根据美国工业控制系统网络紧急应变小组(ICS-CERT)的最新报告显示,在2009年到2011年间,美国关键基础设施公司报告的网络安全事件数量出现急剧增加。
在2009年,ICS-CERT仅确定了9起安全事件报告。在2010年,这个数字上升到41起。在2011年,为198起,在这198起事件中,7起事件导致ICS-CERT不得不部署现场事件响应小组,21起其他事件需要获取高级分析实验室的远程分析支持。根据该报告显示,涉及水利部门的安全事件占所有事件的一半以上,因为这个部门涉及大量面向互联网的控制系统设备。
Industrial Defender市场营销副总裁Kim Legelis表示,虽然并不是所有的报告事件都与网络攻击有关,但增加的幅度多少有些令人吃惊。
她表示:“虽然关键基础设施网络安全人员意识到威胁正在不断升级,但从该报告的数据来看,实际情况比预期的更严重。”
总体来看,ICS-CERT在2009年、2010年和2011年间执行了17次现场评估。最常见的网络入侵攻击方式是鱼叉式网络钓鱼攻击,占据17次事件中的7次,其余的11起事件涉及“复杂的攻击方式”,此外,有几起事件的目标都是数据盗窃。
“没有直接针对控制系统网络的入侵攻击,”该报告指出,“然而,鉴于很多这些企业网络的互联性质,一旦攻击者进入网络,他们就可能移动到网络的其他部分,包括控制系统(他们可能破坏关键基础设施操作)等。”
引人关注的是,在17起事件的12起事件中,企业原本可以通过部署安全最佳做法(例如登陆限制和正确配置防火墙)来阻止攻击,减少安全团队检测或者降低攻击影响的时间。就在上周,ICS-CERT发现,多个使用“默认用户名和密码”的系统可以通过互联网访问,这些系统包括Echelon i.LON产品,该产品被部署在电机、水泵、阀门、传感器和其他控制设备中。
根据ICS-CERT表示,在这17起事件中,10个企业原本可以通过使用入口/出口过滤掉已知的不良IP地址或域名来检测到入侵攻击。在3起事件中,外部企业已经通知资产所有者存在网络攻击或者入侵事件,而在另外两起事件中,第三方(例如咨询公司或者集成商)发现了入侵攻击。
“风险管理和评估仍然是一门艺术,而不是一门科学,”nCircle公司安全研究和开发主管Lamar Bailey表示,“我们需要IT和安全机构之间更多的协作以大幅度提高风险评估的准确性。”
为了应对鱼叉式钓鱼攻击,Wombat Security Technologies公司的Norman Sadeh建议公司开发一个安全培训计划,例如向员工发送模拟钓鱼电子邮件。
“当员工受到模拟钓鱼攻击时,这就创建了一个很好的受教时刻,员工就会非常谦卑地学习相关知识,”Wombat公司首席科学家Sadeh表示,“这个时候应该及时地告诉他们做错了什么,攻击者的目标是什么以及如何避免今后发生类似攻击。”
