根据网络安全评级公司 Bitsight 的一份报告,过去几年,暴露在互联网上的工业控制系统 (ICS) 的数量持续减少,截至 2023 年 6 月已降至 10 万个以下。
什么是工业控制系统?
工业控制系统允许组织控制工业机械、设备和其他物理基础设施。工业控制系统的示例包括:
- 向控制器报告现场数据的传感器。
- 控制机械运动的执行器、开关、阀门和继电器。
- 控制电梯和自动扶梯、消防和安全系统以及安保系统运行的楼宇管理系统 (BMS) 。
- 自动油箱压力表 (ATG) 可监测商业油箱(如消费加油站的油箱)中的燃油油位。
这些 ICS 设备用于控制我们社会中的大部分物理基础设施,从交通信号灯到疫苗生产。攻击者对这些系统的控制和操纵是一个严重的问题。
暴露的工业控制系统的潜在后果
ICS 控制的许多物理系统对于一个地区或组织的运作至关重要。因此,这些系统的中断可能会导致严重的业务中断、对人类安全的威胁、数据和知识产权 (IP) 泄露、国家安全威胁等等。
利用物理基础设施的网络攻击并不新鲜:
- 上个月,有报道称 攻击者破坏了亚洲国家电网;
- 针对殖民地管道的勒索软件事件扰乱了美国东海岸的石油和天然气输送,导致短缺和恐慌;和
- 2016 年,Industroyer 恶意软件针对乌克兰基辅的电力供应系统,关闭了目标地区的电力。
许多工业系统(无论是否是关键基础设施)都使用旧的、难以修补的软件,但仍然在社会和组织中发挥着关键作用,因此修补停机时间成本高昂,或者给人们带来不便或痛苦。关闭电网或其他关键工业环境来解决问题所产生的深远影响通常比关闭信息技术 (IT) 环境所产生的影响更大。因此,与 IT 领域所经历的情况不同,OT 系统的安全保护更加复杂,并且存在非正统的瓶颈。
公司和研究人员定期扫描互联网以查找暴露的 ICS,在过去十年中,他们报告称看到了数万甚至数百万个系统,具体取决于他们的方法和研究长度。
然而,有趣的是看到同一家公司的逐年趋势,这可能具有一致的方法。
Bitsight 一直在跟踪面向互联网的 ICS的数量,将这些系统映射到其全球组织的库存中。值得注意的是,虽然该公司将已识别的系统称为 ICS,但根据目标协议,它们不仅包括工业环境中使用的系统,还包括物联网、楼宇管理和自动化设备以及其他运营技术 (OT)。
该公司的分析显示,暴露的系统数量已从2019年的约14万个逐渐减少到2023年6月的不足10万个。
图片
Bitsight 指出:“这是一个积极的进展,表明组织可能会正确配置、转向其他技术,或从公共互联网上删除以前暴露的 ICS。”
此外,同期受影响的组织数量从大约 4,000 个减少到 2,300 个。仍然拥有面向公众的系统的实体包括 96 个国家/地区的组织,其中包括财富 1000 强公司。
受影响最大的10个国家是美国、加拿大、意大利、英国、法国、荷兰、德国、西班牙、波兰和瑞典。
受影响最严重的行业是教育、技术、政府、商业服务、制造业、公用事业、房地产、能源、旅游和金融。
2023 年,最常见的协议是 Modbus、KNX、BACnet、Niagara Fox、Siemens 的 S7、Ethernet/IP、Lantronix、自动储罐压力表 (ATG)、Moxa 的 NPort 和 Codesys。
例如,就教育行业而言,最常见的协议是 BACnet、Niagara Fox 和 Lantronix,它们通常用于构建自动化和物理安全系统。
Bitsight 解释说:“虽然暴露的 ICS 总数一直呈下降趋势,但我们在逐个协议的基础上检测到了独特的行为。” “到 2023 年 6 月,通过 Modbus 和 S7 协议进行通信的暴露系统和设备比以前更加常见,前者从 2020 年起越来越普遍,后者从 2022 年中期开始越来越普遍。”
“然而,自 2021 年左右以来,通过 Niagara Fox 通信的暴露工业控制系统一直呈下降趋势。组织应意识到这些流行程度的变化,以便为他们的 OT/ICS 安全策略提供信息。降低 OT 风险的首要步骤之一是了解风险可能存在于何处,”该公司补充道。
Bitsight 还指出,公司应专注于根据其位置保护特定协议。例如,使用Codesys、KNX、Nport和S7协议的系统主要出现在欧盟,而ATG和BACnet主要出现在美国。
