OT網絡攻擊的過去、現在與未來

當人們閱讀有關OT網絡攻擊的報道時，很容易被夸大的言辭所吸引，認為每一次攻擊都是復雜且精密設計的。但全球的OT環境真的正在遭受著持續不斷的復雜網絡攻擊嗎?要回答這個問題，我們首先需要對不同類型的OT網絡攻擊進行分析，然后回顧歷史上所有的攻擊事件，看看這些類型之間有何區別。

01. 網絡攻擊的類型

過去幾十年來，人們逐漸認識到在IT鮮為人知的對應領域——OT中，提高網絡安全實踐的必要性。實際上，從未有過明確的定義來解釋針對OT環境的網絡攻擊的構成部分是什么樣的。即便有，但隨著時間的推移，這些界限也逐漸變得模糊。因此，本文打算以討論網絡攻擊是如何針對OT環境，或者說僅對OT環境造成影響來開始這篇文章，并解釋為什么說未來區分這些不同的攻擊類型至關重要。

本文如何定義OT

在對任何類型的OT網絡攻擊進行定義之前，我們需要首先對OT進行定義。大多數OT環境都是獨一無二的，這取決于多個因素，例如不同的應用和用例、眾多的供應商生態系統，以及工程化物理過程的多種方式等。因此，本文將參考PERA(the Purdue Enterprise Reference Architecture，普渡企業參考架構)——通常被稱為普渡模型，如圖1所示。

從頂部開始數，第4級和第5級被稱為企業區域，這是傳統IT所涉及的地方。接下來是第3.5級，即非軍事區(DMZ)，它充當了IT和OT之間以及OT周邊的隔離器。DMZ以下的所有級別則都屬于OT領域。第2級和第3級在某種程度上相似，因為它們都可以對物理環境進行監視、控制甚至配置。然而，第2級通常特定于單個單元或過程，甚至可能物理上靠近，而第3級通常是集中的，特別是在地理分散的組織中。第1級是OT的核心，在這里，諸如可編程邏輯控制器(PLC)之類的設備會根據它們被提供的邏輯來感知和操縱物理世界。最后，來到第0級，這實際上是物理世界，包含PLC用于操縱的傳感器和執行器。

OT網絡攻擊的不同類型并不一定是按照它們所影響的資產來劃分的，更多是基于攻擊的目標資產及其攻擊手段。更精準地講，是根據定位的精確度、所需的技能集以及背后的意圖來區分的。盡管這種差別聽上去可能過于微妙，但它為防御者描繪了一個全新的威脅環境，并展示了傳統IT安全控制措施的局限性。OT網絡攻擊可以分為五種類型，這些類型又被歸納為兩個不同的類別。下面我們將詳細探討這些類別。

類別1: IT TTP

第一類OT網絡攻擊在公開報告中最為常見的，其特征在于攻擊者僅使用信息技術(IT)的戰術、技術與流程(TTP)，盡管如此，這些攻擊仍能以某種形式對生產活動造成干擾。在這一類別中，有三種類型的OT網絡攻擊。

類型1a: 針對IT

1a型攻擊發生在攻擊者尚未接觸到OT環境的情況下。對于攻擊者來說，他們并未直接針對受害者的OT環境發動攻擊。而是通過未得到控制的IT網絡攻擊引發的連鎖反應，例如網絡勒索(Cy-X)延遲了發貨系統。這種攻擊所導致的后果可能表現為臨時失去遙測數據或著完全停止生產等情況，并且需要一個復雜、耗時的修復過程才能恢復聯網。需要注意的是，任何一種IT網絡攻擊都可能會導致OT環境的斷聯與關閉(作為響應和恢復措施的一部分)，最終造成類似的影響。

類型 1b: 針對IT/OT

第二種類型，1b，是由于偶然或只是因為攻擊者有能力而觸及OT環境時發生的。在仍然采用IT TTP的情況下，攻擊者通常會部署勒索軟件或者為了雙重勒索而竊取數據。然而，由于隔離區不夠強大，或者說根本就不存在隔離區，攻擊者的攻擊可能會擴展到普渡模型的第2層甚至是第3層中的一些OT資產。雖然攻擊者已經對OT資產造成了直接影響，但通常并非是有意而為之的。這種攻擊類型所帶來的影響可能包括失去配置能力甚至失去對OT環境的控制。

