能源行業與社會安全和福祉息息相關，是全球基礎設施的重要組成部分，從食品供應、教育、到醫療保健和經濟增長等各個方面，能源行業都處于中心位置。正因如此，該行業也處于網絡攻擊的中心。全球17.2%的移動網絡攻擊以能源組織作為攻擊目標，使得該行業成為黑客組織、網絡罪犯、和民族國家威脅者的最大攻擊目標。

　　由于復雜的供應鏈關系和數字化轉型計劃，能源組織的攻擊面不斷增加，組織正在將工作負載轉移到移動設備和云應用程序。這一舉措使得員工、合作伙伴和第三方供應商能夠隨時隨地保持聯系。然而該生態系統也使能源組織面臨重大的網絡風險，單一漏洞就可能會暴露整個供應鏈，例如2020年的SolarWinds和2021年的Microsoft Exchange攻擊。

　　為了更好地了解能源行業面臨的網絡安全挑戰，Lookout研究人員分析了2020年7月1日至2021年6月30日期間的研究數據。該數據包括來自超過2億臺設備、1.5億個應用程序的遙測數據，以及來自Lookout安全網關的檢測數據。Lookout研究人員針對燃料提取、制造、精煉及分銷等能源生產及銷售組織進行了分析。

　　一、 主要發現

　　Lookout研究人員發現，能源行業針對移動設備的網絡釣魚攻擊激增，反映出威脅面的擴大。與其他行業相比，能源行業移動應用程序的威脅暴露率要高得多。盡管勒索軟件和監視軟件備受關注，但與復雜的惡意軟件相比，高風險應用程序及漏洞是更常見的威脅。研究人員還發現，許多組織仍然沒有妥善保護移動設備，仍然在運行存在已知漏洞的老舊操作系統。

　　網絡釣魚攻擊激增。2021年上半年，20%的能源員工遭受了移動網絡釣魚攻擊，比2020年下半年增加了161%。

　　能源行業威脅暴露率最高。能源行業的平均移動應用威脅暴露率為7.6%，幾乎是所有其他行業平均水平的兩倍。

　　使用老舊的操作系統。56%的Android用戶仍然在使用老舊版本的Android操作系統，存在近300個可利用漏洞。

　　員工教育。62.5%經過教育的員工不會再次點擊移動網絡釣魚鏈接。

　　獲取憑據。67%的網絡釣魚攻擊獲取了用戶憑據，而不是僅僅關注惡意軟件傳播。

　　應用程序存在風險。能源行業面臨的95%的移動應用程序威脅要么是風險軟件，要么存在漏洞。

　　非托管移動設備增加。在過去12個月中，非托管和BYOD移動設備的使用增加了41%。

　　最佳實踐降低風險?？梢詫嵤┤齻€基本的移動安全保護措施，以更好地保護組織，同時增加移動設備和云解決方案的使用。

　　二、 能源行業對移動安全需求增加

　　能源行業對網絡攻擊并不陌生。事實上，針對能源組織的移動網絡攻擊占全球所有移動攻擊的17.2%。然而，由于重大的數字化轉型舉措，過去的氣隙系統現在連接到IT網絡、云應用程序和移動設備。這使組織及其合作伙伴能夠創建提高效率的新流程，包括網絡、資產和設施的維護、管理、監控和控制。

　　圖1 各行業移動威脅占比

　　移動設備處于這種轉變的最前沿：在過去12個月中，連接到能源組織的移動設備增加了44%。員工和合作伙伴都使用移動設備連接到OT、工業控制系統和敏感信息。這些設備提高了生產效率，是能源供應鏈不可或缺的延伸，但許多設備都裝載了大量個人和工作應用程序。

　　現如今隨著遠程辦公逐漸成為主流，員工越來越多地使用個人智能手機和平板電腦進行工作。Lookout發現，行業中非托管移動設備在過去一年中增加了41%，這意味著組織正在失去對這些設備使用方式的控制和可見性。這就更加強調了移動安全的必要性，以防范設備、應用程序、網絡釣魚等于移動設備相關的網絡威脅及風險。

