工業(yè)互聯(lián)網(wǎng)正在成為新的“獵物”

流蘇是蘇蘇
轉(zhuǎn)型中的工業(yè)互聯(lián)網(wǎng)企業(yè)正在成為黑產(chǎn)新的“獵物”,較低的攻擊難度以及成功后帶來的超高回報(bào),讓趨利性日益明顯的網(wǎng)絡(luò)攻擊者趨之若鶩。

撰稿 | 流蘇

編輯 | 圖圖

傳統(tǒng)制造向智能制造已經(jīng)是必然趨勢。

自2013年工業(yè)4.0概念在漢諾威工業(yè)博覽會上被正式提出后就吸引了無數(shù)的目光,隨后更是被德國政府列入《德國2020高技術(shù)戰(zhàn)略》中所提出的十大未來項(xiàng)目之一。

111.png

作為傳統(tǒng)制造大國,我國也在2015年5月正式印發(fā)了《中國制造2025》,全面部署實(shí)施制造強(qiáng)國戰(zhàn)略,加快工業(yè)和“互聯(lián)網(wǎng)+”的融合發(fā)展上,推動中國工業(yè)的“浴火重生”。

如今,第四次工業(yè)革命(工業(yè)4.0)的序幕正在緩緩拉開,借助云計(jì)算、物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)等新一代信息技術(shù),傳統(tǒng)工業(yè)正在向“智能制造”加速轉(zhuǎn)型。

222.png

轉(zhuǎn)型的過程必然是痛苦的,在這條必經(jīng)之路上充滿了各種各樣的風(fēng)險(xiǎn),其中就包括網(wǎng)絡(luò)攻擊。某種程度上來說,網(wǎng)絡(luò)攻擊是這條路上最大的絆腳石。

隨著傳統(tǒng)工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型的進(jìn)行,企業(yè)更關(guān)注的是如何依靠信息化技術(shù)來提高生產(chǎn)力,對于網(wǎng)絡(luò)安全的關(guān)注并沒有明顯增加,但是信息化技術(shù)的應(yīng)用卻帶來了非常多的風(fēng)險(xiǎn)點(diǎn),也就給了攻擊者非常好的機(jī)會。

天價(jià)勒索

轉(zhuǎn)型中的工業(yè)互聯(lián)網(wǎng)企業(yè)正在成為黑產(chǎn)新的“獵物”,較低的攻擊難度以及成功后帶來的超高回報(bào),讓趨利性日益明顯的網(wǎng)絡(luò)攻擊者趨之若鶩。

IBM發(fā)布的很難想象,就是現(xiàn)場工作人員一個(gè)小小的失誤,竟然引發(fā)了如此規(guī)模龐大的工業(yè)安全事件。同樣的失誤如果放在金融或者互聯(lián)網(wǎng)科技企業(yè),絕對不會出現(xiàn)如此嚴(yán)重的后果。

工業(yè)互聯(lián)網(wǎng)的脆弱性一覽無余。

兩年后(2020年12月),制造加工的另一個(gè)龍頭富士康也遭遇了一次嚴(yán)重的勒索攻擊。據(jù)外媒BleepingComputer報(bào)道,富士康在墨西哥的一家工廠遭受了名為DoppelPaymer勒索軟件攻擊,黑客在此之前偷竊了未加密的文件,進(jìn)而在入侵之后對設(shè)備進(jìn)行了加密處理。

攻擊者稱已經(jīng)加密了約1,200臺服務(wù)器,竊取了100 GB的未加密文件,并刪除了20-30 TB的備份,并且向富士康勒索1804.0955個(gè)比特幣的贖金,按當(dāng)時(shí)的比特幣價(jià)格計(jì)算,大約是2.3億人民幣。威脅情報(bào)報(bào)告證實(shí)了這一論斷。數(shù)據(jù)顯示,2020年第一季度,勒索軟件攻擊在所有行業(yè)增長了25%,但是針對制造業(yè)的攻擊數(shù)量增加了156%,風(fēng)險(xiǎn)指數(shù)全行業(yè)最高。

333.png

2018年8月,全球晶圓代工龍頭臺積電被爆遭遇勒索病毒W(wǎng)annaCry攻擊,導(dǎo)致三大產(chǎn)品線停擺多達(dá)三天,影響當(dāng)季營收約2%,損失高達(dá)十幾億人民幣。

又是工業(yè)史上的一次天價(jià)勒索,兩大龍頭誰也沒有躲開來自網(wǎng)絡(luò)的風(fēng)險(xiǎn)。2020年同樣遭受了勒索攻擊還有豐田汽車、特斯拉、德國硅晶圓廠商X-FAB、可穿戴設(shè)備廠商佳明等知名制造企業(yè)。