類型 1c: 針對OT

這一類別中的第三種類型，1c，是最為微妙的，也是與下一個大類別最為接近的。在這種類型的攻擊中，一個幾乎沒有或著完全沒有OT能力的攻擊者會有意使用IT TTP來針對組織基于Windows的OT資產發起攻擊。這通常是為了引起受害者更強烈的重視或著造成比單純影響IT更嚴重的后果。盡管此類攻擊是專門針對OT資產的，但其目標范圍也僅限于那些專注于IT領域的攻擊者所熟悉的資產。這樣的攻擊中沒有針對OT的特定意圖或應用，也缺乏在影響生產方式上的精準度。與1b類型一樣，此類攻擊的影響可能包括配置能力或對OT環境控制權的喪失，生產活動僅可能因連鎖效應或響應和恢復工作而受到影響。

類別 2: OT TTPs

第二大類包括了提及OT網絡攻擊時最可能想到的兩種類型。這些攻擊通過利用專為OT設計的戰術、技術和流程(TTP)脫穎而出，其核心目標是以某種形式直接干預生產活動。

類型 2a: 粗略地針對OT目標

類型 2a，也被稱作“干擾攻擊”，是第二大類中的第一種也是總體上的第四種網絡攻擊形式。此類攻擊策略并不考慮是否通過非軍事區(DMZ)，而是選擇直接入侵OT系統。攻擊者利用基礎的OT知識和技巧，以一種笨拙而缺乏精細度的方式進行攻擊。與僅限于干擾Windows系統的第1類攻擊不同，它們可能會瞄準普渡模型更深層的OT資產，如可編程邏輯控制器(PLC)和遠程遙控單元(RTU)，這些資產更接近物理操作層面。此類攻擊通常依賴于公開的攻擊框架和工具，操作方式較為粗糙。其造成的影響可能包括停止PLC的循環或者粗略地修改PLC的輸出值，顯著影響生產流程等。然而，鑒于這種攻擊方式通常較為明顯，因此往往會迅速引起受害組織的響應與恢復。

類型 2b: 精準地針對OT目標

類型 2b為針對OT的高級攻擊，是所有類型中最為復雜且出現頻率最低的。這類攻擊展示了攻擊者在OT領域的高級能力，通過精確且復雜的手段執行攻擊并造成影響。攻擊過程涉及對操作流程的深入理解，通過特定于OT的信息收集策略來洞察物理環境及其與OT系統的交互方式。攻擊者會根據他們滲透的OT環境來進行攻擊定制化，旨在以非常精確的方式對該環境造成影響。這種攻擊可能會導致的影響范圍廣泛，取決于被攻擊的系統或流程的具體特性。與其它類型的攻擊(如直接導致系統停機或數據丟失)不同，高級攻擊往往不會選擇直接停止目標生產活動的方式來實現其目的。除非攻擊者的目的就是造成不可逆轉的嚴重損害，否則他們可能會避免采用這種容易被發現并觸發快速響應的攻擊方式。攻擊者可能更傾向于悄無聲息地進行攻擊，以便在不被立即發現的情況下達到其目的。

重要性所在

我們注意到，攻擊者目前更傾向于執行第1類攻擊，這種情況意外地為OT系統的安全提供了一層保護。現有的OT網絡安全防護措施和理念很多都源自于IT領域，因而在識別和防止第1類攻擊上更為有效。但隨著人們獲取知識和工具的途徑日益增多，攻擊者在專門針對OT方面的攻擊能力也在不斷增強，這也意味著第二類攻擊的數量也將不斷上漲。因此，開發出能夠檢測和阻止這些攻擊的OT網絡安全措施變得尤為重要，這是我們為應對未來挑戰所需采取的首要步驟。為了實現這一點，我們需要明確不同的攻擊類別和類型，以便更加準確地判斷何時及如何面對第2類攻擊的增加。

02. 35年來的OT網絡攻擊

考慮到上文中關于OT網絡攻擊類型及其重要性的聲明頗為大膽，接下來本文將通過實際數據來驗證它們。為此，本文搜集并分析了1988年至2023年間所有可查找到的公開OT網絡攻擊事件。過去35年間，OT網絡攻擊最顯著的特點是，從2020年開始，網絡犯罪分子發動的攻擊數量急劇增加。這一趨勢與雙重勒索的興起相吻合，也與我們的Cy-X數據相一致。

雙重勒索的興起不只改變了針對OT系統的攻擊者群體，它也同樣影響了哪些行業領域會成為攻擊目標。分析不同年份受攻擊的行業數據，我們可以明顯觀察到受害行業從廣泛多樣轉向了以制造業為主的集中態勢。不過，鑒于Cy-X通常選擇制造業作為攻擊目標，這一轉變符合預期。

