能源行业移动网络安全威胁态势
2021-11-16
来源:关键基础设施安全应急响应中心
能源行业与社会安全和福祉息息相关,是全球基础设施的重要组成部分,从食品供应、教育、到医疗保健和经济增长等各个方面,能源行业都处于中心位置。正因如此,该行业也处于网络攻击的中心。全球17.2%的移动网络攻击以能源组织作为攻击目标,使得该行业成为黑客组织、网络罪犯、和民族国家威胁者的最大攻击目标。
由于复杂的供应链关系和数字化转型计划,能源组织的攻击面不断增加,组织正在将工作负载转移到移动设备和云应用程序。这一举措使得员工、合作伙伴和第三方供应商能够随时随地保持联系。然而该生态系统也使能源组织面临重大的网络风险,单一漏洞就可能会暴露整个供应链,例如2020年的SolarWinds和2021年的Microsoft Exchange攻击。
为了更好地了解能源行业面临的网络安全挑战,Lookout研究人员分析了2020年7月1日至2021年6月30日期间的研究数据。该数据包括来自超过2亿台设备、1.5亿个应用程序的遥测数据,以及来自Lookout安全网关的检测数据。Lookout研究人员针对燃料提取、制造、精炼及分销等能源生产及销售组织进行了分析。
一、 主要发现
Lookout研究人员发现,能源行业针对移动设备的网络钓鱼攻击激增,反映出威胁面的扩大。与其他行业相比,能源行业移动应用程序的威胁暴露率要高得多。尽管勒索软件和监视软件备受关注,但与复杂的恶意软件相比,高风险应用程序及漏洞是更常见的威胁。研究人员还发现,许多组织仍然没有妥善保护移动设备,仍然在运行存在已知漏洞的老旧操作系统。
网络钓鱼攻击激增。2021年上半年,20%的能源员工遭受了移动网络钓鱼攻击,比2020年下半年增加了161%。
能源行业威胁暴露率最高。能源行业的平均移动应用威胁暴露率为7.6%,几乎是所有其他行业平均水平的两倍。
使用老旧的操作系统。56%的Android用户仍然在使用老旧版本的Android操作系统,存在近300个可利用漏洞。
员工教育。62.5%经过教育的员工不会再次点击移动网络钓鱼链接。
获取凭据。67%的网络钓鱼攻击获取了用户凭据,而不是仅仅关注恶意软件传播。
应用程序存在风险。能源行业面临的95%的移动应用程序威胁要么是风险软件,要么存在漏洞。
非托管移动设备增加。在过去12个月中,非托管和BYOD移动设备的使用增加了41%。
最佳实践降低风险。可以实施三个基本的移动安全保护措施,以更好地保护组织,同时增加移动设备和云解决方案的使用。
二、 能源行业对移动安全需求增加
能源行业对网络攻击并不陌生。事实上,针对能源组织的移动网络攻击占全球所有移动攻击的17.2%。然而,由于重大的数字化转型举措,过去的气隙系统现在连接到IT网络、云应用程序和移动设备。这使组织及其合作伙伴能够创建提高效率的新流程,包括网络、资产和设施的维护、管理、监控和控制。
图1 各行业移动威胁占比
移动设备处于这种转变的最前沿:在过去12个月中,连接到能源组织的移动设备增加了44%。员工和合作伙伴都使用移动设备连接到OT、工业控制系统和敏感信息。这些设备提高了生产效率,是能源供应链不可或缺的延伸,但许多设备都装载了大量个人和工作应用程序。
现如今随着远程办公逐渐成为主流,员工越来越多地使用个人智能手机和平板电脑进行工作。Lookout发现,行业中非托管移动设备在过去一年中增加了41%,这意味着组织正在失去对这些设备使用方式的控制和可见性。这就更加强调了移动安全的必要性,以防范设备、应用程序、网络钓鱼等于移动设备相关的网络威胁及风险。
