”
“確保互聯(lián)系統(tǒng)的安全,特別是關(guān)鍵基礎(chǔ)設(shè)施的安全,將成為私營和公共部門的首要任務(wù)。”他以智慧城市為例:“網(wǎng)絡(luò)犯罪分子將利用市政物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的弱點,針對交通系統(tǒng)、公共設(shè)施和監(jiān)控網(wǎng)絡(luò)進行攻擊。”
該原則將適用于所有 OT 領(lǐng)域,從工廠車間到關(guān)鍵服務(wù)——物聯(lián)網(wǎng)被廣泛認為是 OT 的唾手可得的成果。
Kyndryl全球網(wǎng)絡(luò)和邊緣計算業(yè)務(wù)負責人 Paul Savill量化了物聯(lián)網(wǎng)的增長。“預(yù)計到 2030 年,全球物聯(lián)網(wǎng)設(shè)備部署數(shù)量將增至 254 億臺以上,幾乎是 2020 年 87.4 億臺設(shè)備的三倍。”
但他補充說,用于與物聯(lián)網(wǎng)設(shè)備通信的私有5G 網(wǎng)絡(luò)的興起也加劇了這一問題。“私有 5G 網(wǎng)絡(luò)的普及將產(chǎn)生一把雙刃劍,”他說。“雖然它們提供了尚未開發(fā)的加速數(shù)字化轉(zhuǎn)型的潛力,但私有 5G 網(wǎng)絡(luò)實現(xiàn)的自動化也允許黑客對暴露的網(wǎng)絡(luò)進行自主搜索。”
此外,“隨著各組織繼續(xù)利用私有 5G 網(wǎng)絡(luò)來構(gòu)建比傳統(tǒng)網(wǎng)絡(luò)技術(shù)更可靠的連接,其漏洞可能會對整個連接的基礎(chǔ)設(shè)施產(chǎn)生連鎖反應(yīng)。一個軟件或設(shè)備黑客就可能摧毀整個組織的所有關(guān)鍵任務(wù)資產(chǎn)。”
地緣政治和 OT
我們不能忽視地緣政治對安全的影響,尤其是對 OT 的影響。Barrier Networks 高級 SOC 分析師 David Neeson 警告稱:“當前的地緣政治格局對工業(yè)組織的安全產(chǎn)生了嚴重影響。這種影響將持續(xù)到 2025 年。”
“與此相關(guān)的一大威脅是俄羅斯目前正在進行的破壞烏克蘭盟友國家的工作。我們可以預(yù)見,俄羅斯國家支持的行為者將目光投向北約成員國,目的是奪取水、天然氣和電力等關(guān)鍵物資,”他繼續(xù)說道。
他認為,攻擊很可能會瞄準傳統(tǒng) IT 網(wǎng)絡(luò),然后通過業(yè)務(wù)轉(zhuǎn)型開辟的路線轉(zhuǎn)向 OT。“這些攻擊將是危險的,如果工業(yè)組織沒有做好準備,它們可能會嚴重損害目標國家及其公民。”但俄羅斯并非唯一值得我們擔憂的因素。
“根除已受攻擊的 ICS/OT/IoT 設(shè)備的成本和精力是巨大的;因此,問題在于誰控制它們(以及出于什么目的),以及是否有有效的緩解措施(如果不是補救措施)。”
他預(yù)計,到 2025 年,以 OT 為重點、受地緣政治驅(qū)動的國家活動將有所增長。“俄羅斯/烏克蘭沖突的趨勢可以作為一個很好的學(xué)習(xí)案例,”他表示。“最初,網(wǎng)絡(luò)攻擊以數(shù)據(jù)為重點,然后轉(zhuǎn)向使用 OT 設(shè)備收集情報,現(xiàn)在則變得更加物理化——正如噴灑在莫斯科上空的‘摩天大樓高’的污水柱(據(jù) The Register 報道,推測是來自烏克蘭的網(wǎng)絡(luò)攻擊)所證明的那樣。”
俄羅斯在烏克蘭境內(nèi)和周邊地區(qū)也十分活躍。IOActive 研究與戰(zhàn)略高級副總裁 John Sheehy 指出:“2024 年,與俄羅斯有關(guān)的威脅行為者在整個歐盟 (EU) 開展了一場物理破壞活動,目標是關(guān)鍵基礎(chǔ)設(shè)施、國防工業(yè)和歐盟社會的其他要素。”
“我評估,與俄羅斯有關(guān)的威脅行為者可能會加強偵察、建立持久性,并對為歐盟成員國服務(wù)的液化天然氣(LNG)出口和進口設(shè)施發(fā)動試探性網(wǎng)絡(luò)攻擊,這符合俄羅斯將天然氣出口到這些國家的戰(zhàn)略,以及其最近在歐盟的行動活動,”他補充道。
