能源行業(yè)與社會安全和福祉息息相關(guān)，是全球基礎(chǔ)設(shè)施的重要組成部分，從食品供應(yīng)、教育、到醫(yī)療保健和經(jīng)濟增長等各個方面，能源行業(yè)都處于中心位置。正因如此，該行業(yè)也處于網(wǎng)絡(luò)攻擊的中心。全球17.2%的移動網(wǎng)絡(luò)攻擊以能源組織作為攻擊目標，使得該行業(yè)成為黑客組織、網(wǎng)絡(luò)罪犯、和民族國家威脅者的最大攻擊目標。

　　由于復(fù)雜的供應(yīng)鏈關(guān)系和數(shù)字化轉(zhuǎn)型計劃，能源組織的攻擊面不斷增加，組織正在將工作負載轉(zhuǎn)移到移動設(shè)備和云應(yīng)用程序。這一舉措使得員工、合作伙伴和第三方供應(yīng)商能夠隨時隨地保持聯(lián)系。然而該生態(tài)系統(tǒng)也使能源組織面臨重大的網(wǎng)絡(luò)風(fēng)險，單一漏洞就可能會暴露整個供應(yīng)鏈，例如2020年的SolarWinds和2021年的Microsoft Exchange攻擊。

　　為了更好地了解能源行業(yè)面臨的網(wǎng)絡(luò)安全挑戰(zhàn)，Lookout研究人員分析了2020年7月1日至2021年6月30日期間的研究數(shù)據(jù)。該數(shù)據(jù)包括來自超過2億臺設(shè)備、1.5億個應(yīng)用程序的遙測數(shù)據(jù)，以及來自Lookout安全網(wǎng)關(guān)的檢測數(shù)據(jù)。Lookout研究人員針對燃料提取、制造、精煉及分銷等能源生產(chǎn)及銷售組織進行了分析。

　　一、 主要發(fā)現(xiàn)

　　Lookout研究人員發(fā)現(xiàn)，能源行業(yè)針對移動設(shè)備的網(wǎng)絡(luò)釣魚攻擊激增，反映出威脅面的擴大。與其他行業(yè)相比，能源行業(yè)移動應(yīng)用程序的威脅暴露率要高得多。盡管勒索軟件和監(jiān)視軟件備受關(guān)注，但與復(fù)雜的惡意軟件相比，高風(fēng)險應(yīng)用程序及漏洞是更常見的威脅。研究人員還發(fā)現(xiàn)，許多組織仍然沒有妥善保護移動設(shè)備，仍然在運行存在已知漏洞的老舊操作系統(tǒng)。

