Darktrace针对英国和美国能源行业进行的一项为期三年(2021年11月至2024年12月)的研究显示，网络攻击一旦成功，后果可能十分严重，可能会破坏能源供应并造成经济和社会损失。

“我们的三年分析揭示，英国和美国能源行业存在亟待关注的重大漏洞。安全团队应优先考虑以下三个关键领域：首先，减少OT系统向互联网的重大暴露，因为能源行业在此类易受攻击的配置方面首当其冲，攻击者可利用此类配置获得初始访问权限。其次，实施全面的资产可见性解决方案，因为该行业大多数组织缺乏适当的库存管理，而这一点在我们观察到的整个行业的供应链攻击中已被利用。第三，加强电子邮件安全协议，因为我们的研究表明，55%的成功攻击仍然源自网络钓鱼活动。我们已确定国家和高级持续性威胁(APT)行为体以及专门针对工业控制系统的成熟攻击者已潜入能源网络。随着该行业加速向净零目标推进数字化转型，安全团队必须确保防护措施同步发展。”Darktrace的分析主管Zoe Tilsiter(本报告作者)向记者介绍道。

电子邮件是初始攻击载体

美国和英国以及各类能源客户的情况显示，55%的事件涉及电子邮件或软件即服务(SaaS)，使其成为最频繁的攻击载体。收件箱仍然是传递恶意有效载荷的主要方式，其次是SaaS在整个部署中的漏洞传播。

在大多数情况下，网络钓鱼邮件被用来窃取凭证，从而导致(通常是)Microsoft 365帐户遭到攻击。

18%的案件利用并部署了勒索软件。常见的威胁行为体包括ALPHV/BlackCat和Fog，其他还包括Sodinokibi、Hunters International和KOK08，其中一些勒索软件组织(例如Sodinokibi)采用勒索软件即服务(RaaS)模式，13%的案件因网络安全态势薄弱而遭到初次攻击。

自2022年以来，欧洲、中东和非洲(EMEA)地区针对可再生能源生产商和供应商的攻击明显增多。2019年至2022年期间，霍尼韦尔(Honeywell)和施耐德电气(Schneider Electric)等公司遭到疑似与APT28相关的间谍活动攻击。

2022年4月，乌克兰的变电站遭到Sandworm(俄罗斯武装部队总参谋部(GRU))的攻击，其目标是IT IEC-104协议，该协议与电力公用事业设备交互，向变电站设备发送电力流指令。

Lazarus组织(朝鲜赞助的APT)利用互联网上暴露的VMware Horizon和Unified Access Gateway服务器上的Log4j漏洞(CVE-2021-44228)攻击了美国、加拿大和日本等地的能源公司。

能源行业的AI应用

AI正被广泛应用于各行各业，能源行业也不例外，然而，尽管AI潜力巨大，但该行业尚未完全实现AI驱动。业内认为，如果AI的使用未伴随充分的培训，可能会给该行业带来更多风险。目前尚无确凿证据表明AI已被用于攻击能源行业。

采用AI的攻击者可能会改变攻击的方式、规模和速度，从而造成更大破坏。理论上，敌人可利用AI训练语言模型，从而在大范围内进行侦察和锁定目标。

“关于AI将摧毁电网的说法，粗略一看似乎颇为可信，但实际上很多时候并不明智。我不认为我们已接近那个程度，我们还差得远呢。”麻省理工学院(MITRE)网络基础设施保护创新中心(CIPIC)主任Mark Bristow说道。

过度依赖、外包和云端

该行业历来过度依赖少数关键供应商和系统，这种依赖集中化增加了单一针对性攻击可能对关键国家基础设施(CNI)产生连锁影响的风险。正如英国皇家联合军种研究院(RUSI)所警告的，“关键软件系统由少数几家公司控制”，由于缺乏供应商多样性而带来严重风险。

能源行业高管开始考虑将人机界面(HMI)和甚小孔径终端(VSAT)等OT设备以及离散逻辑控制系统和5G通信托管在云端。云端设置有助于提升规模和速度，但也带来了新的风险。一位美国专家表示，“风险在于最终将资产连接到以太网转换器并插入云端”。

同时，能源公司正在外包更多工作，这意味着他们通常不了解其供应商使用的软件是什么，也不清楚其安全性如何。

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。