“簡而言之,”Vecchi 說,“如果過去的一年可以作為參考的話,對 OT 和 ICS 網(wǎng)絡(luò)物理系統(tǒng)的威脅只會在頻率、復(fù)雜性和范圍上繼續(xù)上升。從最近的攻擊和惡意軟件(如FrostyGoop和Fuxnet)到僵尸網(wǎng)絡(luò)(如 Volt Typhoon 的KV-Botnet),民族國家、黑客活動分子和勒索軟件團伙不僅越來越關(guān)注 OT 端點,而且還在利用對這些系統(tǒng)的更深入了解,使他們的惡意軟件更有效、更有針對性。”
他指出,這些 OT 設(shè)備缺乏基本的安全保障。“我們可能會看到威脅行為者轉(zhuǎn)向更少依賴復(fù)雜的 ICS 惡意軟件的攻擊,而更多地利用網(wǎng)絡(luò)連接的 OT 設(shè)備固有的內(nèi)置功能來造成網(wǎng)絡(luò)物理中斷。這種策略將與更通用且本質(zhì)上與設(shè)備無關(guān)的 ICS 惡意軟件相結(jié)合,允許攻擊者針對整個類別的設(shè)備(如 PLC 和 HMI),而不是僅針對特定的設(shè)備和制造商。”
Praxis Security Labs首席執(zhí)行官兼創(chuàng)始人 Kai Roer介紹了一個需要考慮的額外概念。他建議:“當今技術(shù)的最大轉(zhuǎn)變之一是從全球化轉(zhuǎn)向保護主義……隨著我們走向保護主義和孤立主義,我們都必須重新校準我們的傳感器。”
他不再認為,確保 OT 安全只能局限于技術(shù)控制。“安全團隊必須努力了解地緣政治和地緣金融趨勢和方向,并分析它們可能對他們、他們的行業(yè)以及他們的國家和盟友產(chǎn)生的影響。”
我們會看到更多攻擊嗎?“我認為答案是肯定的。”攻擊會變得更加復(fù)雜嗎?“肯定會,”他說。
但他繼續(xù)說道:“在我看來,可怕的是,如果你的敵人購買了或已經(jīng)購買了你使用的核心技術(shù),而他現(xiàn)在控制了這些技術(shù),你將如何保護自己?這是一個真實的情況,必須由董事會、高管和安全團隊進行討論。”在受地緣政治啟發(fā)的保護主義和孤立主義時代以及政治勢力范圍不斷變化的情況下,你在友好全球化期間購買產(chǎn)品的制造商可能不再是你的朋友。
Cloud Range技術(shù)副總裁 Tom Marsland也介紹了國際關(guān)系發(fā)生更廣泛轉(zhuǎn)變的可能性。“美國軍方和領(lǐng)導(dǎo)層認為‘大國競爭’。即使是現(xiàn)在,美國軍方也在討論‘在大國競爭中保持優(yōu)勢’的變化。預(yù)計國家針對 OT 的活動將會增加,因為我們的 OT 中有很多是支持我們軍事和情報部門的關(guān)鍵基礎(chǔ)設(shè)施。”
Redekop 補充道:“考慮到傳統(tǒng)戰(zhàn)爭的實際成本,OT 攻擊者的成本和附帶損害都很低——只需要配備對抗性網(wǎng)絡(luò)工具的先進紅隊即可。”地緣政治讓世界變得可怕,地緣政治 + OT 讓世界變得危險。
破壞性網(wǎng)絡(luò)犯罪
由于 OT 涉及網(wǎng)絡(luò)物理設(shè)備,破壞性的網(wǎng)絡(luò)損害轉(zhuǎn)化為破壞性物理損害的可能性是顯而易見的——而且在熱戰(zhàn)和冷戰(zhàn)時期,民族國家出于民族目的進行侵略的可能性同樣明顯。但針對 OT 的犯罪活動的可能性也很高。
在業(yè)務(wù)轉(zhuǎn)型之前,OT 與 IT 的其他部分是分開的,通常是通過物理隔離,使用神秘的技術(shù)。只有精英攻擊者才能攻擊 OT。這種情況不再適用。“隨著 OT 系統(tǒng)和 IT 系統(tǒng)變得更加融合,攻擊者已經(jīng)找到了造成破壞的方法,而無需依賴復(fù)雜的攻擊手段,”Darktrace 產(chǎn)品總監(jiān) Oakley Cox表示。
Darktrace 產(chǎn)品總監(jiān) Oakley Cox。
“這就是為什么去年一些最具破壞性的攻擊都來自黑客行動主義和以經(jīng)濟為目的的犯罪團伙——例如反以色列黑客組織劫持互聯(lián)網(wǎng)暴露的 PLC,以及勒索軟件攻擊導(dǎo)致醫(yī)院運營取消。”
