全球網(wǎng)絡(luò)安全解決方案領(lǐng)導(dǎo)廠商趨勢科技（東京證券交易所股票代碼：4704）6月30日發(fā)布《2020年ICS端點(diǎn)威脅報(bào)告》，指出專門針對工業(yè)工廠的勒索軟件攻擊正令停機(jī)與敏感資料泄露的風(fēng)險(xiǎn)日益增高。

　　趨勢科技前瞻威脅研究團(tuán)隊(duì)資深經(jīng)理 Ryan Flores 表示：“防護(hù)工業(yè)控制系統(tǒng)的挑戰(zhàn)已日益嚴(yán)峻，而越來越多安全漏洞出現(xiàn)也讓黑客有著明顯的針對目標(biāo)。有鑒于美國政府目前已將勒索軟件攻擊視為與恐怖主義同樣嚴(yán)重的問題，我們希望透過這研究來協(xié)助擁有工業(yè)工廠的企業(yè)重新調(diào)整其信息安全措施的焦點(diǎn)?！?/p>

　　報(bào)告的主要發(fā)現(xiàn)：

　　1、勒索軟件仍然是全球范圍內(nèi)對ICS終端的一個(gè)令人擔(dān)憂且迅速演變的威脅。主要的勒索軟件家族影響ICS終端，而美國是這些攻擊的目標(biāo)國家之一。

　　2. Coinminers主要通過未打補(bǔ)丁的操作系統(tǒng)影響ICSs。由于ICS端點(diǎn)仍然容易受到永恒藍(lán)漏洞的攻擊，利用這一漏洞的礦工在幾個(gè)國家，特別是印度非常猖獗。

　　3.Conficker仍然在運(yùn)行更新操作系統(tǒng)的ICS端點(diǎn)上傳播。帶有強(qiáng)制管理共享附加例程的Conficker變體可以感染ICS端點(diǎn)，即使它們運(yùn)行的操作系統(tǒng)不容易受到MS08-067的攻擊，Conficker可以將MS08-067作為攻擊的載體。

　　4. 傳統(tǒng)惡意軟件繼續(xù)在IT/OT網(wǎng)絡(luò)中蓬勃發(fā)展。盡管是相對較老的惡意軟件類型，但通過可移動(dòng)驅(qū)動(dòng)器傳播的蠕蟲，如Autorun、Gamarue和Palevo，仍然經(jīng)常在ICS端點(diǎn)中檢測到。

　　5. ICS端點(diǎn)檢測到的惡意軟件在不同國家之間是不同的。按百分比計(jì)算，日本受惡意軟件或潛在風(fēng)險(xiǎn)軟件影響的ICS終端數(shù)量最少，而中國（在前10個(gè)國家中）受此類檢測最多。如前所述，美國有最多的勒索軟件感染，而印度有最多的挖礦礦工感染。

　　工業(yè)控制系統(tǒng)（簡稱 ICS）是水電公用設(shè)施、工廠以及其他工業(yè)工廠中的主要元素，用于監(jiān)視及控制橫跨IT及OT網(wǎng)絡(luò)的工業(yè)流程。勒索軟件一旦入侵這些系統(tǒng)，就可能造成工廠無法運(yùn)作，而且會增加企業(yè)敏感資料/數(shù)據(jù)如設(shè)計(jì)文件、程序等泄露至黑暗網(wǎng)絡(luò)（Dark Web）的風(fēng)險(xiǎn)。

　　趨勢科技報(bào)告指出，幾個(gè)知名的勒索軟件如 Ryuk（20%）、Nefilim（14.6%）、Sodinokibi（13.5%）和 LockBit（10.4%）加起來就占了 2020 年所有ICS勒索軟件感染案例的一半以上。

報(bào)告也指出：黑客透過感染ICS端點(diǎn)來從事虛擬加密貨幣挖礦，專門攻擊那些尚未修補(bǔ)EternalBlue漏洞的操作系統(tǒng)。Wannacry在一些主要國家比較嚴(yán)重，統(tǒng)計(jì)顯示的比例，印度和中國比例較高。

　　Conficker 勒索軟件在面對一些較新的操作系統(tǒng)時(shí)，可透過暴力登入系統(tǒng)共用資料夾的方式來散布。

　　一些存在已久的惡意程序，如Autorun、Gamarue 和 Palevo 目前仍不斷通過流動(dòng)儲存裝置在IT/OT網(wǎng)絡(luò)之間散布。

　　研究指出，IT安全與OT團(tuán)隊(duì)之間的合作刻不容緩，雙方應(yīng)共同確認(rèn)關(guān)鍵操作系統(tǒng)相容性及運(yùn)轉(zhuǎn)率要求等需求，以便擬定一套更有效的信息安全策略，趨勢科技也提供以下建議：

　　1.盡速應(yīng)用補(bǔ)丁是相當(dāng)重要一步，如果無法執(zhí)行，應(yīng)考慮采用如趨勢科技提供的虛擬補(bǔ)丁技術(shù)或透過網(wǎng)絡(luò)隔離來降低風(fēng)險(xiǎn)。

　　2.企業(yè)可采用應(yīng)用程序管控軟件來徹底杜絕黑客入侵時(shí)會植入的勒索軟件，也可利用威脅檢測及響應(yīng)工具，在網(wǎng)絡(luò)搜索入侵指標(biāo)（IoCs）。

　　3.加強(qiáng)對網(wǎng)絡(luò)共享的管控，強(qiáng)制使用高強(qiáng)度的帳號口令來防止帳號遭暴力登錄。

　　4.采用入侵檢測/防護(hù)（IDS或IPS）來建立正常網(wǎng)絡(luò)活動(dòng)的基準(zhǔn)數(shù)據(jù)，有助于偵測可疑活動(dòng)。

　　5.使用獨(dú)立工具來掃瞄獨(dú)立非連網(wǎng)環(huán)境的ICS端點(diǎn)。

　　6.設(shè)置專門用來掃瞄 USB 惡意程序的工作站來檢查所有在獨(dú)立非連網(wǎng)端點(diǎn)之間傳輸資料的移動(dòng)介質(zhì)。

　　7.采取最低授權(quán)原則來管控OT網(wǎng)絡(luò)系統(tǒng)管理員與操作人員的帳號。