据信,该恶意软件是通过spear phishing (网络钓鱼)电子邮件发送的,并隐藏在假冒的Microsoft Office附件中。
我们所知道的第三次也是最令人震惊的袭击发生在2017年。网络恐怖分子假定远程控制一个广为报道的位于沙特阿拉伯的工作站。他们使用一种称为Triton的新型恶意软件来接管核电站的安全仪表系统(emSIS)。同样,恶意软件是专门为工业控制系统配置的,该系统也称为操作技术(OT)。
调查人员认为,这是一种蓄意破坏行为,旨在通过破坏防止灾难性工业事故发生的安全系统来引发爆炸。以前的攻击集中在破坏数据或关闭能源工厂。根据一些报告,只有编码错误才能防止这种情况的发生。证据指向该事件源于另一个网络钓鱼或鱼叉式网络钓鱼软件的攻击。
二、经验教训
这些事件向我们表明,至少在过去的十年中,黑客一直在创建针对操作技术的恶意代码。三起事件都是由恶意软件触发的,这一事实也说明,我们需要对网络安全采取一种综合的方法,将过程、技术和人员结合起来。
网络安全专家公司(Security in Depth)的首席执行官迈克尔•康纳利(Michael Connory)最近告诉澳大利亚广播公司(ABC),“全球90%的网络攻击都是从电子邮件开始的”。网络的安全性取决于整个链条中最薄弱的环节,这是不言而喻的。
另一个关键问题是理解IT和OT之间区别的重要性。随着威胁向量扩展到诸如智能恒温器之类的基础资产,操作技术变得越来越容易获得。面临的挑战是,网络安全计划往往由IT路径主导。事实上,能源等行业以及包括制造业、医疗保健和运输业在内的许多其他行业的运营限制意味着我们需要一种网络安全路径,同时也保护OT。
IT的主要焦点是数据及其自由、安全流动的能力。IT存在于虚拟世界中,数据在虚拟世界中得以存储、检索、传输和操作。它是流动的,有许多移动部件和网关,这使其极其脆弱,并为各种不断演变的攻击提供了一个巨大的可攻击表面。攻击防御是指保护每一层结构,并不断识别和纠正弱点以保持数据流动。
与此相反,OT属于现实世界,它确保了所有指令动作的正确执行。虽然IT必须保护系统的每一层,但OT关乎维护系统的控制,这些系统可能是打开或关闭、封闭或开放的。OT系统是为特定的操作而设计的,例如确保打开或关闭发电机,或确保化学品罐充盈时溢流阀打开。