圖3展示了OT網絡攻擊的動態流向。為了便于理解，將攻擊的年份按每5年一組的方式組織，從左邊流向實施攻擊的攻擊者。攻擊的流程繼續從這些攻擊者流向OT網絡攻擊的分類，進而到達具體的攻擊類型。最后，攻擊類型流向它在普渡模型中達到的最深層級的描述(可能影響到整個OT系統，甚至是從第5級開始)。

從這個視圖中，我們可以清楚地看到一個重要的趨勢——2020年攻擊頻次的劇增，這主要是不法分子對IT目標執行的IT TTP，這些攻擊主要在普渡模型的第4級和第5級得到體現。這一點進一步證實了上文中所討論的，在2020年雙重勒索出現前后所發生變化的兩個情形。

當深入分析不同的類別和類型時，很容易發現，導致OT系統受影響的網絡攻擊中，絕大多數屬于第1類，且僅利用了IT TTP。此類攻擊占比高達總數的83%，這一發現得到了大量證據的支持，尤其是占總數60%的1a型攻擊的例子。這些攻擊專門針對IT系統，即普渡模型的第4級和第5級。與此同時，只有17%的攻擊明確使用了針對OT系統的TTP，其在整體中所占比例相對較低。

那么問題來了，接下來該怎么辦?未來將會如何展開?OT網絡攻擊是否會仍然僅限于使用針對IT目標的IT TTP，并間接影響OT環境?還是說攻擊者將會轉而偏愛更加殘酷的第2類攻擊方式呢?

03. 攻擊者是否會轉向使用 OT TTP?

無論使用OT的組織如何，目前的1a類Cy-X攻擊對攻擊者來說似乎相當有利可圖，而這場類似于疫情的危機往往會在事態好轉之前發生進一步惡化。然而，當組織開始通過建立良好的備份流程或者其他方式來對現有的Cy-X攻擊形成有效的抵抗力時，攻擊者改變自己的MO(modus operandi ，作案模式)自然也是符合邏輯的。鑒于使用OT的組織經常成為Cy-X攻擊的受害者，那么攻擊者的作案手法又是否會向第2類OT網絡攻擊進行轉變呢?幸運的是，我們可以引用RAT( routine activity theory，常規活動理論)來進一步對該問題進行進一步探討。

RAT是一種犯罪學理論，它指出當有動機的犯罪者、合適的目標，以及能力不足的防衛者，這三個因素存在時，犯罪發生的概率就會變高。基于我們目前所觀察到的情況，以下是對每個要素的簡要分析。

有動機的犯罪者

從收集到的OT網絡攻擊數據中可以看出，不管出于什么原因，攻擊者目前似乎更加傾向于攻擊那些恰好使用OT的組織。更重要的是，當前Cy-X攻擊對受害者的OT環境造成的影響明確表明，犯罪者對造成的物理后果不予考慮，或者說他們可能甚至在有意識地制造人身安全威脅。最后，隨著Cy-X勒索的支付率下降，攻擊者很可能會改變自己的作案手法，轉而針對受害者防御準備不足的某些方面。

合適的目標

目前，使用OT的組織大都是攻擊者所特別關注的目標，因為在攻擊者眼中生產活動能夠帶來巨大價值。當1a型Cy-X攻擊這樣的常規方法開始失效時，攻擊者可能會直接將瞄準點對準OT本身。當前的數據顯示，所有OT網絡攻擊中有40%(其中由不法分子進行的攻擊中有16%)，成功觸達OT，并對其造成了影響。這些攻擊涵蓋了1b、1c、2a以及2b等攻擊類型。無論是競爭對手，還是不法分子，他們都已經能夠成功訪問OT環境。如果其有意計劃攻擊組織的OT，不難想象他們確實具備實現此目的的能力。

關于OT是否是一個合適的目標這一問題，其中一個主要考慮因素就是：大多數攻擊者對它是不夠熟悉的。然而，盡管他們的技能還需繼續提升，但如今已經有越來越多的OT網絡安全知識相繼出現，包括課程、書籍、演講甚至專門的會議，以供其學習。此外，如PLC和HMI這樣的OT設備變得不再那么昂貴，對于學習以及最終的攻擊測試而言更加可行。所有這些因素都在從技術角度為攻擊者降低了入門的門檻。

