能源行业即将迎来网络威胁的新时代

网络威胁针对能源行业的行业胁的新形式多种多样，包括寻求破坏国家基础设施的迎网国家支持行为体、受利润驱使的络威网络犯罪分子以及故意制造破坏的内部人士
。

Darktrace针对英国和美国能源行业进行的行业胁的新一项为期三年(2021年11月至2024年12月)的研究显示，网络攻击一旦成功
，迎网后果可能十分严重，络威可能会破坏能源供应并造成经济和社会损失。行业胁的新

“我们的服务器租用迎网三年分析揭示 ，英国和美国能源行业存在亟待关注的络威重大漏洞
。安全团队应优先考虑以下三个关键领域：首先，行业胁的新减少OT系统向互联网的迎网重大暴露，因为能源行业在此类易受攻击的络威配置方面首当其冲，攻击者可利用此类配置获得初始访问权限 。行业胁的新其次
，迎网实施全面的络威资产可见性解决方案，因为该行业大多数组织缺乏适当的库存管理，模板下载而这一点在我们观察到的整个行业的供应链攻击中已被利用 。第三，加强电子邮件安全协议，因为我们的研究表明，55%的成功攻击仍然源自网络钓鱼活动 。我们已确定国家和高级持续性威胁(APT)行为体以及专门针对工业控制系统的成熟攻击者已潜入能源网络
。随着该行业加速向净零目标推进数字化转型 ，安全团队必须确保防护措施同步发展
。”Darktrace的分析主管Zoe Tilsiter(本报告作者)向记者介绍道。

电子邮件是香港云服务器初始攻击载体

美国和英国以及各类能源客户的情况显示 ，55%的事件涉及电子邮件或软件即服务(SaaS)，使其成为最频繁的攻击载体
。收件箱仍然是传递恶意有效载荷的主要方式，其次是SaaS在整个部署中的漏洞传播。

在大多数情况下，网络钓鱼邮件被用来窃取凭证，从而导致(通常是)Microsoft 365帐户遭到攻击 。建站模板

18%的案件利用并部署了勒索软件。常见的威胁行为体包括ALPHV/BlackCat和Fog，其他还包括Sodinokibi 、Hunters International和KOK08 ，其中一些勒索软件组织(例如Sodinokibi)采用勒索软件即服务(RaaS)模式，13%的案件因网络安全态势薄弱而遭到初次攻击。

自2022年以来，欧洲 、中东和非洲(EMEA)地区针对可再生能源生产商和供应商的攻击明显增多。2019年至2022年期间，霍尼韦尔(Honeywell)和施耐德电气(Schneider Electric)等公司遭到疑似与APT28相关的间谍活动攻击。源码下载

2022年4月，乌克兰的变电站遭到Sandworm(俄罗斯武装部队总参谋部(GRU))的攻击 ，其目标是IT IEC-104协议 ，该协议与电力公用事业设备交互，向变电站设备发送电力流指令。

Lazarus组织(朝鲜赞助的APT)利用互联网上暴露的VMware Horizon和Unified Access Gateway服务器上的Log4j漏洞(CVE-2021-44228)攻击了美国 、加拿大和日本等地的能源公司。

能源行业的AI应用

AI正被广泛应用于各行各业 ，高防服务器能源行业也不例外
，然而 ，尽管AI潜力巨大，但该行业尚未完全实现AI驱动。业内认为，如果AI的使用未伴随充分的培训，可能会给该行业带来更多风险。目前尚无确凿证据表明AI已被用于攻击能源行业。

采用AI的攻击者可能会改变攻击的方式、规模和速度
，从而造成更大破坏。理论上，敌人可利用AI训练语言模型，从而在大范围内进行侦察和锁定目标
。

“关于AI将摧毁电网的说法
，粗略一看似乎颇为可信，但实际上很多时候并不明智 。我不认为我们已接近那个程度，我们还差得远呢。”麻省理工学院(MITRE)网络基础设施保护创新中心(CIPIC)主任Mark Bristow说道。

过度依赖、外包和云端

该行业历来过度依赖少数关键供应商和系统，这种依赖集中化增加了单一针对性攻击可能对关键国家基础设施(CNI)产生连锁影响的风险。正如英国皇家联合军种研究院(RUSI)所警告的 ，“关键软件系统由少数几家公司控制”，由于缺乏供应商多样性而带来严重风险。

能源行业高管开始考虑将人机界面(HMI)和甚小孔径终端(VSAT)等OT设备以及离散逻辑控制系统和5G通信托管在云端。云端设置有助于提升规模和速度，但也带来了新的风险
。一位美国专家表示，“风险在于最终将资产连接到以太网转换器并插入云端”。

同时 ，能源公司正在外包更多工作
，这意味着他们通常不了解其供应商使用的软件是什么 ，也不清楚其安全性如何。