Trong ấn bản năm ngoái của Security Navigator, chúng tôi đã lưu ý rằng ngành Sản xuất dường như được đại diện hoàn toàn quá mức trong bộ dữ liệu của chúng tôi về các nạn nhân bị tống tiền qua mạng. Số lượng doanh nghiệp cũng như doanh thu trung bình của họ đều không nổi bật để giải thích điều này.
Sản xuất cũng là ngành được đại diện nhiều nhất trong bộ dữ liệu CyberSOC của chúng tôi – gây ra nhiều Sự cố hơn bất kỳ ngành nào khác.
Chúng tôi nhận thấy xu hướng này đã được xác nhận vào năm 2023 – thực tế đến mức chúng tôi quyết định xem xét kỹ hơn. Vì vậy, hãy kiểm tra một số lời giải thích có thể.
Và vạch trần chúng.
Tìm kiếm những lời giải thích có thể
Sản xuất vẫn là ngành bị ảnh hưởng nhiều nhất trong tập dữ liệu về Tội phạm tống tiền trên mạng của chúng tôi vào năm 2023, được theo dõi bằng cách theo dõi các trang web rò rỉ tống tiền kép. Thật vậy, lĩnh vực này hiện chiếm hơn 20% tổng số nạn nhân kể từ khi chúng tôi bắt đầu quan sát các trang web rò rỉ vào đầu năm 2020.
Khoảng 28% trong số tất cả khách hàng của chúng tôi đến từ Sản xuất, đóng góp với tỷ lệ chung là 31% trong tất cả các sự cố tiềm ẩn mà chúng tôi đã điều tra.
Chúng tôi lưu ý rằng 58% Sự cố mà ngành này giải quyết là do nội bộ gây ra, 32% do bên ngoài gây ra, 1% được phân loại là “Đối tác” hoặc bên thứ ba. Khi các tác nhân đe dọa bên ngoài gây ra sự cố bảo mật, chúng tôi đã quan sát thấy 3 hành động đe dọa hàng đầu là Tấn công web, Quét cổng và Lừa đảo.
Mặt khác, Sản xuất có số lượng lỗ hổng bảo mật được xác nhận rõ ràng thấp nhất trên mỗi Tài sản CNTT trong tập dữ liệu quét lỗ hổng bảo mật của chúng tôi. Mặt khác, các nhóm kiểm thử của chúng tôi báo cáo 4,81 phát hiện CVSS mỗi ngày, cao hơn một chút so với mức trung bình 3,61 trong tất cả các ngành khác.
Một số câu hỏi xuất hiện, mà chúng tôi sẽ cố gắng kiểm tra ở đây:
Công nghệ vận hành đóng vai trò gì? Các doanh nghiệp trong lĩnh vực Sản xuất có dễ bị tổn thương hơn không? Có phải lĩnh vực Sản xuất đang được nhắm mục tiêu nhiều hơn một cách có chủ ý? Các khách hàng Sản xuất của chúng tôi có gặp nhiều sự cố hơn không?
OT đóng vai trò gì?
Một giả định hấp dẫn được đưa ra là các doanh nghiệp trong lĩnh vực Sản xuất bị xâm phạm thường xuyên hơn thông qua các hệ thống Công nghệ Vận hành (OT) hoặc Internet vạn vật (IoT) nổi tiếng là không an toàn. Các nhà máy và xí nghiệp thường không đủ khả năng để bị gián đoạn hoặc đóng cửa và do đó, ngành Sản xuất là mục tiêu mềm đối với những kẻ tống tiền.
Nó chắc chắn âm thanh hợp lý. Vấn đề là: chúng tôi không thấy những lý thuyết này được hỗ trợ trong dữ liệu của mình.
Cuộc tấn công vào công ty năng lượng khổng lồ của Mỹ Colonial Pipeline có lẽ là ví dụ đáng chú ý nhất gần đây về một cuộc tấn công thành công vào một cơ sở công nghiệp.
Khám phá thông tin mới nhất về an ninh mạng với báo cáo toàn diện “Security Navigator 2023”. Báo cáo dựa trên nghiên cứu này dựa trên 100% thông tin trực tiếp từ 17 SOC toàn cầu và 13 CyberSOC của Orange Cyberdefense, CERT, Epidemiology Labs và World Watch, đồng thời cung cấp nhiều thông tin có giá trị và hiểu biết sâu sắc về bối cảnh các mối đe dọa hiện tại và tương lai.
