社会工程成为战略威胁，因为OT部门面临网络钓鱼，深烟和AI欺骗风险 - 工业网络

在OT（操作技术）环境中，网络对手对社会工程能力的使用越来越多，正在推动一类新的高导威胁，威胁着关键系统的稳定性。欺骗，技术妥协和人类操纵以滥用工业系统所依赖的传统信任模型的方式结合在一起，使资产所有者和运营商面临新的和新兴的威胁和攻击。虽然传统的违规通常会导致数据丢失或财务欺诈，但成功的社会工程攻击OT安装有可能关闭生产，中断关键服务，甚至威胁公共安全。

随着IT/OT足迹的扩展，攻击表面越来越多地为攻击者提供了更多的机会来通过窃取凭据，模仿受信任的内部人员，并从一个系统横向移动到网络内部的另一个系统。AI驱动网络钓鱼，语音克隆和以深层为基础的假发正在降低进入障碍，使网络对手能够部署强大的工具，这些工具有可能削弱跨关键基础设施安装的人类判断的可靠性。 

微软安全研究人员警告单一的妥协，例如通过承包商的感染笔记本电脑可以违反以前隔离的OT系统，将其变成违规网关。一个 

尽管网络钓鱼和身份盗窃现在是常见的访问工具，但对OT环境的影响要糟糕得多。一种折衷的身份会导致全部停止工作，设备破坏或更糟。联邦调查局警告这样的违规行为可以具有运营，经济，社会，甚至国家安全后果 

AI驱动的欺骗正在迅速重塑社会工程格局。攻击者正在使用语音克隆和深层技术以令人不安的精度模仿高管。澳航最近成为类似计划的受害者，该计划是AI驱动的攻击妥协多达600万客户的个人数据。这些事件突出了人工智能如何降低令人信服的高影响力欺诈的障碍。

在诸如能源分配或制造工厂之类的OT环境中，社会工程的影响远远超出了被盗的资金或数据。这意味着，单个网络钓鱼电子邮件或被盗的证书可以导致运营中断，停机时间数周以及安全事件超出数字世界。传统的意识培训尚未证明对具有可扩展AI的能力的对手有效，这些能力超过了人类在关键环境中的判断力。

关键的基础设施运营商正在通过重新评估人类安全层来做出反应。这些关键系统的未来要求内幕威胁监控，ot量降低身份和访问管理和以弹性为中心的安全文化。显然，面对不断发展的社会工程技术，人为因素仍然是最弱的联系，也是唯一的解决方案。 

工业OT面临着新的社会工程攻击浪潮

社会工程和网络钓鱼运动变得越来越复杂，越来越量身定制，以利用工业OT环境的人类和程序弱点。工业网络与行业专家进行了交谈，以研究攻击者如何在这些环境中适应其战术，以及哪些对策关键基础设施运营商正在优先考虑响应。

操作技术网络安全工程说，随着DeepFake音频和视频开始成形，我们只能假设这些音频和视频会以内部紧急请求的形式滴入关键基础架构或妥协供应链通讯。目前，我们还没有看到或听说过这些类型的技术。我看到的一种有趣的策略将是内部投入后公告，这是一封欺骗的人力资源电子邮件，发送了匿名员工的反馈调查，史密斯将其描述给工业网络。

这利用了想要被听到的心怀不满的员工的脆弱性质。实施电子邮件安全网关和AI威胁检测以滤除电子邮件欺骗，外观域和恶意附件将是工具建议。安全意识训练仍然至关重要，因为我们是减轻点击妥协的最后防御措施。

ServiceNow Technology Workflow Solutions的副总裁兼总经理Neelima Rustagi告诉工业网络，有关工业项目，供应商关系和人员的详细信息通常是公开可用的，尤其是在能源和公用事业等领域。攻击者可以使用此信息来创建高度合理的电子邮件，短信和电话脚本。他们还可以使用有关生产时间表的信息并改变改变目标，而他们的目标可能太忙而无法识别可疑的交流。

Rustagi观察到社会工程攻击取决于使员工措手不及，这在OT设置中通常更容易网络意识， 所以网络安全培训是必不可少的。运营商还正在开发特定于OT的事件响应剧本并实施更严格的第三方访问协议。目的是使社会工程尝试更加明显，而在高风险中取得成功的可能性较小，高速后果环境

威胁参与者越来越多地利用人工智能和生成性AI来增强社会工程运动，马可·佩雷拉（Marco Pereira），全球网络安全负责人，云基础设施服务的全球负责人Capgemini，告诉工业网络。通过分析大量公开可用的数据，例如社交媒体帖子，博客和YouTube内容，它们可以制作高度个性化和令人信服的长矛网络钓鱼信息。这些工具还可以创建逼真的语音和视频深击，使模仿攻击更加可信和难以检测。”

