2018年是勒索病毒持續爆發(fā)的一年。能源行業(yè)諸多客戶(hù)端、服務(wù)器在經(jīng)歷了WannaMine病毒、新型勒索病毒Satan、變種勒索病毒Globelmposter、GandCrab 勒索軟件、Windows跨平臺攻擊的新型勒索病毒Lucky、新型勒索軟件Spartacus等之后，加密類(lèi)勒索軟件家族仍然在進(jìn)一步擴充和完善。

2018年，勒索病毒家族呈現快速更新的特點(diǎn)，以GandCrab病毒為例，從今年9月份V5版本面世以來(lái)，出現了包括了5.0、5.0.2、5.0.3、5.0.4以及最新的5.0.5等多個(gè)版本的變種；其次，勒索病毒家族的攻擊方式呈現多樣化的特點(diǎn)，如GandCrab勒索病毒自身不具備蠕蟲(chóng)傳播特征，傳播途徑主要是通過(guò)RDP暴力破解的方式；如Satan勒索病毒不僅使用永恒之藍漏洞攻擊，還增加了其它的漏洞攻擊。包括文件上傳漏洞、tomcat弱口令漏洞、WebLogic WLS組件漏洞、JBOOS 反序列化漏洞等。

物聯(lián)網(wǎng)技術(shù)極速發(fā)展的一年。在能源設施廣泛分布的攝像頭、智能電表、充電樁等分布式物聯(lián)網(wǎng)設備中，浮現了一系列的安全問(wèn)題；如攝像頭被遠程入侵、充電樁下聯(lián)信息泄露、智能電表被攻擊導致惡意扣費等，輕則會(huì )導致敏感信息泄露，重則嚴重影響能源設施的正常運行。綠盟科技基于NTI大數據分析，舉例匯總電網(wǎng)行業(yè)常見(jiàn)的物聯(lián)網(wǎng)設備攻擊分布圖。

漏洞頻發(fā)的WebLogic和Apache Struts2在2018年依舊占據著(zhù)人們的注意力。從能源企業(yè)業(yè)務(wù)架構來(lái)說(shuō)，小到信息監測平臺、電力公司官網(wǎng)，大到電力網(wǎng)上營(yíng)業(yè)廳、電力市場(chǎng)交易平臺， web應用系統多使用的是WebLogic與Struts2第三方組件架構。而在2018年WebLogic遭受了由于反序列化漏洞問(wèn)題導致的漏洞修補不完全問(wèn)題，從4月17日的CVE-2018-2628到10月17日的CVE-2018-3191的6個(gè)月時(shí)間內，對能源行業(yè)造成了巨大影響。

2018年，主流工業(yè)控制系統生產(chǎn)廠(chǎng)家西門(mén)子、施耐德、Rockwell等頻頻被暴安全漏洞問(wèn)題，諸如編程軟件漏洞、代碼執行漏洞、PLC控制器漏洞等，隨著(zhù)關(guān)鍵信息基礎設施與等級保護2.0新增的工業(yè)控制安全部分呼之欲出，工業(yè)控制系統安全將持續成為安全領(lǐng)域的新焦點(diǎn)。

電力系統的電力設施作為分布最為廣泛的分布式系統，從發(fā)-輸-變-配-用的每個(gè)環(huán)節都有可能成為攻擊者的目標。2018年出現了針對電力輸配電系統變電站監控軟件的漏洞，配電網(wǎng)絡(luò )RTU非法命令執行漏洞，國產(chǎn)測控裝置漏洞等一系列電力設施安全問(wèn)題，給電力系統的正常良好運行帶來(lái)較大風(fēng)險。

隨著(zhù)國產(chǎn)化進(jìn)程推進(jìn)，IBM、Oracle、EMC、Cisco等設備逐步被替換為國產(chǎn)化設備，在這一過(guò)程中，對于仍然使用Cisco網(wǎng)絡(luò )設備的能源企業(yè)，在2018年經(jīng)受住了Cisco漏洞的一系列侵襲。從3月開(kāi)始，暴露出了包括遠程代碼執行、拒絕服務(wù)攻擊、認證授權繞過(guò)等一系列安全問(wèn)題，涉及Cisco IOS以及IOS XE軟件、Cisco AAA、Cisco CPS等組件，較大程度的影響了網(wǎng)絡(luò )通信層面安全。

應用上云是必然的趨勢，能源行業(yè)也不例外。2018年涌現了電力行業(yè)云等一系列能源行業(yè)云環(huán)境，基礎服務(wù)器、應用系統的上云為業(yè)務(wù)生產(chǎn)的可擴展性提供了條件，但是云環(huán)境支撐組件Hyper-V、MongoDB、ZooKeeper等在2018年先后被暴出漏洞，云環(huán)境安全在2018年成為繼可用性、高性能之后的另一個(gè)焦點(diǎn)話(huà)題。

伴隨能源互聯(lián)網(wǎng)建設，大量交易平臺、運營(yíng)平臺、微網(wǎng)應用、需求側管理平臺等將一一涌現，在此過(guò)程中，秉承開(kāi)放、共同開(kāi)發(fā)的原則，大量應用系統將會(huì )采用WebSphere、Tomcat、IIS等多種互聯(lián)網(wǎng)式架構，隨之出現的也是互聯(lián)網(wǎng)式應用的安全問(wèn)題。

后門(mén)木馬、郵件泄密、APT攻擊，是能源企業(yè)近些年來(lái)的防護重點(diǎn)，而郵件系統Outlook也會(huì )帶來(lái)后門(mén)泄密風(fēng)險。2018年8月23日，ESET研究人員發(fā)布了關(guān)于A(yíng)PT組織Turla（或稱(chēng)Snake或Uroburos）所使用后門(mén)的研究報告，該后門(mén)用于獲取至少三個(gè)歐洲國家當局的敏感通信。后門(mén)最近的目標是Microsoft Outlook。該后門(mén)并不使用傳統的命令和控制（C＆C）方式，例如基于HTTP（S），而是通過(guò)電子郵件附件中的特制PDF文件，指示受感染的機器執行一系列命令。命令包括數據泄露、下載其他文件以及執行其他程序和命令，數據泄露本身也通過(guò)PDF文件進(jìn)行。

Windows終端同分布式系統一樣，在體系龐大的能源行業(yè)架構內，有著(zhù)極其廣泛的分布；不一樣的是，能源行業(yè)的生產(chǎn)控制系統如電廠(chǎng)DCS系統、油化生產(chǎn)PLC都需要上位機、工程師站的參與配合，而這些上位機、工程師站往往都是Microsoft Windows系統。能源行業(yè)重視終端安全，配備有專(zhuān)門(mén)的終端安全漏洞消缺工作組，面對層出不窮的Microsoft漏洞，能源行業(yè)一直奮戰在漏洞修補的第一線(xiàn)。