更容易獲得 OT 加上主要網(wǎng)絡(luò)犯罪家族的能力不斷增強,將導(dǎo)致出于經(jīng)濟動機的勒索攻擊增加(另請參閱《網(wǎng)絡(luò)洞察 2025:惡意軟件方向》)。我們已經(jīng)在醫(yī)療保健勒索軟件攻擊的激增中看到了這一點。出于勒索目的,這種物理威脅很容易轉(zhuǎn)移到其他關(guān)鍵基礎(chǔ)設(shè)施部門。
這其中的地球物理危險在于,在高度緊張的時期,有政治傾向的網(wǎng)絡(luò)犯罪分子可能不太關(guān)心避免對某些目標造成物理損害和人身傷害。
Cox 表示:“到 2025 年,我們預(yù)計威脅團體出于政治意識形態(tài)或經(jīng)濟利益的動機而造成的網(wǎng)絡(luò)物理破壞將會增加,從而使 OT 威脅形勢在復(fù)雜性和規(guī)模上更接近 IT 形勢。風險最大的行業(yè)是那些嚴重依賴物聯(lián)網(wǎng)傳感器的行業(yè),包括醫(yī)療保健、交通運輸和制造業(yè)。”
防守加時賽
2025 年針對 OT 的威脅將會增加,而成功的 OT 攻擊可能造成的危害也會加劇。OT 安全性是否能夠得到足夠的改善以應(yīng)對這些威脅?部分可能,但足夠嗎?可能不會。可以肯定地說,2025 年 OT 威脅的增長速度將快于 OT 安全性的改善速度。
“在未來一年,我們不會看到制造商在 OT 設(shè)備安全方面發(fā)生太大變化,”Vecchi 表示。“對于設(shè)備制造商來說,現(xiàn)實情況是,安全性充其量只是其開發(fā)生命周期和制造流程中的事后考慮,而制造商更注重提供功能豐富的實用產(chǎn)品,而不是設(shè)計安全的設(shè)備。”
他警告說,朝著正確方向邁出的小步還不夠。“盡管在制造方面取得了一些進展,但這只是邁出了第一步,而且?guī)缀跬耆珜W⒂谥悄芟M物聯(lián)網(wǎng)產(chǎn)品,而不是工業(yè)物聯(lián)網(wǎng)、PLC、HMI、RTU 和 SCADA 系統(tǒng)等任務(wù)關(guān)鍵型 OT 網(wǎng)絡(luò)物理設(shè)備,”他說。
傳統(tǒng)上,運營技術(shù)需要保持運行(以避免整個制造過程停工),這仍然是至關(guān)重要的——人們不愿意也不信任變革。“OT 的性質(zhì)意味著變革是緩慢的,” DeNexus首席執(zhí)行官兼創(chuàng)始人 Jose Seara 指出。“供應(yīng)商提供的升級或替換通常需要停機,這必須仔細規(guī)劃。此類變更還與遠程設(shè)施的資源可用性有關(guān),必須考慮安全性。”
即使有意愿提高安全性,也未必有實現(xiàn)的可能。“大多數(shù)組織面臨的問題是,他們的大部分業(yè)務(wù)都是使用傳統(tǒng)產(chǎn)品進行的,而這些產(chǎn)品本身沒有更好的保護物聯(lián)網(wǎng)設(shè)備的方法,”Stratascale 網(wǎng)絡(luò)安全專業(yè)服務(wù)高級總監(jiān) Justin Flynn表示。
“因此,從在傳統(tǒng)環(huán)境中提供更安全的產(chǎn)品的角度來看,答案是否定的。但是,應(yīng)該增加建立緩解控制措施(例如分段)和反應(yīng)控制措施(例如事件響應(yīng))來處理這些情況。”
Savill 認為,安全的 5G 實施可能會有所幫助。“雖然私有 5G 網(wǎng)絡(luò)帶來了新的威脅,但它們也允許公司完全控制其網(wǎng)絡(luò)基礎(chǔ)設(shè)施,如果實施得當,可以提供更好的安全性、數(shù)據(jù)隱私結(jié)果和靈活性。”
但他認為這必須包括零信任集成方法。“零信任集成通過創(chuàng)建多個可見性點以及自動檢測和響應(yīng)來確保關(guān)鍵應(yīng)用程序、數(shù)據(jù)和系統(tǒng)的保護,并可以減少攻擊面。”
簡而言之,到 2025 年,針對 OT 的威脅可能會比我們防御這些攻擊的能力增長得更快。在妥善解決 OT 特定弱點(主要是由制造商解決)之前,防御 OT 潛在攻擊和爆炸半徑的主要防御措施可能是在防御 IT 方面已經(jīng)學(xué)到的經(jīng)驗教訓(xùn)。