　　三、 移動網絡釣魚攻擊激增

　　威脅行為者利用網絡釣魚等社會工程方法來操縱用戶執行一些操作，通常是點擊惡意鏈接，以竊取憑據或在設備上傳播惡意軟件。一旦獲得憑據，威脅行為者就可以訪問系統、網絡、應用程序或其他敏感數據。攻擊者利用這種隱蔽訪問在公司基礎設施中橫向移動，試圖識別其他漏洞和有價值的信息。

　　圖2 2020年第三季度至2021年第二季度全球能源行業網絡釣魚百分比

　　移動網絡釣魚是攻擊者破壞組織基礎設施的最簡單方法之一，能源行業也發現了的此類攻擊激增。在過去的12個月中，七分之一的員工（13.6%）遭受了移動網絡釣魚攻擊，比所有其他行業的總和還要高出三個百分點。

　　更令人驚訝的是，在2021年上半年，每五名員工中就有一名（近20%）遭受了移動網絡釣魚攻擊，這比前六個月大幅增長了161%，上鉤率大幅上升。

　　亞太地區四分之一的員工（24.2%）在2021年第二季度遭受了移動網絡釣魚攻擊，與過去一年相比增長了734%。這一飆升導致該地區的年平均暴露率達到了13.2%的歷史最高水平，即八分之一的員工，這可能是由于該地區的經濟困境，導致一些人轉向網絡和其他類型的犯罪。

　　四、 網絡釣魚攻擊的主要目標

　　網絡釣魚攻擊的目標可以分為兩類：憑據獲取和傳播惡意軟件。

　　由于智能手機和平板電腦同時用于個人和工作用途，因此移動設備使攻擊者很容易通過網絡釣魚獲取憑據并傳播惡意軟件。由于移動設備屏幕較小，用戶界面簡單，因此很難識別典型的網絡釣魚跡象。

　　威脅行為者通過使用受感染的電子郵件、短信、消息應用程序、社交媒體平臺和移動網站來針對員工。移動網絡釣魚還可以利用與外部站點通信的應用程序，如游戲、約會應用程序、甚至供應鏈工具。收集到的信息可用于跟蹤人員的行蹤，并捕獲其他登錄和密碼信息。

　　在能源行業，三分之二（67%）的網絡釣魚攻擊的目標是憑據獲取，威脅行為者三分之一（33%）的目標是傳播惡意軟件。憑據竊取提供了威脅行為者所需的一切，可以像員工一樣悄悄登錄到組織的基礎設施。一旦獲得訪問權限，就可以在很長一段時間內不被發現，從而識別漏洞并利用敏感數據。

　　圖3 網絡釣魚攻擊目標分布

　　事實上，研究人員發現，工業控制系統中的漏洞在被識別和修復之前平均存在五年以上。

　　威脅行為者通常使用VPN訪問來進行網絡釣魚并獲取憑據。這是因為VPN提供了無限制的訪問權限，使攻擊者可以免費且開放地訪問組織基礎設施中的任何應用程序。此外，很難檢測到VPN中賬戶或設備受損的異常活動。

　　惡意軟件傳播，即誘騙員工在設備上安裝惡意應用程序，是一種利潤豐厚的網絡犯罪。雖然勒索軟件只是眾多惡意軟件中的一個例子，但在2020年，公司向FBI報告了2,474起事件，造成了2,910萬美元損失。

　　與憑據獲取類似，惡意軟件可以通過多個移動渠道傳播。通過利用社會工程技術，攻擊者誘使員工下載、安裝或點擊帶有惡意軟件的鏈接。因此，快速檢測入侵者和其他移動安全漏洞對于減少和減輕漏洞的影響至關重要。

　　例如，Flubot銀行木馬于2020年末發現，該惡意軟件操縱用戶認為其需要安裝應用程序才能驗證、跟蹤或接收有關來自Deutsche Post、DHL、Saturn、UPS和其他公司的貨件的更新。安裝后，該應用程序會攔截并發送短信、顯示覆蓋屏幕、并竊取聯系人信息。每個組織的惡意軟件攻擊平均成本為250萬美元。

　　油氣管道公司Colonial Pipeline在2021年5月遭受了勒索軟件攻擊，導致美國東部汽油短缺了五天。攻擊針對Colonial Pipeline使用的計費系統，利用眾多安全漏洞，包括存在漏洞的VPN、未修補的Microsoft Exchange服務器、及可能被利用的和公開網絡協議。

