采矿业新出现的网络威胁

现代采矿设施中的日常运营包括钻孔、受控爆破、挖掘、装载、运输、破碎和矿物加工，而南非的制造业则以纺织、农业加工、汽车、化工、信息和通信技术等行业为主，电子、金属、服装和鞋类。

如今，采用机器学习和物联网 (IoT) 等先进技术的智能系统增加了额外的复杂性。

南非的行业领导者被称为“智能制造/智能采矿”，他们认识到这些术语涵盖从人工智能 (AI) 到机器人和网络安全的方方面面。普华永道关于 4IR 采用的跨国调查发现：“87% 的工业产品公司的商业领袖同意 4IR 技术为公司带来竞争优势，79% 的人同意它创造了新的收入来源。”

尽管这些先进系统与构成各部门骨干的运营技术 (OT) 的融合具有明显的好处，但同样重要的是要强调对这种相互连接和依赖互联网的系统的依赖并非没有其自身的风险。

Fortinet 2019 年的一项调查发现，74% 的依赖 OT 的企业在过去 12 个月内经历过严重的 IT 安全漏洞。

这些事件对每个组织都产生了一系列不利影响。这些包括但不限于收入损失、关键业务数据泄露以及品牌声誉受损。

行业内攻击者最针对的技术是工业控制系统 (ICS)。ICS 是嵌入式计算机设备，负责工业中无数的自动化过程控制(例如，测量仪器、包装机械和组装线的所有其他组件，这些组件构成任何生产过程的一部分)。

ICS 设备通常不如笔记本电脑、台式机和智能手机等企业信息技术 (IT) 设备广为人知，因为它们通常是行业独有的，用于专门的系统或操作。

采矿业迅速采用自动驾驶汽车、遥控挖掘机、基于 Wi-Fi 的现场位置跟踪和智能自适应通风系统，而制造业则使用智能技术进行优化、质量检查和广泛的系统控制。

这些设备的网络风险通常仍然未知，因此组织无法解决。

COVID-19 大流行加剧了这个问题;2020 年前六个月，制造业的入侵活动急剧增加，与 2019 年同期相比，网络攻击至少增加了 11%。

仅在 20 财年，估计就有 70 起网络安全事件针对澳大利亚的采矿和资源行业。这种升级不仅体现在复杂性方面，还体现在进入攻击领域空间的威胁行为者的类型方面。在本文档的其余部分，我们将检查并强调对 ICS 技术的不同威胁以及实施这些攻击的参与者的概况。

我们还将强调值得注意的事件，以帮助展示 ICS 攻击的复杂性和后续影响。

根据动机，每个攻击者使用一系列不同的策略、技术和程序 (TTP)。这不仅决定了每次攻击的影响，而且还决定了组织成为目标并随后受到攻击的方式。通常，我们注意到内部人员可以成为任何威胁组织的一部分。

意识到部门中的安全漏洞可以采取多种不同形式并且源自多个不同地方的组织能够更好地想象实施正确防御的方法。首先，我们强调普华永道已回应的行业内的显着违规行为。

普华永道对制造业和采矿业攻击的回应

2019 年 2 月，普华永道南非应对勒索软件攻击，其中一家主要食品制造企业的运营受到一种以前未知的恶意软件的影响。

这通常被安全从业者称为“零日漏洞”。勒索软件影响了该组织的一些海外业务，然后通过网络传播，至少影响了三个国家。

这导致关键的公司和金融系统离线超过一周，直到网络重建并清除恶意软件。然而，在攻击的初始阶段，普华永道能够将 OT 网络和企业网络分开——这使得制造业务得以继续。

如果不这样做，这次攻击可能会对组织产生更具破坏性的影响。2019 年底，普华永道的德国、比利时、英国、加拿大和美国事件响应团队发起了联合响应。航空航天领域的一家制造商遭遇了一次中断跨地区运营的事件。在这种情况下，OT/ICS 网络内的 IT 系统可以自由访问互联网和电子邮件。此外，为了满足不同合作伙伴的需求，该组织使用过时的通信协议向他们提供数据，这些协议经过改造以使用 TCP/IP 网络。

实际上，IT、OT、ICS 和 ERP 系统已被攻击者攻陷并瘫痪。

普华永道南非对 2019 年对两家主要矿业公司的攻击做出了回应。 在这两种情况下，攻击者都在将其电子邮件系统迁移到基于云的邮件平台后，利用了两家组织网络上薄弱的安全措施。一旦进入网络，攻击者就能够更改合法发票并冒充参与支付结算的个人，试图将资金从企业转移到他们控制的账户。普华永道能够确定被盗账户列表，并帮助两家企业在其新实施的云托管平台上实施更强的安全性。