　　網(wǎng)絡(luò)釣魚攻擊激增。2021年上半年，20%的能源員工遭受了移動網(wǎng)絡(luò)釣魚攻擊，比2020年下半年增加了161%。

　　能源行業(yè)威脅暴露率最高。能源行業(yè)的平均移動應(yīng)用威脅暴露率為7.6%，幾乎是所有其他行業(yè)平均水平的兩倍。

　　使用老舊的操作系統(tǒng)。56%的Android用戶仍然在使用老舊版本的Android操作系統(tǒng)，存在近300個可利用漏洞。

　　員工教育。62.5%經(jīng)過教育的員工不會再次點擊移動網(wǎng)絡(luò)釣魚鏈接。

　　獲取憑據(jù)。67%的網(wǎng)絡(luò)釣魚攻擊獲取了用戶憑據(jù)，而不是僅僅關(guān)注惡意軟件傳播。

　　應(yīng)用程序存在風(fēng)險。能源行業(yè)面臨的95%的移動應(yīng)用程序威脅要么是風(fēng)險軟件，要么存在漏洞。

　　非托管移動設(shè)備增加。在過去12個月中，非托管和BYOD移動設(shè)備的使用增加了41%。

　　最佳實踐降低風(fēng)險?？梢詫嵤┤齻€基本的移動安全保護措施，以更好地保護組織，同時增加移動設(shè)備和云解決方案的使用。

　　二、 能源行業(yè)對移動安全需求增加

　　能源行業(yè)對網(wǎng)絡(luò)攻擊并不陌生。事實上，針對能源組織的移動網(wǎng)絡(luò)攻擊占全球所有移動攻擊的17.2%。然而，由于重大的數(shù)字化轉(zhuǎn)型舉措，過去的氣隙系統(tǒng)現(xiàn)在連接到IT網(wǎng)絡(luò)、云應(yīng)用程序和移動設(shè)備。這使組織及其合作伙伴能夠創(chuàng)建提高效率的新流程，包括網(wǎng)絡(luò)、資產(chǎn)和設(shè)施的維護、管理、監(jiān)控和控制。

　　圖1 各行業(yè)移動威脅占比

　　移動設(shè)備處于這種轉(zhuǎn)變的最前沿：在過去12個月中，連接到能源組織的移動設(shè)備增加了44%。員工和合作伙伴都使用移動設(shè)備連接到OT、工業(yè)控制系統(tǒng)和敏感信息。這些設(shè)備提高了生產(chǎn)效率，是能源供應(yīng)鏈不可或缺的延伸，但許多設(shè)備都裝載了大量個人和工作應(yīng)用程序。

　　現(xiàn)如今隨著遠程辦公逐漸成為主流，員工越來越多地使用個人智能手機和平板電腦進行工作。Lookout發(fā)現(xiàn)，行業(yè)中非托管移動設(shè)備在過去一年中增加了41%，這意味著組織正在失去對這些設(shè)備使用方式的控制和可見性。這就更加強調(diào)了移動安全的必要性，以防范設(shè)備、應(yīng)用程序、網(wǎng)絡(luò)釣魚等于移動設(shè)備相關(guān)的網(wǎng)絡(luò)威脅及風(fēng)險。

　　三、 移動網(wǎng)絡(luò)釣魚攻擊激增

　　威脅行為者利用網(wǎng)絡(luò)釣魚等社會工程方法來操縱用戶執(zhí)行一些操作，通常是點擊惡意鏈接，以竊取憑據(jù)或在設(shè)備上傳播惡意軟件。一旦獲得憑據(jù)，威脅行為者就可以訪問系統(tǒng)、網(wǎng)絡(luò)、應(yīng)用程序或其他敏感數(shù)據(jù)。攻擊者利用這種隱蔽訪問在公司基礎(chǔ)設(shè)施中橫向移動，試圖識別其他漏洞和有價值的信息。

　　圖2 2020年第三季度至2021年第二季度全球能源行業(yè)網(wǎng)絡(luò)釣魚百分比

　　移動網(wǎng)絡(luò)釣魚是攻擊者破壞組織基礎(chǔ)設(shè)施的最簡單方法之一，能源行業(yè)也發(fā)現(xiàn)了的此類攻擊激增。在過去的12個月中，七分之一的員工（13.6%）遭受了移動網(wǎng)絡(luò)釣魚攻擊，比所有其他行業(yè)的總和還要高出三個百分點。

　　更令人驚訝的是，在2021年上半年，每五名員工中就有一名（近20%）遭受了移動網(wǎng)絡(luò)釣魚攻擊，這比前六個月大幅增長了161%，上鉤率大幅上升。

　　亞太地區(qū)四分之一的員工（24.2%）在2021年第二季度遭受了移動網(wǎng)絡(luò)釣魚攻擊，與過去一年相比增長了734%。這一飆升導(dǎo)致該地區(qū)的年平均暴露率達到了13.2%的歷史最高水平，即八分之一的員工，這可能是由于該地區(qū)的經(jīng)濟困境，導(dǎo)致一些人轉(zhuǎn)向網(wǎng)絡(luò)和其他類型的犯罪。

