数据统计

特点

1、ICS计算机上阻止恶意对象的百分比不再呈下降趋势。

从2019年下半年（下半年）开始，我们观察到阻止恶意对象的ICS计算机的百分比下降。在工业控制系统（ICS）以及企业和个人计算环境中都观察到了这一点。这种下降趋势在2020年下半年没有出现。

在全球范围内，下半年受到攻击的ICS计算机的比例为33.4%，比上半年（上半年）高出0.85个百分点。

截至2017-2020年半年，阻止恶意对象的ICS计算机百分比

在62％的国家中，被攻击的ICS计算机的百分比有所增加。

· 2020年下半年，在62%的国家中，与上半年相比，阻止恶意对象的ICS计算机的百分比有所增加。相比之下，2019年7%的国家出现了这种趋势，与2019年下半年相比，2020年上半年也出现了同样的趋势。

2019年上半年与2020年上半年相比，世界各国受攻击计算机的百分比变化

该指标在一个国家/地区中的最大增幅为8.2百分点（沙特阿拉伯），而大多数国家/地区的增幅均不超过4百分点。因此，半年来全球平均变化不大。

2、今年没有观察到往年典型的季节性波动

前几年，在3月、4月、10月，ICS计算机上阻止恶意对象的百分比达到最大值，而这一指标在这两个月之间有所下降。到2020年，这一指标的表现有所不同。它在2月份达到最高点，5月份几乎降到最低点。在夏季的头两个月，它在7月份增长到接近最大值。十月份，受到攻击的ICS电脑的百分比是最低的。

2018-2020年每月被阻止恶意对象的ICS计算机百分比

3、阻止恶意电子邮件附件的ICS计算机的百分比增加

· 在全球范围内，2020年下半年，与上半年相比，阻止恶意电子邮件附件的ICS计算机的百分比增加了0.7个百分点。

阻止恶意电子邮件附件的ICS计算机的百分比

· 除东亚，美国和加拿大，西欧和俄罗斯外，所有地区的这一指标都有所上升。

· 与2020年上半年相比，2020年下半年73.4%的国家的ICS计算机上阻止恶意电子邮件附件的百分比有所增加。这是2019年同等指标（23.6%）的三倍。

2019年与2020年相比，上半年阻止恶意电子邮件附件的ICS计算机的百分比变化

4、通过互联网和电子邮件传播威胁、间谍软件和矿工被阻止的ICS计算机的比例有所上升

· 来自互联网的恶意对象-涉及恶意软件分发或管理的Web资源（+2.5 百分点），以及Web资源上的恶意脚本和重定向（JS和HTML）（+1.6 百分点）。

· 通过电子邮件分发的典型威胁（+1.2 百分点）-恶意的MS Office和PDF文档（+1.2 百分点）。

· 间谍软件（+1.4 百分点）-木马、后门和键盘记录程序。

· 矿工（+0.7 百分点）– Windows的可执行文件。

对于所有这些威胁，2020年下半年的指标不仅超过了2020年上半年，而且还超过了2019年下半年。

2019年下半年– 2020年下半年，各类恶意对象被阻止的ICS计算机百分比

5、在发达国家，被勒索软件攻击的ICS计算机的比例增加了

在全球范围内，拦截勒索软件的ICS计算机百分比从上半年的0.63%下降到下半年的0.49%。与此同时，发达国家地区的这一指标也有所上升：

· 美国和加拿大+0.25百分点

· 澳大利亚+0.23百分点

· 西欧+0.13百分点

2020年上半年与下半年相比，勒索软件被阻止的ICS计算机（pp）的百分比变化

COVID-19大流行的影响

在2020年上半年的报告中，我们提到了COVID-19大流行对我们在工业企业和工业自动化系统的攻击面和威胁格局中观察到的变化的影响。在2020年下半年，我们继续观察并确定了一些趋势，我们认为这些趋势可能是由于流行病所改变的一些方式引起的。

受攻击计算机的季节性波动变化

从“阻止恶意对象的ICS计算机的百分比”图中可以看出，在过去几年中，受攻击的ICS计算机的百分比在夏季和12月份显著下降。这种减少很可能与传统的假期有关：受感染的USB驱动器本身无法将恶意软件从一台计算机传输到另一台计算机，毕竟，当工程师不在时，工程工作站无法有人会单击指向钓鱼网站的链接。

然而，2020年的情况发生了明显的变化：我们没有看到受到攻击的计算机的百分比出现明显的季节性波动。这很可能是由于员工休假计划的改变，因为许多人决定在疫情封锁期和旅行限制期不休假。

对RDP远程连接服务的攻击

大流行的另一个影响是，通过RDP协议远程访问的ICS计算机的百分比明显增加。

到2020年，通过RDP访问ICS计算机的百分比

从上图中可以看出，这一比例从1月到4月持续增长，这段时间许多企业都在应对在疫情封锁期企业工作所带来的安全挑战。然后，在一波动之后，百分比有所下降，并稳定在比疫情前略高的水平。

我们没有足够的数据得出结论，这些计算机中有多少比例只能从企业的工业网络访问？有多少部分可以从公司内部网络访问？还有多少在企业的范围之外也可用？然而，我们可以自信地说，ICS计算机可用性的增加肯定会影响攻击面。威胁参与者显然利用了这一点，从下图中可以明显看出这一点，下图显示了在ICS计算机上检测并阻止了对用于访问RDP服务的凭据的暴力攻击的百分比：

2020年在ICS计算机上检测到暴力破解RDP密码的尝试的百分比

很容易注意到这两个参数发生的变化具有一定的同步性：受到攻击的RDP连接的百分比几乎是整个一年（从一月到十月）都遵循通过RDP可用的UCS计算机的百分比，大约延迟了一个月（这些变化将在10月和11月同步）。

检测到对RDP密码进行暴力攻击的ICS计算机的百分比，以及通过RDP可用的ICS计算机的百分比

我们只能猜测受攻击计算机所占百分比发生的变化的一个月“延迟”是否与企业网络上的攻击传播速度或威胁参与者对机会格局变化的响应速度有关（攻击面）。

勒索软件优先级的变化

通过分析勒索软件对不同地区工业企业的攻击动态，可以确定疫情的另一个影响，这一动态可根据受到勒索软件攻击的ICS计算机的百分比进行间接评估。从“被勒索软件拦截的ICS计算机百分比的变化”图表以及下图可以看出，在2020年下半年，除北美、西欧和澳大利亚外，全球所有地区的这一百分比都有所下降，而北美、西欧和澳大利亚的这一比例不仅没有下降，反而增加了数倍！

2019年下半年至2020年下半年，拦截勒索软件的ICS计算机百分比

我们认为，这些奇怪的动态可能表明威胁行为者对疫情的经济影响作出了反应。在大流行导致组织的“信誉度”下降的国家中，对工业企业的攻击次数也有所下降。同时，在工业组织通常财务状况较为稳定的国家中，攻击者的活动有所增加。

完整的报告可在卡巴斯基ICS CERT上获得。

本文翻译自：https://securelist.com/threat-landscape-for-industrial-automation-systems-statistics-for-h2-2020/101299/如若转载，请注明原文地址