- 1oracle数据库创建实例_oracle建立实例
- 2顺丰科技AI产品经理面经_移动云 ai产品经理面试
- 3win11安装Ubuntu20.04双系统(2024.7.19)(华硕电脑可用)_华硕电脑安装ubuntu双系统
- 4FPGA烧录程序遇到的问题_fpga烧录成功但程序不跑
- 5git使用大全,简单明了不啰嗦。_如果使用git明了
- 6数字图像复习总结_幅度级和灰度值
- 7基于双向lstmBiLSTM实现文本实体关系抽取任务_lstm 实体抽取
- 8Android ble (蓝牙低功耗)使用注意事项(转)
- 9CondaHTTPError: HTTP 429 TOO MANY REQUESTS for url https://mirrors.ustc.edu.cn……_conda too many requests for url
- 10“最会写”的中文大模型Weaver来了,中文创意写作能力超GPT-4_那个开源大模型适合小说创作
The security economics of large-scale attacks against Internet-connected ICS devices_a worm living solely in the plc
赞
踩
我的PLC何时支持Mirai?针对互联网连接的ICS设备的大规模攻击的安全经济学
一、摘要
我们使用一系列案例研究来开发针对连接互联网群体的大规模攻击的安全经济学模型,并用它来解释当前攻击者对ICS缺乏兴趣以及工业4.0的特性,这些特性将使ICS领域更易于访问并对攻击者更具吸引力。
二、介绍
连接互联网的ICS设备群体与吸引大规模犯罪活动的其他群体有许多共同特征,如规模、稳定性和缺乏长期支持,但我们发现ICS设备的实际风险很低。我们提供了迄今为止规模最大、相互作用高的ICS蜜罐研究的结果;监控扫描恶意软件以了解工业协议;从7000万个黑客论坛帖子的数据库中收集ICS的兴趣。总体而言,数据表明网络犯罪社区对ICS缺乏能力或兴趣。
为了解释这种低兴趣,我们引入了一个安全经济学模型,用于描述和预测连接互联网的设备群体中的大规模对抗性兴趣。该模型揭示了目前阻止大规模恶意关注ICS领域的几个因素,如ICS碎片分布、大多数ICS设备上有限的计算和内存资源以及高昂的进入成本。但ICS社区在同质性和连通性方面正在与物联网(IoT)社区融合,这种融合使ICS领域成为攻击者的一个有吸引力的目标。
本文的贡献:
- 描述和预测针对设备群的大规模攻击的安全经济学模型,以及我们针对ICS设备群的模型实证。
- 首次对连接互联网的ICS设备进行纵向研究,并证明可以通过使用公开的扫描数据对单个ICS设备追溯跟踪数年。
- 连接互联网的ICS群体增长的经济和可用性解释。
- 整合与ICS运行时间、工业4.0和工业物联网(IIoT)相关的现有文献,并分析这些变化如何影响该领域的网络犯罪利益。
三、安全经济学模型
为了更好地理解大规模利用连接互联网的ICS设备的风险,我们希望成功利用其他连接互联网的群体。使用Anderson等人的分类,我们将至少一个案例研究与每个大规模犯罪活动配对:勒索软件、加密挖掘恶意软件、租用分布式拒绝服务(DDoS)、垃圾邮件和破坏/破坏。我们利用这些研究开发了一个安全经济学模型,用于评估大规模利用连接互联网设备的风险。
表1(●)表示完全满足的促成因素,(◐)表示部分满足的,(○)表示未满足的。阴影栏代表了对当前上网群体的新分析以及基于当前互联互通趋势对未来群体的预测评估。
连接互联网的的ICS群体数量庞大、稳定、修补速度慢且不断增长,这符合大规模网络犯罪的几种促成因素(第三节);然而,表1的ICS:current一栏将连接互联网的的ICS设备与其他目标群体进行了比较,该栏显示了几个缺失的促成因素:同质性、可预测的响应和支撑资源。该模型预测,这些缺失的促成因素将抑制ICS领域的网络犯罪兴趣。
虽然目前的形势使ICS设备无法成为大规模攻击的目标,但行业的预期变化可能会克服ICS中缺失的促成因素:表1的ICS:current。
四、问题分析
我们尝试使用我们的安全经济学模型(表1)回答两个问题:
(1) 为什么当前联网的ICS设备用户不是大规模网络犯罪的目标?
(2) 不断变化的工业格局是否会使针对未来ICS设备群体的攻击更有可能发生?
使用表1的ICS:current和ICS:future列,我们通过查看每个类别来解决这些问题,描述ICS群体目前缺少的促成因素(当前情况),并说明这些促成因素如何满足或不满足于工业格局的预期变化(展望)。
A. Vulnerable population
(1) 现状
虽然连接互联网的的ICS群体接近10万,但它分散在数十家供应商之间,拥有专有硬件和软件的异构集合;即使攻击者为特定设备系列开发了可工作的恶意软件,易受攻击的群体也可能只包括几千台设备。此外,许多ICS设备安装在一个独特的物理系统中,对给定ICS设备操作的响应很难预测。这与许多独立IT和物联网资产形成对比,这些资产具有可预测且易于测试的响应。
(2)展望
制造商越来越多地使用运行时系统,IIoT硬件和软件集中在有限的供应商中,以及这些IIoT平台可用的硬件和软件资源不断增加,这些都克服了现有ICS群体的分散性和资源有限的问题。此外,鉴于连接互联网的的ICS群体的补丁节奏缓慢,攻击者可以预期在白帽社区中发现的漏洞在很长一段时间内仍然可以被利用。许多IIoT设备(如传感器)比传统的ICS设备(如PLC)更加独立,因此更容易预测设备和系统响应。
B. Attacker incentives
(1)现状
针对ICS设备的大规模攻击的商业化是一个挑战,原因有几个。首先,许多ICS设备的机载资源有限,从加密挖掘的角度来看,这使得它们缺乏吸引力。第二,ICS设备不太可能存储通常用于支持勒索软件活动的高价值数据,如购买订单、个人信息或财务记录。工业组织通常装备精良,可以处理设备故障而不会对操作产生重大影响,而加密的设备可以被简单地视为一个失败的设备。虽然开发大量ICS设备的潜在经济效益似乎很低,但开发和部署开发的成本似乎很高。此外,实际开发一个可变通的ICS漏洞已经被证明需要大量的专业知识和时间。最后,攻击者可能会造成犯罪。总的来说,与IT和物联网资产相比,开发漏洞的高成本、不确定的回报和被起诉的风险使得联网ICS设备缺乏吸引力。
(2)展望
工业物联网设备上更大的计算和内存资源使它们成为寄生恶意软件更有吸引力的主机,创造了可行的经济激励。此外,在这些设备上运行的完整操作系统和开发板的可用性简化了恶意软件的开发和测试。类似地,这些平台使修改和测试现有恶意软件(如Mirai)变得更容易,减少了不确定性,并降低了开发漏洞的成本。
C. Attacker tools and resources
(1)现状
蠕虫ICS恶意软件尚未打包,以供不熟练的攻击者部署。开发这种概念验证型恶意软件的专家证明了这种开发是合理的,但也承认目前还不实际。相反&#