Vào tháng 7 năm nay, các cơ quan tình báo Hoa Kỳ thậm chí đã cảnh báo về một bộ công cụ hack có tên là ‘Pipedream' được thiết kế nhắm vào các Hệ thống Kiểm soát Công nghiệp cụ thể. Nhưng chúng tôi không rõ liệu những công cụ này đã từng được bắt gặp trong tự nhiên hay chưa hoặc khi nào. Ngoài cuộc tấn công Stuxnet khét tiếng từ năm 2010, người ta khó có thể nhớ lại một sự cố an ninh mạng đơn lẻ nào mà điểm vào là một hệ thống OT.
Tại Colonial Pipeline, các hệ thống quản trị ‘thông thường' phụ trợ đã bị xâm phạm trước tiên. Nhìn kỹ hơn, đây là trường hợp của hầu hết các sự cố được báo cáo tại các cơ sở công nghiệp.
Các doanh nghiệp trong lĩnh vực Sản xuất có dễ bị tấn công hơn không?
Để trả lời câu hỏi này, chúng tôi đã kiểm tra một tập hợp gồm 3 triệu phát hiện quét lỗ hổng và một mẫu gồm 1.400 báo cáo Xâm nhập đạo đức.
Chúng tôi đã rút ra ba chỉ số tạo điều kiện so sánh phần nào được chuẩn hóa giữa các ngành trong cơ sở khách hàng của chúng tôi:
Kết quả quét VOC trên mỗi tài sản, thời gian để vá lỗi, kết quả Pentest mỗi ngày thử nghiệm.
Nếu chúng tôi xếp hạng các ngành theo hiệu suất của chúng trên từng chỉ số đó và sắp xếp từ kém nhất đến tốt nhất, thì khách hàng của chúng tôi trong lĩnh vực Sản xuất sẽ đứng ở vị trí thứ 5 trong số 12 ngành có thể so sánh được.
Biểu đồ dưới đây cho thấy *xếp hạng* tổng thể của các khách hàng Sản xuất của chúng tôi trong số các ngành có thể so sánh được.
Phát hiện/tài sản độc đáo của VOC
Trên thước đo này, có bảy ngành khác hoạt động tốt hơn Sản xuất.
Mặc dù chúng tôi có số lượng tài sản tương đối cao từ các khách hàng Sản xuất trong bộ dữ liệu quét của mình, nhưng chúng tôi báo cáo Số phát hiện trên mỗi tài sản ít hơn nhiều so với mức trung bình trong tất cả các ngành. Trên thực tế, ít hơn gần 10 lần.
Thời gian để vá
Trên thước đo này, 6 ngành khác được xếp hạng tốt hơn Sản xuất. Tuổi trung bình của tất cả các phát hiện cho ngành này là 419 ngày, đây là một con số đáng lo ngại và tệ hơn so với ghi nhận của tám ngành khác trong bộ dữ liệu này.
kết quả kiểm tra
Chúng tôi quan sát thấy rằng CVSS trung bình mỗi ngày là 4,81, so với mức trung bình 3,61 của khách hàng trong tất cả các lĩnh vực khác trong bộ dữ liệu – cao hơn 33%.
Có phải lĩnh vực Sản xuất đang bị những kẻ tống tiền nhắm đến nhiều hơn không?
Chúng tôi sử dụng Hệ thống phân loại ngành Bắc Mỹ – NAICS – hệ thống phân loại khi phân loại khách hàng của chúng tôi.
Việc xem xét số lượng nạn nhân bị tống tiền kép trong mỗi ngành cho thấy một mô hình rất thú vị: Trong số 10 ngành có nhiều nạn nhân được ghi nhận nhất trong bộ dữ liệu, 7 ngành cũng được tính trong số các ngành lớn nhất theo số lượng thực thể.
Tuy nhiên, sản xuất là một công cụ phá vỡ xu hướng rõ ràng.
Một yếu tố khác đặt ra câu hỏi: nếu các doanh nghiệp trong lĩnh vực Sản xuất sẵn sàng trả tiền chuộc hơn thì điều đó sẽ khiến họ trở thành nạn nhân hấp dẫn hơn. Nhưng sau đó, chúng tôi sẽ mong đợi thấy các doanh nghiệp như vậy xuất hiện trên trang web rò rỉ ‘tên và sự xấu hổ' ít thường xuyên hơn chứ không phải nhiều hơn.
Các khách hàng Sản xuất của chúng tôi có gặp nhiều sự cố hơn không?
Ngành Sản xuất một lần nữa tạo ra số lượng Sự cố cao nhất tính theo tỷ lệ phần trăm trên tổng số trong bộ dữ liệu CyberSOC của chúng tôi. 31% của tất cả các Sự cố được tạo ra cho 28% khách hàng của chúng tôi đến từ lĩnh vực này.
