过去一年，勒索软件和数据泄露席卷了 OT 和工业领域

由于保持运营的重要性，工业公司和公用事业公司更有可能付费，从而吸引更多的威胁团体并关注 OT 系统。

去年，四分之三的工业企业遭受了勒索软件攻击，影响运营技术 (OT) 的攻击比以往任何时候都多——这表明工业部门的脆弱性和支付赎金以维持生存的倾向导致攻击激增。

根据网络物理防御公司 Claroty 发布的一份报告，在过去 12 个月中，超过一半的工业企业 (54%) 遭受了勒索软件攻击，影响了其运营技术，无论是直接影响还是因为链接的 IT 系统受到攻击12 月 6 日。与该公司 2021 年的上一份报告相比，攻击对 OT 系统的影响显着增加，当时 47% 的公司受到勒索软件影响其运营。

事实上，针对工业企业和关键基础设施提供商的攻击已经变得非常普遍。位于匹兹堡的阿利基帕市政水务局最近遭受了网站损坏，原因是与伊朗有关的威胁组织 Cyber Av3ngers 迫使其关闭水压监测系统并更改了网站的登陆页面。事实证明，该事件是11 月底开始的针对美国各地供水设施的更广泛网络攻击的一部分。但关注的不仅仅是公用事业公司：2022 年 2 月，轮胎制造商普利司通在 LockBit 2.0 勒索软件组织成功入侵其网络后，不得不关闭其制造网络数天。

尽管 Claroty 调查显示，在这两个时期内，针对 OT 系统的直接攻击保持一致，超过三分之一 (37%) 的公司在 2023 年遭受了影响 IT 和 OT 系统的攻击，但与Claroty 首席产品官 Grant Geyer 表示，2021 年，27% 的组织将遭受双重影响攻击。

他表示：“这些数字与去年一样令人震惊，它们不仅表明了问题的严重性，而且表明这是一种极其可行的商业模式，并且使运营面临风险，而不仅仅是 IT。” “由于许多 OT 系统都是基于 Windows 的，因此由于分段不佳或没有分段，勒索软件经常从 IT 环境溢出到 OT 环境。”

尽管针对工业企业的勒索软件事件数量有所增加，但它们始终占所有攻击的三分之一。资料来源：NCC 集团。

网络安全服务公司 NCC Group 的数据显示，总体而言，过去一年中，工业部门仍然是每月最大的勒索软件目标。与去年同月相比，10 月份的勒索软件攻击增加了 81%，而针对工业部门的攻击通常占所有勒索软件事件的三分之一。

NCC 集团工业部主管肖恩·阿罗史密斯 (Sean Arrowsmith) 表示，由于最近的地缘政治冲突，威胁活动总体上有所增加，导致国家支持的行为者和黑客活动分子发起工业攻击。

他说：“禁用和/或削弱能源基础设施的能力可能会导致消费者的使用受到限制甚至无法使用，从而加剧战争和冲突带来的不稳定和混乱。” “这些破坏行为影响了国际安全问题中最重要的权力动态。”

工业界对攻击者：“嘿，我们会付出代价”

攻击工业公司有吸引力的原因之一是：运营中断导致支付赎金的可能性更大。通常情况下，公司支付勒索软件的倾向在很大程度上取决于他们的收入——根据 Sophos 的年度勒索软件状况报告，较小的公司支付勒索软件费用的比例为 36%，而不是依赖备份，而较大的公司支付勒索软件费用的比例为 55% 。

与此同时，根据 Claroty 的《2023 年全球工业网络安全状况》报告，工业领域的受害者支付费用的比例高达三分之二 (67%) 。

Claroty 的 Geyer 表示：“只要看看三分之二的组织正在支付赎金这一事实，就可以了解为什么如此多的组织受到攻击。” “运营中断让 CIO 左右为难，迫使他们做出这些站不住脚的情绪化决定。”

第三方是依赖 OT 的公司（例如工业公司和公用事业公司）需要解决的另一个弱点。

例如，根据安全指标公司 SecurityScorecard 的数据，美国所有排名前 10 的能源公司都有一家第三方供应商在过去 12 个月内遭受了入侵，导致其业务遭到破坏。虽然该公司跟踪的近 2,000 家第三方提供商中只有 4% 遭受直接泄露，但这导致全球 90% 的能源公司在一年多的时间里都在应对这些违规行为的后果。

SecurityScorecard 员工威胁研究员 Rob Ames 表示，仅 MOVEit 漏洞就影响了数百家能源公司。

他说：“这种对数据泄露的指控，然后威胁数据泄露，正在成为勒索企图曝光的越来越核心的部分，而不是勒索软件的实际部署。” “我想说，更多依赖于声称的曝光而不是实际加密的勒索企图是一种趋势，当然，仍然是出于经济动机。”

OT 安全需要更多政府帮助

许多自来水公司和其他关键基础设施公司都是小型本地公司，或者由城镇和县运营。因此，他们在部署网络安全方面往往落后。Claroty 的 Geyer表示，在殖民管道遭受勒索软件攻击两年后，关键基础设施所有者仍然没有做好防范勒索软件的准备，这通常是因为经济效益不高。

他说：“某些领域的自由市场力量无法从经济上推动社会中受保护程度最低/最脆弱的方面发生变化。” “这是整个政府介入的机会，不仅要推动监管，还要推动资金投入，以帮助确保许多在网络方面投资不足的实体——我们所说的‘目标富裕，网络贫穷’部门得到适当的保护。辩护。”

NCC 集团的阿罗史密斯表示，公司内部不需要拥有深厚的专业知识，但应该专注于可见性、规划和事件响应练习。

“为 IT 和 OT 制定强大的事件响应计划，然后排练和演练该计划，以便所有利益相关者都明确角色和职责，”他说。