　　五、 APP風險及分類

　　能源行業中的應用程序威脅遠超所有其他行業。在過去一年中，平均每14名員工中就有1名（7.6%）遭受了移動應用程序威脅。能源行業員工遇到應用程序威脅的可能性幾乎是所有其他行業員工總和的兩倍。

　　全球能源行業的應用程序遭受威脅比率在2020年最后一個季度創下歷史新高，飆升超過15%，然后在2021年上半年回落至接近4.4%的更穩定的水平。北美地區的設備暴露率低于其他地區。雖然EMDA地區的暴露率略高，但亞太地區的組織面臨更大的風險，暴露率高達11.4%。

　　在能源行業遇到的應用程序威脅中，存在風險的應用程序和漏洞占所有威脅的95%，其余為惡意軟件。隨著能源行業越來越多地利用移動設備和應用程序來管理運營，組織必須更好地了解哪些應用程序威脅最普遍、這些威脅的性質以及如何防御這些威脅。

　　從歷史上看，包括能源行業在內的所有行業的整體應用威脅暴露率一直在1%左右。這種情況在2020年第三季度發生了變化，廣泛使用的廣告軟件開發工具包（SDK）SourMint被嵌入到各種移動應用程序中，因其對用戶瀏覽習慣的過度洞察，被重新歸類為風險軟件。這將能源行業的全球應用威脅暴露率提高至近7%。

　　事實上，能源行業面臨的近95%的移動應用威脅要么是風險軟件，要么是漏洞。風險軟件是由于軟件不兼容、安全漏洞、或違反合規性而帶來潛在風險的合法程序。風險軟件與漏洞不同，漏洞是軟件代碼中可以被攻擊者利用的缺陷。

　　應用程序威脅導致的一些能源行業風險包括：

　　由于數據處理實踐而導致違規；

　　允許應用跟蹤位置、訪問短信和輔助功能的過多權限；

　　訪問攝像頭和麥克風來監視用戶；

　　訪問設備的文件系統；

　　與國外服務器的連接。

　　圖4 能源行業APP威脅導致的風險分類

　　另一方面，惡意軟件是可對設備、服務器、客戶端或網絡造成損害的軟件。移動惡意軟件有多種類型，包括木馬、間諜軟件、廣告軟件、鍵盤記錄軟件和勒索軟件等。每種類型的軟件都旨在實現特定目標，例如勒索軟件會加密受害者數據，直到支付贖金為止，而間諜軟件可能會訪問攝像頭、麥克風或消息來監視用戶。

　　今年重新出現的一種先進的移動惡意軟件是Pegasus，由NSO Group開發。NSO Group是一家總部位于以色列的公司，是不受監管的間諜軟件行業的知名領導者。該間諜軟件會感染iOS和Android設備，并使運營商能夠獲取GPS坐標、消息、加密聊天、照片和電子郵件。還可以記錄通話，并在用戶不知情的情況下秘密打開麥克風和攝像頭。Pegasus自2016年被Lookout和Citizen Lab發現以來一直在進化，現在能夠在目標的移動設備上安裝和執行，而無需用戶進行任何交互。

　　這種類型的惡意軟件可以讓威脅行為者查看能源工廠內部的操作或獲取機密信息。有了這些內部信息，可能會發起更廣泛的攻擊，破壞關鍵基礎設施，并威脅公民的安全和福祉。

　　六、 APP及操作系統漏洞

　　漏洞占所有應用程序威脅的近40%，并無意中為攻擊者打開了大門。幾乎每天都會發現新的漏洞，不斷增加能源組織的威脅面。在移動設備上，存在兩種主要類型漏洞：應用程序漏洞和操作系統漏洞。

　　例如在去年在Android版Chrome瀏覽器中發現的漏洞CVE-2020-16010，要利用此漏洞，攻擊者只需向設備發送惡意構建的HTML頁面即可。一旦成功利用，攻擊者就可以訪問應用程序的任何功能，包括攝像頭和麥克風、位置數據和瀏覽歷史記錄。有超過50億臺設備運行Chrome，這個漏洞對包括能源行業在內的所有行業都構成了嚴重風險。