该行业的其他值得注意的攻击

2018 年 7 月，一家专门为多家公司提供自动化解决方案的供应商 Level One Robotics and Controls Inc 遭受攻击，制造行业 100 多家公司的敏感数据从其服务器中被盗。该事件值得注意的是，单个供应链漏洞如何导致 100 多家公司的关键业务数据和知识产权丢失，其后果无法轻易量化。

2019 年，麻省理工学院技术评论发布了关于一种名为 Triton 的新恶意软件的警报。该恶意软件旨在禁用为防止灾难性工业事故而构建的安全系统。

该恶意软件最初是在对沙特阿拉伯发电厂发起的攻击中发现的，此后已被其他黑客采用和修改，以在世界各地发起攻击。

行业破坏者攻击

Industroyer 是一种模块化恶意软件，旨在破坏各种类型的关键 ICS 基础设施和流程。2016 年，它被用来对乌克兰电网发动攻击，切断了基辅市大部分地区的能源供应。这是一个重要的提醒，虽然目标可能是该行业的企业，但其后果可能会影响整个人群。

动机和攻击向量

间谍活动已成为制造业网络攻击背后的驱动力之一。网络犯罪分子可以进入该行业的企业网络，目的是窃取商业机密和知识产权。然而，我们的研究表明，尽管与去年同期相比，2020 年以间谍为动机的事件显着增加，但大多数攻击主要是出于经济动机(63-95%)。

攻击的复杂程度差异很大，主要取决于现有的安全控制。攻击者选择利用常见且可公开访问的技术，然后在获得初始立足点后通过网络传播。

我们还利用我们在全球网络中进行网络安全评估和渗透测试的经验来确定 OT/ICS 网络中十个最常见的安全漏洞。

勒索软件

一旦攻击者在组织中站稳脚跟，他们所使用的工具和策略通常旨在通过尽可能简单的方式将他们的攻击货币化。目前，黑客武器库中最常见的工具是勒索软件。勒索软件是一种恶意软件(malware)，可以勒索您的系统或数据。

当前的趋势是攻击者加密数据并显示要求在允许访问数据之前向攻击者支付赎金的消息。

在全球范围内，普华永道跟踪了 2020 年各个行业的勒索软件攻击情况。上图表示由于勒索软件攻击而在“泄漏”网站上宣传的数据比例。

其中，17% 影响了制造业，但似乎没有公布采矿业的数据。根据我们的经验，采矿业攻击的性质主要集中在电子支付欺诈、工业间谍活动和破坏活动上。鉴于勒索软件攻击的性质，采矿部门的组织不应忽视这些攻击带来的威胁。

非洲大陆可用的数据有限，但我们认为这代表了该行业的非洲组织对此类攻击的敏感程度。Verizon 2020 年数据泄露调查报告指出，针对这些行业的攻击占他们 2019 年全球调查的案件的 11%，而 Kivu 指出，他们在全球调查的案件中有 18% 发生在制造业。Kivu 进一步指出，尽管这一比例相当低，但制造业企业占 2019 年支付的赎金的 62%，支付给攻击者的赎金超过 690 万美元。

有几种不同类型的勒索软件，每一种都由不同的黑客组织控制，旨在跨网络传播并以各种方式利用目标。

潜在影响

一个常见的误解是，网络攻击完全是 IT 问题。然而，现实情况是，随着技术被嵌入到操作流程中，这个问题变得更加突出。除了数据和知识产权的丢失外，核心业务运营的风险也会增加，并可能通过网络攻击导致严重中断。此外，安全、健康、环境和质量 (SHEQ) 系统也可能受到影响，因为越来越依赖智能设备来支持这些流程和功能。

总而言之，新兴技术的结合、对这些给组织带来的风险的不成熟理解、对运营的高度依赖以及在该行业中的许多组织中，网络安全支出不足，为威胁行为者发起攻击提供了沃土。

我们处理过的客户经常忽视的另一个关键领域是事件响应流程和应对大规模网络攻击的能力。普华永道已经处理了至少三个大客户，这些客户在危机和补救工作正在进行时不得不长时间完全与互联网断开连接。

在一个例子中，客户服务器资产的很大一部分在网络攻击期间遭到破坏。恢复工作必须在两个月内进行，系统在此期间逐步投入运行。

结论

制造业和采矿业的组织面临着无数不同的网络威胁。

最近与这些领域客户的经验使我们相信，该领域的组织尚未对这些威胁给予足够的重视。他们也没有优先考虑实施适当的缓解策略，而威胁行为者开始对在该领域运营的组织产生兴趣。

由于技术采用的水平不断提高，对这些行业组织的攻击的后果可能是广泛的，并且可能是毁灭性的。因此，企业必须了解关键风险领域、攻击媒介和漏洞，以确保他们采用正确的控制措施来提高安全性并保护其资产。