　　四、 網(wǎng)絡(luò)釣魚攻擊的主要目標

　　網(wǎng)絡(luò)釣魚攻擊的目標可以分為兩類：憑據(jù)獲取和傳播惡意軟件。

　　由于智能手機和平板電腦同時用于個人和工作用途，因此移動設(shè)備使攻擊者很容易通過網(wǎng)絡(luò)釣魚獲取憑據(jù)并傳播惡意軟件。由于移動設(shè)備屏幕較小，用戶界面簡單，因此很難識別典型的網(wǎng)絡(luò)釣魚跡象。

　　威脅行為者通過使用受感染的電子郵件、短信、消息應(yīng)用程序、社交媒體平臺和移動網(wǎng)站來針對員工。移動網(wǎng)絡(luò)釣魚還可以利用與外部站點通信的應(yīng)用程序，如游戲、約會應(yīng)用程序、甚至供應(yīng)鏈工具。收集到的信息可用于跟蹤人員的行蹤，并捕獲其他登錄和密碼信息。

　　在能源行業(yè)，三分之二（67%）的網(wǎng)絡(luò)釣魚攻擊的目標是憑據(jù)獲取，威脅行為者三分之一（33%）的目標是傳播惡意軟件。憑據(jù)竊取提供了威脅行為者所需的一切，可以像員工一樣悄悄登錄到組織的基礎(chǔ)設(shè)施。一旦獲得訪問權(quán)限，就可以在很長一段時間內(nèi)不被發(fā)現(xiàn)，從而識別漏洞并利用敏感數(shù)據(jù)。

　　圖3 網(wǎng)絡(luò)釣魚攻擊目標分布

　　事實上，研究人員發(fā)現(xiàn)，工業(yè)控制系統(tǒng)中的漏洞在被識別和修復(fù)之前平均存在五年以上。

　　威脅行為者通常使用VPN訪問來進行網(wǎng)絡(luò)釣魚并獲取憑據(jù)。這是因為VPN提供了無限制的訪問權(quán)限，使攻擊者可以免費且開放地訪問組織基礎(chǔ)設(shè)施中的任何應(yīng)用程序。此外，很難檢測到VPN中賬戶或設(shè)備受損的異?；顒?。

　　惡意軟件傳播，即誘騙員工在設(shè)備上安裝惡意應(yīng)用程序，是一種利潤豐厚的網(wǎng)絡(luò)犯罪。雖然勒索軟件只是眾多惡意軟件中的一個例子，但在2020年，公司向FBI報告了2,474起事件，造成了2,910萬美元損失。

　　與憑據(jù)獲取類似，惡意軟件可以通過多個移動渠道傳播。通過利用社會工程技術(shù)，攻擊者誘使員工下載、安裝或點擊帶有惡意軟件的鏈接。因此，快速檢測入侵者和其他移動安全漏洞對于減少和減輕漏洞的影響至關(guān)重要。

　　例如，F(xiàn)lubot銀行木馬于2020年末發(fā)現(xiàn)，該惡意軟件操縱用戶認為其需要安裝應(yīng)用程序才能驗證、跟蹤或接收有關(guān)來自Deutsche Post、DHL、Saturn、UPS和其他公司的貨件的更新。安裝后，該應(yīng)用程序會攔截并發(fā)送短信、顯示覆蓋屏幕、并竊取聯(lián)系人信息。每個組織的惡意軟件攻擊平均成本為250萬美元。

　　油氣管道公司Colonial Pipeline在2021年5月遭受了勒索軟件攻擊，導(dǎo)致美國東部汽油短缺了五天。攻擊針對Colonial Pipeline使用的計費系統(tǒng)，利用眾多安全漏洞，包括存在漏洞的VPN、未修補的Microsoft Exchange服務(wù)器、及可能被利用的和公開網(wǎng)絡(luò)協(xié)議。