Blastwave的CMO Cam Cullen告诉工业网络，攻击者正在利用IT/OT收敛和人为因素，将证书作为主要攻击载体。他们使用高度有针对性的网络钓鱼电子邮件和社会工程来在不太安全的IT网络中立足，然后再转向更为关键的OT系统。” 

他补充说，资产运营商正在优先考虑零信托，以防止这种情况而不是传统的防火墙保护，删除隐性信任并执行最少的特权访问。``这包括颗粒网络细分和到处应用MFA，尤其是用于访问旧版OT设备。这种方法包含威胁和限制横向运动，使攻击者更难造成真正的伤害。

网络钓鱼和凭证盗窃随着IT和OT系统的整合而升级

随着IT和OT系统的增长，高管们评估了这种融合如何扩展攻击表面以进行网络钓鱼，模拟和凭证盗窃。他们还可以权衡传统的IT防御能力是否足够，还是出现新方法以应对挑战。

史密斯指出，随着IT和OT系统变得更加互连，这种融合为引入信托债务打开了大门，因为外包实际上是IT支持的一种实践。ââ€在不完全控制其行为或安全姿势的情况下，提供第三方访问的做法将为网络钓鱼，证书滥用和横向运动。如果没有严格控制，外包支持就会成为攻击者最简单的切入点。

他进一步提到，严格控制的访问至关重要，与谁，什么，何时以及如何紧密管理。引入jit，'''''仅在需要的最短时间时才在需要时访问授予访问权限，这是一种新的方法OT环境。他补充说，其他技术（例如，时间盒的凭据可以自动设置访问到期）开始形成，以解决IT传统方法授予毯子型管理访问的方法。

ServiceNow的Rustagi观察到IT和OT系统收敛，社会工程和网络钓鱼攻击获得新的入口点，包括有限的OT用户网络培训和跨域访问凭据。传统以IT为中心的防御措施，例如电子邮件过滤器和MFA仍然是必要的，但是在融合的环境中，公司还需要特定于特定的数据点。 

她补充说，防御现在必须将IT级身份控件与OT感知环境集成在一起，以确保访问不仅得到验证，而且还适合于操作情况。

OT环境，传统上是孤立的，并且比其他环境更频繁地更新，通常缺乏健壮的环境身份和访问控件佩雷拉说，在IT系统中发现。当它和OT系统收敛时，可以使用折衷的IT凭据来枢转OT网络，检测和响应能力可能受到限制。

Pereira补充说，在这些混合环境中，传统的以IT为中心的防御往往不足。但是，新的防御方法正在出现，包括零信任体系结构扩展到OT和IoT，行为分析，以检测其/OT边界的异常，微分段限制横向运动以及以强大的MFA和及时访问的方式以身份为中心的安全性。

IT/OT收敛创建库伦说，如果无法正确管理，则大量攻击表面，并补充说，攻击者可以利用对传统IT员工的网络钓鱼攻击来获得立足点，然后横向移动进入先前的隔离OT网络。'诸如防火墙和VPN之类的传统IT防御措施不再足够，因为它们很容易被偷窃的凭证，已知漏洞绕开，最重要的是，它们不满足OT的独特需求。”

OT中的社会工程以安全性，运营风险提高股份

与大多数IT违规不同，OT环境中的社会工程攻击可能导致严重的操作中断和安全风险。高管们讨论了扩大这些事件严重性的因素，以及为什么它们的影响通常远远超出了立即可见的范围。

在OT中，信任是脆弱性。根据霍尼韦尔·史密斯（Honeywell）的史密斯（Honeywell's Smith）的说法，OT人员在阅读工作订单，服务票或电子邮件时通常会依靠明确的信任。”单一的社会工程行动可以带来身体，经济和社会后果。与它不同，您经常可以重新启动和恢复，OT妥协可能会在整个行业中荡漾，人类安全经常在线上。” 

Rustagi说，与违反后果是财务或声誉的情况不同，OT妥协有可能造成人身伤害或环境损害。幸运的是，这是罕见的。对OT攻击的更为普遍的结果是生产停机时间，在某些情况下可能是毁灭性的，每天造成数百万美元的损失。一旦攻击者可以访问OT网络，由于旧系统的流行，默认密码或共享密码缺乏网络，它们通常比在IT网络中更容易移动。”她补充说。

佩雷拉说：“由于数字妥协与身体运营之间的直接联系，在OT环境中的社会工程攻击可能会产生不成比例的严重后果。”关键的基础设施被破坏，生产线被停止，人类安全可能受到威胁。真正的影响通常超出了即时破坏，影响供应链，监管遵守，公共信任，甚至是国家安全。 

他补充说OT系统通常，控制无法忍受停机时间的过程，使其成为勒索或破坏目标的吸引力。同时，许多OT系统运行在过时的软件上，安全控制有限，一旦获得访问，它们就会更加脆弱。他们通常还缺乏传统的监控工具，从而使攻击持续未被发现。