　　在Google Play核心庫中發現的另一個漏洞對應用程序威脅暴露率有顯著影響。該庫使移動應用程序能夠從Google Play商店獲取高級功能和更新。該漏洞使威脅行為者能夠使用該庫將代碼注入任何應用程序，從而竊取憑據、財務詳細信息并閱讀電子郵件。為了應對應用程序威脅，能源組織需要通過強大的應用威脅檢測能力來實施移動安全。

　　此外，能源組織需要根據應用程序權限和功能做出明智的應用程序審查決策，應設置應用程序策略，以根據風險承受能力發送自動警報，如標記與高風險地區的服務器通信，或缺乏適當數據傳輸安全性的應用程序。

　　能源行業仍在使用老舊版本的谷歌和蘋果操作系統，使組織面臨數百個漏洞，這些漏洞可被威脅行為者利用訪問組織環境。超過一半（55.9%）的Android設備尚未升級到2020年9月推出的最新可用操作系統。好消息是，只有15%的iOS設備自發布以來沒有升級到最新版本。過時的操作系統使能源組織面臨數百個已經修復的漏洞。

　　雖然能源組織可能會選擇推遲更新，直到其專有應用程序經過測試，但移動操作系統應該盡快更新，以修復漏洞并解決安全問題。任何延遲都會產生漏洞窗口，在此期間，威脅行為者可以使用移動設備訪問基礎設施并竊取敏感數據。

　　與特定操作系統版本相關的漏洞數量代表了保留在該版本上的風險。雖然漏洞可以修補，但仍有一些問題需要克服：

　　漏洞發現和補丁發布之間存在漏洞窗口期；

　　修復通常需要用戶操作來更新設備；

　　很難了解操作系統版本和已安裝的安全補丁。

　　只有了解端點和應用程序漏洞，才能確切知道這些漏洞存在的位置，以及何時需要更新，以防止安全漏洞被威脅行為者利用。

　　七、緩解建議

　　員工只需點點鼠標，就可能導致重大違規。因此員工教育應該是應對網絡釣魚最好的方式。員工是企業的第一道防線，因此，員工識別網絡釣魚郵件的能力是組織抵御網絡釣魚攻擊最重要的防御措施。

　　然而，隨著網絡釣魚嘗試變得越來越復雜，并且與臺式計算機的關聯越來越少，員工可能很難識別網絡釣魚鏈接。幸運的是，威脅行為者會重復使用多種網絡釣魚技術，員工可以學習如何在移動設備上輕松識別。通過更好地了解移動網絡釣魚攻擊，員工將很快學會不與網絡釣魚攻擊互動。數據顯示，經過培訓后，超過一半（56.4%）曾點擊過網絡釣魚鏈接的員工在12個月內沒有再點擊過后續的移動網絡釣魚鏈接。

　　令人極為擔憂的是，過去一年中，許多用戶成為攻擊目標的次數超過五次，但好消息是，到第六次網絡釣魚嘗試時，只有5.2%的員工與威脅進行了交互，減少了50%以上點。

　　針對應用程序的教育越多，員工與潛在威脅互動的可能性就越小。能源組織需要確保其網絡釣魚培訓不僅僅包括臺式機和電子郵件，還要包括與移動網絡釣魚相關的培訓。

　　隨著能源組織進行數字化轉型，保護員工用來訪問公司資源和運營技術的移動端點安全勢在必行。網絡釣魚攻擊、移動應用程序威脅、和老舊的操作系統給緊張的能源行業帶來了更高的風險。為了降低這種風險，Lookout研究人員建議立即采取以下步驟：

　　確保移動設備包含在整體網絡安全計劃中。通常，這些設備不包含在正式程序中。必須將移動設備包含在整體網絡安全計劃中，以確保移動操作系統和應用程序保持最新狀態，從而降低風險和漏洞。程序還應就特定于移動設備的威脅對用戶進行教育。

　　確保移動網絡釣魚防護在每臺移動設備上運行。大多數攻擊始于網絡釣魚，而移動設備提供了多種攻擊途徑。反網絡釣魚解決方案必須阻止來自移動設備上已知網絡釣魚站點的任何通信，包括短信、應用程序、社交平臺和電子郵件。

　　確保連接到公司資源的設備上的移動應用程序的可見性。在同一設備上使用個人應用程序和工作應用程序時，個人應用程序中的任何惡意軟件都可能為威脅行為者打開大門。利用移動安全解決方案來了解正在使用的應用程序，并做出負責任的應用程序審查決策。