|
從我們信息安全工作者的角度了解��,黑客工具集成化程度越來越高����,也為黑客攻擊難度不斷降低提供了可能��。如今�����,針對工業(yè)控制系統(tǒng)(ICS)的攻擊明顯呈上升趨勢�,得益于黑客工具的集成化降低了攻擊難度,也得益于公用的黑客工具集越來越普及����,自然也為企業(yè)的信息資產(chǎn)帶來了更多的風(fēng)險。烏克蘭兩次停電事件以及伊朗的“震網(wǎng)”蠕蟲病毒���,無不是針對工業(yè)控制信息系統(tǒng)的“杰作”�����。我們雖然談?wù)摰氖枪艄I(yè)信息系統(tǒng)的難度����,其實滲透測試工具的不斷發(fā)展,當(dāng)然也降低了常規(guī)信息系統(tǒng)的攻擊難度��,我們之所以在此強調(diào)工控系統(tǒng)�,原因是在過去工控系統(tǒng)是天然封閉的��,有其特殊性���。黑客攻擊相對常規(guī)系統(tǒng)�����,確實需要更多的專業(yè)技能��,才能展開�����。 由此�����,部分安全廠商此前真的是不斷警告企業(yè)�����,黑客對OT系統(tǒng)的認知不是太高��,真正攻擊工業(yè)系統(tǒng)通常需要黑客具備較高專業(yè)技能���,但隨著安全研究人員不斷發(fā)布的各類公開可用滲透測試工具和漏洞利用模塊��,使得越來越多的腳本小子也可以染指工業(yè)信息系統(tǒng)的攻擊�。 據(jù)國外某安全企業(yè)對有關(guān)攻擊工具進行的一個統(tǒng)計顯示�����,其中網(wǎng)絡(luò)發(fā)現(xiàn)工具占比28%和軟件開發(fā)工具24%�,還有針對特定供應(yīng)商如西門子等大的工控軟件企業(yè)的產(chǎn)品,這些滲透測試工具集(攻擊工具)擁有自動化模塊���,為攻擊工業(yè)控制系統(tǒng)的攻擊者提供了吸引力��。開發(fā)滲透測試工具集是為了自動執(zhí)行針對特定漏洞的滲透測試攻擊�,將其添加到諸如Metasploit(這個工具是滲透測試師的香餑餑���,若想要了解更多可以參閱電子工業(yè)出版社出版的的《Metasploit 滲透測試指南》)和Core Impact(這款工具價格不菲���,供土豪使用)的合法漏洞利用框架中����,或添加到Autosploit(據(jù)說是一款高效與爭議并存的滲透工具)工業(yè)利用框架(ICSSPLOIT)和工業(yè)安全利用框架等ICS特定的框架中�。專業(yè)的滲透測試人員很樂意使用的免費的Metasploit框架,工具本身沒有善惡����,專業(yè)滲透測試人員可以幫助企業(yè)���,然而攻擊者也可以利用這些工具���,進行一些不為人知的非法勾當(dāng)。在以往以至于現(xiàn)在����,安全企業(yè)常常告誡企業(yè)組織,應(yīng)確保了解黑客濫用滲透測試工具集框架對工業(yè)控制系統(tǒng)平臺構(gòu)成的威脅�,以及威脅的程度。對企業(yè)信息系統(tǒng)做充分的風(fēng)險評估���,組織需要利用經(jīng)驗豐富的滲透測試團隊的豐富經(jīng)驗���,以期先于破壞者找出安全薄弱點����,及時進行安全整改加固����。  在我國信息化發(fā)展過程中,網(wǎng)絡(luò)安全等級保護的開展�����,極大的促進了我國整體的安全意識提升��,極大的提升了我國網(wǎng)絡(luò)空間安全防護能力�,安全的網(wǎng)絡(luò)空間環(huán)境為我國的各行各業(yè)的有序健康發(fā)展提供了堅實保障。最后�,我們在整理有關(guān)知識和安全動態(tài)的過程中,本著加強我們的信息系統(tǒng)安全為出發(fā)點�,我們在傳遞知識的過程中,以期望我們的IT資產(chǎn)所有者�、運營者(從業(yè)者)能夠不斷的提升安全意識,在此我們不提倡����、不鼓勵任何人學(xué)習(xí)技術(shù)從事非法勾當(dāng)���,我們期望能夠讓更多的人對信息安全技術(shù)感興趣,進而為我國的網(wǎng)絡(luò)安全作出貢獻����,以最真誠的善意服務(wù)社會。
外媒報道稱英國印刷公司暴露軍事文件 安全研究人員在Pwn2Own 2020上破解Windows�、Ubuntu、macOS等系統(tǒng) 安全研究人員在Pwn2Own 2020上針對Oracle �����、Adobe ��、Windows產(chǎn)品進行攻擊驗證 美國國家標準與技術(shù)研究院(NIST)發(fā)布SP 800-53新修訂版��,關(guān)注安全和隱私控制
|