這個部分最根本的一點是受害組織本身的適宜性。這種適宜性包括大型的攻擊面、進行攻擊的可用時間，以及特定資產對受害者而言的價值。從以往的Cy-X攻擊事件中可以看出，攻擊者已經找到了許多可以在其受害者系統中利用的漏洞，并且很少遇到符合最佳網絡安全實踐的目標組織。

OT環境的正常運行時間以及運行效率通常都可以被精準地量化。這樣就意味著OT受影響的損失要比加密或泄漏的數據更為明確。這樣就使得使用OT的組織成為了更加合適的攻擊目標。

能力不足的防衛者

由于IT網絡安全控制的有效監管，一些攻擊者開始考慮放棄使用IT TTP來進行1類Cy-X攻擊。如今他們更傾向于利用目標組織OT方面的一些缺陷，而這些目標往往缺乏專門為OT設計的可用控制措施。

當然，技術安全控制并不是唯一有效的防護形式。RAT考慮了其他形式的防護，包括非正式的(如社區監督)，以及正式(代表著執法機關和政府所做出的努力)。最終，OT 在顛覆犯罪生態系統方面將面臨著相同的挑戰。因此，缺乏強有力的守衛者以及對犯罪打擊的有效性是一個現實問題。

04. 一個POC: 死人的 PLC

當考慮是否會出現攻擊者使用第2類攻擊方式來針對OT環境時，我們一直在進行一些有趣且具有推測性的研究。這項研究最終創建了一種新穎而實用的Cy-X技術，它專門針對于OT設備，特別是PLC及其配套的工程工作站。我們稱之為“死人的PLC”。

“死人的PLC”的起點是工程工作站，這是工程師創建配置并將其加載到OT環境中的資產。正如我們所見，OT網絡攻擊已經深入到了普渡模型中工程工作站所在的深層次(一般是2級或3級)，這取決于許多因素。

當攻擊者滲透到工程工作站時，他們可以查看項目文件中現有的“存活”PLC代碼，對其進行編輯，并將新的配置下載到PLC中。“死人的PLC”利用了這種能力，結合現有的OT功能，以及目標組織安全控制薄弱等因素，來對受害者的整個運營過程進行勒索。

“死人的PLC”通過向合法的、運行中的PLC代碼添加內容來創建一個隱秘的監控網絡，其中所有的PLC保持功能正常，但不斷地相互輪詢。如果輪詢網絡檢測到受害者正在試圖抵御攻擊，或者沒有及時支付贖金，那么輪詢將停止，隨后“死人的PLC”觸發類似于“死亡開關”的破壞行為。該“死亡開關”會迫使受害組織停用負責控制和自動化操作過程的合法PLC代碼，并激活導致操作設備物理損壞的惡意代碼。最后受害者別無他法，只能選擇支付贖金。另外，受害者還存在一個唯一的恢復方法，就是粗暴地關閉并替換其操作過程中每一個受影響的PLC，但該方法會不可避免地導致生產時間的延長、貨物的損壞以及新資產費用的增加。

05. 總結：這一切都意味著什么?

本文分析探討了OT網絡攻擊的歷史，以理解不斷變化的局勢以及未來可能要面臨的挑戰。從2020年開始的最新數據分析表明，我們不應過分夸大OT網絡攻擊的影響。相反，我們應著眼于短期內解決Cy-X問題。這意味著要建立對OT環境安全的彈性與信心，以抵御普渡模型第4和第5級的攻擊。同時，我們也需要明白這說起來容易，其實做起來難。

明智的做法不是盲目地假設攻擊者會立即采用新型攻擊來針對OT環境，從而回應不太可靠的贖金支付。但同時也不應該忽視這種可能性。可以說，不久的將來攻擊者的作案手法確實會由Cy-X轉變為針對于OT特定資產的攻擊，只是這種轉變可能需要一支特別具有創新性的網絡攻擊團隊來實現。

數世點評

攻擊者從依賴傳統IT技術的攻擊手段轉向使用更加復雜的OT特定攻擊技術的趨勢，不僅反映了攻擊者對更大收益的追求，也體現出他們不斷適應和克服組織防御措施的能力。

然而，許多OT環境在設計之初并未充分考慮到安全威脅問題，更是給了攻擊者可乘之機。為應對不斷演變的威脅類型與攻擊手段，組織必須重新審視自己OT 環境的風險水平、保護措施以及安全策略。

另外，OT環境中的網絡安全策略必須經過精心地設計，采用不同于傳統IT安全的方法,更側重于最大限度地減少對物理流程的干擾，以平衡安全性和可靠性的需求與生產活動效率和穩定性的保障。

來源：數世咨詢