Cullen指出，它违反了数据盗窃，而成功的OT攻击会直接影响物理世界。攻击的影响是深远的，因为OT违规会造成设备损坏，生产关闭以及（最关键的）对公共安全和环境的威胁。这些后果超出了直接业务，影响了社区和关键的供应链。

人为因素推动工业环境中的新安全方法

高管解决资产所有者和工业运营商如何从意识培训和内部威胁针对OT环境量身定制的身份和访问管理程序。 

史密斯说，资产所有者和工业运营商正在重新校准他们对人类层风险的全部方法，因为人们认识到人类而不是机器是融合/OT环境的软体底板。他们正在从基于合规性的培训和通用训练中转移身份和访问管理（IAM）更加上下文，风险了解和特定于OT的人风险管理策略

他补充说，目前正在涉及的行业主题之一是对内幕威胁计划的现代化，因为ot内幕威胁可能不是恶意的，但通常是偶然的支持。``心态转变，内部人员不仅是员工，而且是承包商，集成商，外包支持人员，以及任何有动手系统的人。一家行业研究所正在积极谈论执行内幕威胁评估以提高认识。

评估的Rustagi评估了工业运营商越来越多地通过OT特定的策略来解决人层风险。这些包括网络意识计划针对特定的操作角色和例程量身定制，以及特定于OT的脆弱性管理解决方案，这些解决方案优先考虑对生产最重要的资产的安全性。”

Capgemini的Pereira确定，资产所有者和工业经营者正在超越传统的意识培训，而朝着更加集成，以身份为中心的策略。``认识到人为错误和内幕威胁仍然是妥协的最高向量，组织正在将安全意识计划量身定制为特定方案，例如针对控制室员工的网络钓鱼尝试或信任受信任的供应商。内幕威胁计划正在发展为包括行为监测和涉及数字和物理访问模式的异常检测。”

他补充说，IAM正在改编成OT，在那里共享的帐户，弱身份验证和缺乏可见度一直持续存在为挑战。新兴方法包括零信任体系结构扩展到OT和IoT，基于角色的访问控制（RBAC）与操作角色和安全协议以及适用于连通性或遗产系统有限的环境的多因素身份验证（MFA）保持一致。

库伦说，资产所有者需要面对一个批判事实，即仅安全意识培训是不够的。尽管培训很有帮助，但它必须是承认OT独特环境的更广泛战略的一部分。资产所有者开始了解人类错误是不可避免的，必须在任何网络安全解决方案中进行设计。

Deepfakes，AI网络钓鱼在OT环境中重新定义社会工程

随着AI驱动的网络钓鱼，语音克隆和以Deepfake的pretex的访问，高管们专注于社会工程威胁的性质如何在未来几年内发展，尤其是对于能源，水和制造等领域。” 

史密斯说，人工智能继续重塑几乎所有商业和社会的方面，也正在重新定义攻击者如何利用信任。对于能源，水和制造等部门，AI驱动的网络钓鱼，语音克隆和以深层为基础的pretexting正在迎来一个网络风险的新时代，其中人层成为最直接和最危险的目标。与典型的违规行为不同，这些社会工程策略具有现实世界的后果。 

他补充说，一个令人信服的语音通话或欺骗视频会议的潜在影响呈指数增长。 - 想象一个水电设施技术员，他具有预定义的过程和标准操作程序，可允许远程连接到内部设备，接收呼叫，该呼叫验证并遵守所有程序正确性，以允许远程用户特权访问。或与一个看起来和听起来像是一个值得信赖的供应商的人加入Zoom通话的轮班经理。这些假设的情况；他们是下一波网络物理威胁……

AI正在将社会工程从大规模网络钓鱼转变为个性化的欺骗。深击和语音克隆使攻击者能够模仿主管，供应商或应急人员，并可能对OT人员，根据Rustagi。随着生成工具变得更加易于使用，这些威胁有望增加。” 

为了保持威胁，她呼吁运营商在包括访问控制，异常威胁检测， 和事件响应。

佩雷拉（Pereira）评估了网络钓鱼活动将使用生成的AI根据社交媒体，专业网络和公共记录的实时数据来制作超个性化的消息。” 

根据Pereira的说法。``能源，水和制造业等部门特别脆弱，因为它们依赖人机互动，传统系统和第三方承包商。IT的融合并进一步扩大了风险，因为攻击者可以使用社会工程来获得初始访问权限，并将其转化为OT系统。”

库伦说：``我们将看到高度个性化的，可扩展的攻击，使用深击和语音克隆几乎不可能检测到这些攻击。”他总结说，``水处理厂的工程师可以从他们的老板那里接听深瓦视频通话，以指示他们进行批判性更改，或者对公用事业财务部门的深层声音可以授权欺诈性的电汇。”他总结说。