三、 移动网络钓鱼攻击激增
威胁行为者利用网络钓鱼等社会工程方法来操纵用户执行一些操作,通常是点击恶意链接,以窃取凭据或在设备上传播恶意软件。一旦获得凭据,威胁行为者就可以访问系统、网络、应用程序或其他敏感数据。攻击者利用这种隐蔽访问在公司基础设施中横向移动,试图识别其他漏洞和有价值的信息。
图2 2020年第三季度至2021年第二季度全球能源行业网络钓鱼百分比
移动网络钓鱼是攻击者破坏组织基础设施的最简单方法之一,能源行业也发现了的此类攻击激增。在过去的12个月中,七分之一的员工(13.6%)遭受了移动网络钓鱼攻击,比所有其他行业的总和还要高出三个百分点。
更令人惊讶的是,在2021年上半年,每五名员工中就有一名(近20%)遭受了移动网络钓鱼攻击,这比前六个月大幅增长了161%,上钩率大幅上升。
亚太地区四分之一的员工(24.2%)在2021年第二季度遭受了移动网络钓鱼攻击,与过去一年相比增长了734%。这一飙升导致该地区的年平均暴露率达到了13.2%的历史最高水平,即八分之一的员工,这可能是由于该地区的经济困境,导致一些人转向网络和其他类型的犯罪。
四、 网络钓鱼攻击的主要目标
网络钓鱼攻击的目标可以分为两类:凭据获取和传播恶意软件。
由于智能手机和平板电脑同时用于个人和工作用途,因此移动设备使攻击者很容易通过网络钓鱼获取凭据并传播恶意软件。由于移动设备屏幕较小,用户界面简单,因此很难识别典型的网络钓鱼迹象。
威胁行为者通过使用受感染的电子邮件、短信、消息应用程序、社交媒体平台和移动网站来针对员工。移动网络钓鱼还可以利用与外部站点通信的应用程序,如游戏、约会应用程序、甚至供应链工具。收集到的信息可用于跟踪人员的行踪,并捕获其他登录和密码信息。
在能源行业,三分之二(67%)的网络钓鱼攻击的目标是凭据获取,威胁行为者三分之一(33%)的目标是传播恶意软件。凭据窃取提供了威胁行为者所需的一切,可以像员工一样悄悄登录到组织的基础设施。一旦获得访问权限,就可以在很长一段时间内不被发现,从而识别漏洞并利用敏感数据。
图3 网络钓鱼攻击目标分布
事实上,研究人员发现,工业控制系统中的漏洞在被识别和修复之前平均存在五年以上。
威胁行为者通常使用VPN访问来进行网络钓鱼并获取凭据。这是因为VPN提供了无限制的访问权限,使攻击者可以免费且开放地访问组织基础设施中的任何应用程序。此外,很难检测到VPN中账户或设备受损的异常活动。
恶意软件传播,即诱骗员工在设备上安装恶意应用程序,是一种利润丰厚的网络犯罪。虽然勒索软件只是众多恶意软件中的一个例子,但在2020年,公司向FBI报告了2,474起事件,造成了2,910万美元损失。
与凭据获取类似,恶意软件可以通过多个移动渠道传播。通过利用社会工程技术,攻击者诱使员工下载、安装或点击带有恶意软件的链接。因此,快速检测入侵者和其他移动安全漏洞对于减少和减轻漏洞的影响至关重要。
例如,Flubot银行木马于2020年末发现,该恶意软件操纵用户认为其需要安装应用程序才能验证、跟踪或接收有关来自Deutsche Post、DHL、Saturn、UPS和其他公司的货件的更新。安装后,该应用程序会拦截并发送短信、显示覆盖屏幕、并窃取联系人信息。每个组织的恶意软件攻击平均成本为250万美元。
油气管道公司Colonial Pipeline在2021年5月遭受了勒索软件攻击,导致美国东部汽油短缺了五天。攻击针对Colonial Pipeline使用的计费系统,利用众多安全漏洞,包括存在漏洞的VPN、未修补的Microsoft Exchange服务器、及可能被利用的和公开网络协议。