　　五、 APP風(fēng)險及分類

　　能源行業(yè)中的應(yīng)用程序威脅遠超所有其他行業(yè)。在過去一年中，平均每14名員工中就有1名（7.6%）遭受了移動應(yīng)用程序威脅。能源行業(yè)員工遇到應(yīng)用程序威脅的可能性幾乎是所有其他行業(yè)員工總和的兩倍。

　　全球能源行業(yè)的應(yīng)用程序遭受威脅比率在2020年最后一個季度創(chuàng)下歷史新高，飆升超過15%，然后在2021年上半年回落至接近4.4%的更穩(wěn)定的水平。北美地區(qū)的設(shè)備暴露率低于其他地區(qū)。雖然EMDA地區(qū)的暴露率略高，但亞太地區(qū)的組織面臨更大的風(fēng)險，暴露率高達11.4%。

　　在能源行業(yè)遇到的應(yīng)用程序威脅中，存在風(fēng)險的應(yīng)用程序和漏洞占所有威脅的95%，其余為惡意軟件。隨著能源行業(yè)越來越多地利用移動設(shè)備和應(yīng)用程序來管理運營，組織必須更好地了解哪些應(yīng)用程序威脅最普遍、這些威脅的性質(zhì)以及如何防御這些威脅。

　　從歷史上看，包括能源行業(yè)在內(nèi)的所有行業(yè)的整體應(yīng)用威脅暴露率一直在1%左右。這種情況在2020年第三季度發(fā)生了變化，廣泛使用的廣告軟件開發(fā)工具包（SDK）SourMint被嵌入到各種移動應(yīng)用程序中，因其對用戶瀏覽習(xí)慣的過度洞察，被重新歸類為風(fēng)險軟件。這將能源行業(yè)的全球應(yīng)用威脅暴露率提高至近7%。

　　事實上，能源行業(yè)面臨的近95%的移動應(yīng)用威脅要么是風(fēng)險軟件，要么是漏洞。風(fēng)險軟件是由于軟件不兼容、安全漏洞、或違反合規(guī)性而帶來潛在風(fēng)險的合法程序。風(fēng)險軟件與漏洞不同，漏洞是軟件代碼中可以被攻擊者利用的缺陷。

　　應(yīng)用程序威脅導(dǎo)致的一些能源行業(yè)風(fēng)險包括：

　　由于數(shù)據(jù)處理實踐而導(dǎo)致違規(guī)；

　　允許應(yīng)用跟蹤位置、訪問短信和輔助功能的過多權(quán)限；

　　訪問攝像頭和麥克風(fēng)來監(jiān)視用戶；

　　訪問設(shè)備的文件系統(tǒng)；

　　與國外服務(wù)器的連接。

　　圖4 能源行業(yè)APP威脅導(dǎo)致的風(fēng)險分類

　　另一方面，惡意軟件是可對設(shè)備、服務(wù)器、客戶端或網(wǎng)絡(luò)造成損害的軟件。移動惡意軟件有多種類型，包括木馬、間諜軟件、廣告軟件、鍵盤記錄軟件和勒索軟件等。每種類型的軟件都旨在實現(xiàn)特定目標，例如勒索軟件會加密受害者數(shù)據(jù)，直到支付贖金為止，而間諜軟件可能會訪問攝像頭、麥克風(fēng)或消息來監(jiān)視用戶。

　　今年重新出現(xiàn)的一種先進的移動惡意軟件是Pegasus，由NSO Group開發(fā)。NSO Group是一家總部位于以色列的公司，是不受監(jiān)管的間諜軟件行業(yè)的知名領(lǐng)導(dǎo)者。該間諜軟件會感染iOS和Android設(shè)備，并使運營商能夠獲取GPS坐標、消息、加密聊天、照片和電子郵件。還可以記錄通話，并在用戶不知情的情況下秘密打開麥克風(fēng)和攝像頭。Pegasus自2016年被Lookout和Citizen Lab發(fā)現(xiàn)以來一直在進化，現(xiàn)在能夠在目標的移動設(shè)備上安裝和執(zhí)行，而無需用戶進行任何交互。

