[摘要]2017年上半年，制造業企業最容易遭受網絡威脅攻擊：根據卡巴斯基實驗室題為“2017年上半年工業自動化系統威脅情況”報告，遭受攻擊的工業控制系統計算機中，來自制造業的占三分之一。我們記錄到的攻擊者活動高峰出現在3月份，之后從3月至6月，遭受攻擊的計算機比例逐漸下降。

今年前六個月，卡巴斯基實驗室產品在37.6%的工業控制系統計算機上攔截了攻擊。我們會從這些計算機上接收匿名信息，總數量達到數萬。這一數據與上一期相比，幾乎沒有變化——較2016年下半年相比，下降了1.6個百分點。受攻擊的目標大多都是制造各種原料、設備和商品的制造企業。其他遭受影響較嚴重的行業還包括工程行業、教育業以及食品和飲料行業。能源企業的工業計算機遭受的攻擊占全部攻擊的近5%。

工業計算機遭受攻擊最嚴重的前三個國家保持不變，仍然為越南（71%）、阿爾及利亞（67.1%）和摩洛哥（65.4%）。根據卡巴斯基實驗室公布的數據，研究人員發現中國（57.1%）工業系統遭受攻擊的比例有所增加，位列第五位。安全專家還發現，威脅的主要來源為互聯網：我們在20.4%的工業控制系統計算機上攔截過試圖下載惡意軟件或訪問已知惡意內容或釣魚網絡資源的行為。這種感染類型的統計數據較高的原因在于企業和工業網絡之間的接口，工業網絡中可以訪問有限的互聯網資源，通過移動電話運營商的網絡將工業網絡上的計算機連接到互聯網。

卡巴斯基實驗室在2017年前六個月共在工業自動化系統中檢測到約18,000種不同的惡意軟件變種，這些惡意軟件屬于2,500多個不同的惡意軟件家族。

勒索軟件攻擊

今年上半年，全球面臨一波勒索軟件疫情，這種威脅也影響了工業企業。根據卡巴斯基實驗室工業控制系統計算機應急響應團隊（ICS CERT）的研究，遭受加密木馬攻擊的工業控制系統計算機數量顯著增加，在3月份增加了3倍。總體來看，安全專家共發現33種屬于不同家族的加密勒索軟件。大多數加密木馬都通過偽裝成企業通訊的垃圾郵件進行傳播，這些郵件中或者包含惡意附件，或者包含指向惡意軟件下載器的鏈接。

2017年上半年勒索軟件主要統計數據包括：

· 位于企業和組織的工業基礎設施中的計算機中，有5%至少遭遇了一次加密勒索軟件攻擊。

· 全球63個國家的ICS計算機面臨著眾多加密的勒索軟件的攻擊，其中最臭名昭著的是WannaCry和ExPetr攻擊行動。

· WannaCry攻擊在加密勒索軟件家族中名列前茅，工業基礎設施中遭受其攻擊的計算機占13.4％。 受影響最嚴重的組織包括醫療機構和政府部門。

· ExPetr是今年上半年另一種臭名昭著的加密勒索軟件，遭受攻擊的企業中，至少有50%來自制造行業以及石油和天然氣行業。

· 排名前十位的加密木馬家族包括其他勒索軟件家族，例如Locky和Gerber，這些威脅從2016年就開始活動，并且為網絡罪犯帶來最高的收益。

卡巴斯基實驗室關鍵基礎設施防御部門負責人Evgeny Goncharov說：“2017年上半年，我們看到工業系統的保護是如何的薄弱：幾乎所有受影響的工業計算機都是意外被感染的，是最初針對家庭用戶和企業網絡的攻擊所造成的。在這個意義上，WannaCry和ExPetr這種毀滅性攻擊被證明是具有參考性，其攻擊會導致全球企業生產中斷，物流停滯，醫療機構關閉。這種攻擊的結果可能引發入侵者進一步的行動。 由于在采取預防措施方面，我們已經落后了，所以企業需要考慮現在采取主動防御措施，避免未來“救火”。

為了保護工業控制系統環境不受網絡攻擊的危害，卡巴斯基實驗室ICS CERT建議企業采取以下措施：

· 獲取運行的網絡服務清單，特別注意那些提供遠程訪問文件系統對象的服務。

· 審計ICS組件訪問隔離，企業工業網絡中的網絡行為以及邊界以及同使用可移動存儲媒介和移動設備相關的策略和措施。

· 確認對工業網絡的遠程訪問安全性，將遠程管理工具的使用限制到最少，或者完全禁用。

· 確保端點安全解決方案保持更新。

· 使用高級保護手段：部署提供網絡流量監控的工具，檢測工業網絡中的網絡攻擊。