五、 APP风险及分类
能源行业中的应用程序威胁远超所有其他行业。在过去一年中,平均每14名员工中就有1名(7.6%)遭受了移动应用程序威胁。能源行业员工遇到应用程序威胁的可能性几乎是所有其他行业员工总和的两倍。
全球能源行业的应用程序遭受威胁比率在2020年最后一个季度创下历史新高,飙升超过15%,然后在2021年上半年回落至接近4.4%的更稳定的水平。北美地区的设备暴露率低于其他地区。虽然EMDA地区的暴露率略高,但亚太地区的组织面临更大的风险,暴露率高达11.4%。
在能源行业遇到的应用程序威胁中,存在风险的应用程序和漏洞占所有威胁的95%,其余为恶意软件。随着能源行业越来越多地利用移动设备和应用程序来管理运营,组织必须更好地了解哪些应用程序威胁最普遍、这些威胁的性质以及如何防御这些威胁。
从历史上看,包括能源行业在内的所有行业的整体应用威胁暴露率一直在1%左右。这种情况在2020年第三季度发生了变化,广泛使用的广告软件开发工具包(SDK)SourMint被嵌入到各种移动应用程序中,因其对用户浏览习惯的过度洞察,被重新归类为风险软件。这将能源行业的全球应用威胁暴露率提高至近7%。
事实上,能源行业面临的近95%的移动应用威胁要么是风险软件,要么是漏洞。风险软件是由于软件不兼容、安全漏洞、或违反合规性而带来潜在风险的合法程序。风险软件与漏洞不同,漏洞是软件代码中可以被攻击者利用的缺陷。
应用程序威胁导致的一些能源行业风险包括:
由于数据处理实践而导致违规;
允许应用跟踪位置、访问短信和辅助功能的过多权限;
访问摄像头和麦克风来监视用户;
访问设备的文件系统;
与国外服务器的连接。
图4 能源行业APP威胁导致的风险分类
另一方面,恶意软件是可对设备、服务器、客户端或网络造成损害的软件。移动恶意软件有多种类型,包括木马、间谍软件、广告软件、键盘记录软件和勒索软件等。每种类型的软件都旨在实现特定目标,例如勒索软件会加密受害者数据,直到支付赎金为止,而间谍软件可能会访问摄像头、麦克风或消息来监视用户。
今年重新出现的一种先进的移动恶意软件是Pegasus,由NSO Group开发。NSO Group是一家总部位于以色列的公司,是不受监管的间谍软件行业的知名领导者。该间谍软件会感染iOS和Android设备,并使运营商能够获取GPS坐标、消息、加密聊天、照片和电子邮件。还可以记录通话,并在用户不知情的情况下秘密打开麦克风和摄像头。Pegasus自2016年被Lookout和Citizen Lab发现以来一直在进化,现在能够在目标的移动设备上安装和执行,而无需用户进行任何交互。
这种类型的恶意软件可以让威胁行为者查看能源工厂内部的操作或获取机密信息。有了这些内部信息,可能会发起更广泛的攻击,破坏关键基础设施,并威胁公民的安全和福祉。
六、 APP及操作系统漏洞
漏洞占所有应用程序威胁的近40%,并无意中为攻击者打开了大门。几乎每天都会发现新的漏洞,不断增加能源组织的威胁面。在移动设备上,存在两种主要类型漏洞:应用程序漏洞和操作系统漏洞。
例如在去年在Android版Chrome浏览器中发现的漏洞CVE-2020-16010,要利用此漏洞,攻击者只需向设备发送恶意构建的HTML页面即可。一旦成功利用,攻击者就可以访问应用程序的任何功能,包括摄像头和麦克风、位置数据和浏览历史记录。有超过50亿台设备运行Chrome,这个漏洞对包括能源行业在内的所有行业都构成了严重风险。
