全球網(wǎng)絡安全解決方案領導廠商趨勢科技（東京證券交易所股票代碼：4704）6月30日發(fā)布《2020年ICS端點威脅報告》，指出專門針對工業(yè)工廠的勒索軟件攻擊正令停機與敏感資料泄露的風險日益增高。

　　趨勢科技前瞻威脅研究團隊資深經理 Ryan Flores 表示：“防護工業(yè)控制系統(tǒng)的挑戰(zhàn)已日益嚴峻，而越來越多安全漏洞出現(xiàn)也讓黑客有著明顯的針對目標。有鑒于美國政府目前已將勒索軟件攻擊視為與恐怖主義同樣嚴重的問題，我們希望透過這研究來協(xié)助擁有工業(yè)工廠的企業(yè)重新調整其信息安全措施的焦點?！?/p>

　　報告的主要發(fā)現(xiàn)：

　　1、勒索軟件仍然是全球范圍內對ICS終端的一個令人擔憂且迅速演變的威脅。主要的勒索軟件家族影響ICS終端，而美國是這些攻擊的目標國家之一。

　　2. Coinminers主要通過未打補丁的操作系統(tǒng)影響ICSs。由于ICS端點仍然容易受到永恒藍漏洞的攻擊，利用這一漏洞的礦工在幾個國家，特別是印度非常猖獗。

　　3.Conficker仍然在運行更新操作系統(tǒng)的ICS端點上傳播。帶有強制管理共享附加例程的Conficker變體可以感染ICS端點，即使它們運行的操作系統(tǒng)不容易受到MS08-067的攻擊，Conficker可以將MS08-067作為攻擊的載體。

　　4. 傳統(tǒng)惡意軟件繼續(xù)在IT/OT網(wǎng)絡中蓬勃發(fā)展。盡管是相對較老的惡意軟件類型，但通過可移動驅動器傳播的蠕蟲，如Autorun、Gamarue和Palevo，仍然經常在ICS端點中檢測到。

　　5. ICS端點檢測到的惡意軟件在不同國家之間是不同的。按百分比計算，日本受惡意軟件或潛在風險軟件影響的ICS終端數(shù)量最少，而中國（在前10個國家中）受此類檢測最多。如前所述，美國有最多的勒索軟件感染，而印度有最多的挖礦礦工感染。

　　工業(yè)控制系統(tǒng)（簡稱 ICS）是水電公用設施、工廠以及其他工業(yè)工廠中的主要元素，用于監(jiān)視及控制橫跨IT及OT網(wǎng)絡的工業(yè)流程。勒索軟件一旦入侵這些系統(tǒng)，就可能造成工廠無法運作，而且會增加企業(yè)敏感資料/數(shù)據(jù)如設計文件、程序等泄露至黑暗網(wǎng)絡（Dark Web）的風險。

　　趨勢科技報告指出，幾個知名的勒索軟件如 Ryuk（20%）、Nefilim（14.6%）、Sodinokibi（13.5%）和 LockBit（10.4%）加起來就占了 2020 年所有ICS勒索軟件感染案例的一半以上。

報告也指出：黑客透過感染ICS端點來從事虛擬加密貨幣挖礦，專門攻擊那些尚未修補EternalBlue漏洞的操作系統(tǒng)。Wannacry在一些主要國家比較嚴重，統(tǒng)計顯示的比例，印度和中國比例較高。

　　Conficker 勒索軟件在面對一些較新的操作系統(tǒng)時，可透過暴力登入系統(tǒng)共用資料夾的方式來散布。

　　一些存在已久的惡意程序，如Autorun、Gamarue 和 Palevo 目前仍不斷通過流動儲存裝置在IT/OT網(wǎng)絡之間散布。

　　研究指出，IT安全與OT團隊之間的合作刻不容緩，雙方應共同確認關鍵操作系統(tǒng)相容性及運轉率要求等需求，以便擬定一套更有效的信息安全策略，趨勢科技也提供以下建議：

　　1.盡速應用補丁是相當重要一步，如果無法執(zhí)行，應考慮采用如趨勢科技提供的虛擬補丁技術或透過網(wǎng)絡隔離來降低風險。

　　2.企業(yè)可采用應用程序管控軟件來徹底杜絕黑客入侵時會植入的勒索軟件，也可利用威脅檢測及響應工具，在網(wǎng)絡搜索入侵指標（IoCs）。

　　3.加強對網(wǎng)絡共享的管控，強制使用高強度的帳號口令來防止帳號遭暴力登錄。

　　4.采用入侵檢測/防護（IDS或IPS）來建立正常網(wǎng)絡活動的基準數(shù)據(jù)，有助于偵測可疑活動。

　　5.使用獨立工具來掃瞄獨立非連網(wǎng)環(huán)境的ICS端點。

　　6.設置專門用來掃瞄 USB 惡意程序的工作站來檢查所有在獨立非連網(wǎng)端點之間傳輸資料的移動介質。

　　7.采取最低授權原則來管控OT網(wǎng)絡系統(tǒng)管理員與操作人員的帳號。