　　這種類型的惡意軟件可以讓威脅行為者查看能源工廠內(nèi)部的操作或獲取機密信息。有了這些內(nèi)部信息，可能會發(fā)起更廣泛的攻擊，破壞關(guān)鍵基礎(chǔ)設(shè)施，并威脅公民的安全和福祉。

　　六、 APP及操作系統(tǒng)漏洞

　　漏洞占所有應(yīng)用程序威脅的近40%，并無意中為攻擊者打開了大門。幾乎每天都會發(fā)現(xiàn)新的漏洞，不斷增加能源組織的威脅面。在移動設(shè)備上，存在兩種主要類型漏洞：應(yīng)用程序漏洞和操作系統(tǒng)漏洞。

　　例如在去年在Android版Chrome瀏覽器中發(fā)現(xiàn)的漏洞CVE-2020-16010，要利用此漏洞，攻擊者只需向設(shè)備發(fā)送惡意構(gòu)建的HTML頁面即可。一旦成功利用，攻擊者就可以訪問應(yīng)用程序的任何功能，包括攝像頭和麥克風(fēng)、位置數(shù)據(jù)和瀏覽歷史記錄。有超過50億臺設(shè)備運行Chrome，這個漏洞對包括能源行業(yè)在內(nèi)的所有行業(yè)都構(gòu)成了嚴重風(fēng)險。

　　在Google Play核心庫中發(fā)現(xiàn)的另一個漏洞對應(yīng)用程序威脅暴露率有顯著影響。該庫使移動應(yīng)用程序能夠從Google Play商店獲取高級功能和更新。該漏洞使威脅行為者能夠使用該庫將代碼注入任何應(yīng)用程序，從而竊取憑據(jù)、財務(wù)詳細信息并閱讀電子郵件。為了應(yīng)對應(yīng)用程序威脅，能源組織需要通過強大的應(yīng)用威脅檢測能力來實施移動安全。

　　此外，能源組織需要根據(jù)應(yīng)用程序權(quán)限和功能做出明智的應(yīng)用程序?qū)彶闆Q策，應(yīng)設(shè)置應(yīng)用程序策略，以根據(jù)風(fēng)險承受能力發(fā)送自動警報，如標記與高風(fēng)險地區(qū)的服務(wù)器通信，或缺乏適當數(shù)據(jù)傳輸安全性的應(yīng)用程序。

　　能源行業(yè)仍在使用老舊版本的谷歌和蘋果操作系統(tǒng)，使組織面臨數(shù)百個漏洞，這些漏洞可被威脅行為者利用訪問組織環(huán)境。超過一半（55.9%）的Android設(shè)備尚未升級到2020年9月推出的最新可用操作系統(tǒng)。好消息是，只有15%的iOS設(shè)備自發(fā)布以來沒有升級到最新版本。過時的操作系統(tǒng)使能源組織面臨數(shù)百個已經(jīng)修復(fù)的漏洞。

　　雖然能源組織可能會選擇推遲更新，直到其專有應(yīng)用程序經(jīng)過測試，但移動操作系統(tǒng)應(yīng)該盡快更新，以修復(fù)漏洞并解決安全問題。任何延遲都會產(chǎn)生漏洞窗口，在此期間，威脅行為者可以使用移動設(shè)備訪問基礎(chǔ)設(shè)施并竊取敏感數(shù)據(jù)。