在Google Play核心库中发现的另一个漏洞对应用程序威胁暴露率有显著影响。该库使移动应用程序能够从Google Play商店获取高级功能和更新。该漏洞使威胁行为者能够使用该库将代码注入任何应用程序,从而窃取凭据、财务详细信息并阅读电子邮件。为了应对应用程序威胁,能源组织需要通过强大的应用威胁检测能力来实施移动安全。
此外,能源组织需要根据应用程序权限和功能做出明智的应用程序审查决策,应设置应用程序策略,以根据风险承受能力发送自动警报,如标记与高风险地区的服务器通信,或缺乏适当数据传输安全性的应用程序。
能源行业仍在使用老旧版本的谷歌和苹果操作系统,使组织面临数百个漏洞,这些漏洞可被威胁行为者利用访问组织环境。超过一半(55.9%)的Android设备尚未升级到2020年9月推出的最新可用操作系统。好消息是,只有15%的iOS设备自发布以来没有升级到最新版本。过时的操作系统使能源组织面临数百个已经修复的漏洞。
虽然能源组织可能会选择推迟更新,直到其专有应用程序经过测试,但移动操作系统应该尽快更新,以修复漏洞并解决安全问题。任何延迟都会产生漏洞窗口,在此期间,威胁行为者可以使用移动设备访问基础设施并窃取敏感数据。
与特定操作系统版本相关的漏洞数量代表了保留在该版本上的风险。虽然漏洞可以修补,但仍有一些问题需要克服:
漏洞发现和补丁发布之间存在漏洞窗口期;
修复通常需要用户操作来更新设备;
很难了解操作系统版本和已安装的安全补丁。
只有了解端点和应用程序漏洞,才能确切知道这些漏洞存在的位置,以及何时需要更新,以防止安全漏洞被威胁行为者利用。
七、缓解建议
员工只需点点鼠标,就可能导致重大违规。因此员工教育应该是应对网络钓鱼最好的方式。员工是企业的第一道防线,因此,员工识别网络钓鱼邮件的能力是组织抵御网络钓鱼攻击最重要的防御措施。
然而,随着网络钓鱼尝试变得越来越复杂,并且与台式计算机的关联越来越少,员工可能很难识别网络钓鱼链接。幸运的是,威胁行为者会重复使用多种网络钓鱼技术,员工可以学习如何在移动设备上轻松识别。通过更好地了解移动网络钓鱼攻击,员工将很快学会不与网络钓鱼攻击互动。数据显示,经过培训后,超过一半(56.4%)曾点击过网络钓鱼链接的员工在12个月内没有再点击过后续的移动网络钓鱼链接。
令人极为担忧的是,过去一年中,许多用户成为攻击目标的次数超过五次,但好消息是,到第六次网络钓鱼尝试时,只有5.2%的员工与威胁进行了交互,减少了50%以上点。
针对应用程序的教育越多,员工与潜在威胁互动的可能性就越小。能源组织需要确保其网络钓鱼培训不仅仅包括台式机和电子邮件,还要包括与移动网络钓鱼相关的培训。
随着能源组织进行数字化转型,保护员工用来访问公司资源和运营技术的移动端点安全势在必行。网络钓鱼攻击、移动应用程序威胁、和老旧的操作系统给紧张的能源行业带来了更高的风险。为了降低这种风险,Lookout研究人员建议立即采取以下步骤:
确保移动设备包含在整体网络安全计划中。通常,这些设备不包含在正式程序中。必须将移动设备包含在整体网络安全计划中,以确保移动操作系统和应用程序保持最新状态,从而降低风险和漏洞。程序还应就特定于移动设备的威胁对用户进行教育。
确保移动网络钓鱼防护在每台移动设备上运行。大多数攻击始于网络钓鱼,而移动设备提供了多种攻击途径。反网络钓鱼解决方案必须阻止来自移动设备上已知网络钓鱼站点的任何通信,包括短信、应用程序、社交平台和电子邮件。
确保连接到公司资源的设备上的移动应用程序的可见性。在同一设备上使用个人应用程序和工作应用程序时,个人应用程序中的任何恶意软件都可能为威胁行为者打开大门。利用移动安全解决方案来了解正在使用的应用程序,并做出负责任的应用程序审查决策。