Tuy nhiên, dữ liệu Sự cố thiếu ngữ cảnh. Để thiết lập đường cơ sở để so sánh, chúng tôi chỉ định cho khách hàng một ‘Điểm phù hợp' từ 0 đến 5 trong 8 ‘lĩnh vực' khác nhau của Phát hiện mối đe dọa, chiếm tổng điểm phát hiện tối đa là 40.
Chúng tôi sử dụng điểm số phạm vi bảo hiểm để bình thường hóa số lượng sự cố. Nói một cách đơn giản, điểm mức độ phù hợp được đánh giá của khách hàng càng thấp thì sự điều chỉnh này sẽ càng ‘tăng' số lượng Sự cố trong so sánh này. Logic là mức độ phù hợp thấp sẽ không cho chúng ta thấy nhiều sự cố, mặc dù chúng rất có thể xảy ra.
Nếu chúng ta điều chỉnh Sự cố dương tính thật và Dương tính giả như mô tả ở trên, thì chúng ta vẫn thấy số Sự cố trên mỗi khách hàng từ Sản xuất nhiều hơn gấp bảy lần so với mức trung bình của tất cả các ngành.
Trong một phép so sánh tương tự, chỉ giới hạn ở An ninh ngoại vi và chỉ doanh nghiệp Cỡ trung bình, Sản xuất đứng thứ nhất với nhiều Sự cố nhất trên mỗi Khách hàng trong số 7 Ngành có thể so sánh được.
Phần kết luận
Chúng tôi đã loại trừ tác động lớn của các lỗ hổng bảo mật OT và do đó tập trung vào các hệ thống CNTT thông thường. Các nhóm quét của chúng tôi đã đánh giá một số lượng lớn mục tiêu nhưng báo cáo tương đối ít lỗ hổng trên mỗi tài sản. Nhìn chung, chúng tôi xếp hạng ngành Sản xuất là ngành yếu thứ 5 hoặc thứ 6 trong tất cả các ngành theo quan điểm dễ bị tổn thương.
Câu hỏi tại sao chúng tôi liên tục ghi nhận tỷ lệ nạn nhân từ ngành Sản xuất cao như vậy không dễ trả lời với dữ liệu chúng tôi có. Chúng tôi tin rằng cuối cùng vấn đề vẫn phụ thuộc vào mức độ dễ bị tổn thương, được phản ánh rõ nhất trong dữ liệu Thử nghiệm thâm nhập và Tuổi phát hiện của chúng tôi.
Tất cả dữ liệu của chúng tôi chỉ ra thực tế là những kẻ tấn công chủ yếu là những kẻ cơ hội. Thay vì cố tình loại bỏ các ngành, họ chỉ đơn giản là thỏa hiệp với các doanh nghiệp dễ bị tổn thương.
Các khách hàng được đại diện trong bộ dữ liệu của chúng tôi đã tham gia với chúng tôi để Đánh giá lỗ hổng hoặc Phát hiện được quản lý và do đó đại diện cho các ví dụ tương đối ‘trưởng thành' của ngành đó. Chúng ta có thể suy luận rằng các doanh nghiệp trung bình trong lĩnh vực này sẽ có điểm chuẩn kém hơn về các lỗ hổng. Liệu số lượng nạn nhân cao mà chúng tôi quan sát thấy trên các trang web rò rỉ thông tin về kẻ tấn công có phản ánh trực tiếp tổng số nạn nhân cao trong lĩnh vực này hay phản ánh sai lệch của một ngành từ chối nhượng bộ các yêu cầu tiền chuộc ban đầu, vẫn chưa hoàn toàn rõ ràng.
Tuy nhiên, điều có thể xảy ra là lỗ hổng bảo mật là yếu tố chính quyết định doanh nghiệp nào bị xâm phạm và tống tiền – trong lĩnh vực này cũng như bất kỳ lĩnh vực nào khác.
Đây chỉ là một đoạn trích của bài phân tích. Bạn có thể tìm thêm thông tin chi tiết về hiệu quả hoạt động của các Ngành khác nhau so với các ngành khác, cũng như nhiều dữ liệu CyberSOC, Pentesting và VOC (cùng với nhiều chủ đề nghiên cứu thú vị khác) trong Security Navigator. Nó miễn phí, vì vậy có một cái nhìn. Thật đáng giá!
Lưu ý: Bài viết này được viết và đóng góp bởi Charl van der Walt, Trưởng phòng Nghiên cứu An ninh tại Orange Cyberdefense.