　　與特定操作系統(tǒng)版本相關(guān)的漏洞數(shù)量代表了保留在該版本上的風(fēng)險。雖然漏洞可以修補，但仍有一些問題需要克服：

　　漏洞發(fā)現(xiàn)和補丁發(fā)布之間存在漏洞窗口期；

　　修復(fù)通常需要用戶操作來更新設(shè)備；

　　很難了解操作系統(tǒng)版本和已安裝的安全補丁。

　　只有了解端點和應(yīng)用程序漏洞，才能確切知道這些漏洞存在的位置，以及何時需要更新，以防止安全漏洞被威脅行為者利用。

　　七、緩解建議

　　員工只需點點鼠標，就可能導(dǎo)致重大違規(guī)。因此員工教育應(yīng)該是應(yīng)對網(wǎng)絡(luò)釣魚最好的方式。員工是企業(yè)的第一道防線，因此，員工識別網(wǎng)絡(luò)釣魚郵件的能力是組織抵御網(wǎng)絡(luò)釣魚攻擊最重要的防御措施。

　　然而，隨著網(wǎng)絡(luò)釣魚嘗試變得越來越復(fù)雜，并且與臺式計算機的關(guān)聯(lián)越來越少，員工可能很難識別網(wǎng)絡(luò)釣魚鏈接。幸運的是，威脅行為者會重復(fù)使用多種網(wǎng)絡(luò)釣魚技術(shù)，員工可以學(xué)習(xí)如何在移動設(shè)備上輕松識別。通過更好地了解移動網(wǎng)絡(luò)釣魚攻擊，員工將很快學(xué)會不與網(wǎng)絡(luò)釣魚攻擊互動。數(shù)據(jù)顯示，經(jīng)過培訓(xùn)后，超過一半（56.4%）曾點擊過網(wǎng)絡(luò)釣魚鏈接的員工在12個月內(nèi)沒有再點擊過后續(xù)的移動網(wǎng)絡(luò)釣魚鏈接。

　　令人極為擔憂的是，過去一年中，許多用戶成為攻擊目標的次數(shù)超過五次，但好消息是，到第六次網(wǎng)絡(luò)釣魚嘗試時，只有5.2%的員工與威脅進行了交互，減少了50%以上點。

　　針對應(yīng)用程序的教育越多，員工與潛在威脅互動的可能性就越小。能源組織需要確保其網(wǎng)絡(luò)釣魚培訓(xùn)不僅僅包括臺式機和電子郵件，還要包括與移動網(wǎng)絡(luò)釣魚相關(guān)的培訓(xùn)。

　　隨著能源組織進行數(shù)字化轉(zhuǎn)型，保護員工用來訪問公司資源和運營技術(shù)的移動端點安全勢在必行。網(wǎng)絡(luò)釣魚攻擊、移動應(yīng)用程序威脅、和老舊的操作系統(tǒng)給緊張的能源行業(yè)帶來了更高的風(fēng)險。為了降低這種風(fēng)險，Lookout研究人員建議立即采取以下步驟：

　　確保移動設(shè)備包含在整體網(wǎng)絡(luò)安全計劃中。通常，這些設(shè)備不包含在正式程序中。必須將移動設(shè)備包含在整體網(wǎng)絡(luò)安全計劃中，以確保移動操作系統(tǒng)和應(yīng)用程序保持最新狀態(tài)，從而降低風(fēng)險和漏洞。程序還應(yīng)就特定于移動設(shè)備的威脅對用戶進行教育。

　　確保移動網(wǎng)絡(luò)釣魚防護在每臺移動設(shè)備上運行。大多數(shù)攻擊始于網(wǎng)絡(luò)釣魚，而移動設(shè)備提供了多種攻擊途徑。反網(wǎng)絡(luò)釣魚解決方案必須阻止來自移動設(shè)備上已知網(wǎng)絡(luò)釣魚站點的任何通信，包括短信、應(yīng)用程序、社交平臺和電子郵件。

　　確保連接到公司資源的設(shè)備上的移動應(yīng)用程序的可見性。在同一設(shè)備上使用個人應(yīng)用程序和工作應(yīng)用程序時，個人應(yīng)用程序中的任何惡意軟件都可能為威脅行為者打開大門。利用移動安全解決方案來了解正在使用的應(yīng)用程序，并做出負責(zé)任的應(yīng)用程序?qū)彶闆Q策。