這些頭部的大型制造企業(yè)之所以被攻擊者青睞有加,不是因?yàn)樗鼈兊陌踩雷o(hù)體系不夠完善,相反,它們的安全能力大多處于行業(yè)前列。真正的原因在于,網(wǎng)絡(luò)攻擊帶給工業(yè)互聯(lián)網(wǎng)的傷害更大,也更直接。

比如攻擊導(dǎo)致生產(chǎn)線停擺,那么就很有可能影響企業(yè)訂單的交付,例如臺積電被攻擊后很有可能導(dǎo)致新iPhone無法按計(jì)劃時(shí)間發(fā)布。極端情況下,最嚴(yán)重的攻擊可能對制造商工廠和設(shè)備造成永久性損害,導(dǎo)致市場份額損失,甚至制造企業(yè)的破產(chǎn)。

因此,制造業(yè)遭遇勒索攻擊時(shí)更愿意交付贖金,息事寧人。據(jù)Kivu Consulting2020年發(fā)布的報(bào)告顯示,制造業(yè)在勒索攻擊的支付意愿超過了其他任何行業(yè),這也是勒索團(tuán)隊(duì)更愿意選擇工業(yè)互聯(lián)網(wǎng)的原因所在。

安全風(fēng)險(xiǎn)

“樂意付錢”是工業(yè)互聯(lián)網(wǎng)企業(yè)成為黑產(chǎn)目標(biāo)的原因之一,而另一個(gè)原因則是企業(yè)轉(zhuǎn)型過程中一味的謀求業(yè)務(wù)先轉(zhuǎn)型,安全能力建設(shè)存在嚴(yán)重的滯后性,攻擊的成功率自然也就更高。因此,和攻擊大型金融企業(yè)、大型互聯(lián)網(wǎng)科技企業(yè)的高成本相比,處于數(shù)字化轉(zhuǎn)型的大型工業(yè)/制造業(yè)企業(yè)安全防護(hù)能力更弱,自然更容易成為新的目標(biāo)。

之所以出現(xiàn)這樣的現(xiàn)象,主要原因有兩個(gè)。

第一,傳統(tǒng)工業(yè)設(shè)備老舊,這是制約其安全能力發(fā)展的客觀因素。

互聯(lián)網(wǎng)科技企業(yè)的終端數(shù)量最多是電腦或移動設(shè)備端,但是數(shù)字化轉(zhuǎn)型的制造業(yè)除了電腦之外,還有大量的工業(yè)生產(chǎn)設(shè)備,是企業(yè)最重要的生產(chǎn)資料。這些設(shè)備不像電腦可以隨意進(jìn)行更換,或者對落后的系統(tǒng)進(jìn)行升級,它的折舊周期甚至可能長達(dá)十年之久,電腦作業(yè)系統(tǒng)相對落后,存在的風(fēng)險(xiǎn)點(diǎn)自然就多。

第二,對于網(wǎng)絡(luò)安全的重視程度不夠,這是制約其發(fā)展的主觀因素。

在沒有進(jìn)行數(shù)字化轉(zhuǎn)型之前,傳統(tǒng)工業(yè)企業(yè)很難會遇到網(wǎng)絡(luò)攻擊,物理邊界的存在讓它們游離于互聯(lián)網(wǎng)之外,恰恰是對它們最好的保護(hù),因此,企業(yè)更關(guān)注的是生產(chǎn)安全和產(chǎn)能效率等。而當(dāng)互聯(lián)網(wǎng)的大門打開時(shí),思想?yún)s還處于轉(zhuǎn)型之前的定勢,很難在第一時(shí)間及時(shí)提升安全防護(hù)能力,也就留下了安全隱患。

具體體現(xiàn)在以下幾個(gè)方面。

1.設(shè)備層

有專家表示,我國工業(yè)互聯(lián)網(wǎng)面臨的最主要的挑戰(zhàn)就是工業(yè)互聯(lián)網(wǎng)的應(yīng)用設(shè)備存在安全隱患。由于工業(yè)互聯(lián)網(wǎng)的應(yīng)用設(shè)備最初的設(shè)計(jì)構(gòu)想是為企業(yè)生產(chǎn)服務(wù),所以關(guān)注點(diǎn)更偏向于生產(chǎn)效率、產(chǎn)能等方面,設(shè)備自身的安全性考慮明顯不足,甚至是編碼都非常容易被攻擊,直接導(dǎo)致設(shè)備出現(xiàn)故障。

而IT與OT日益融合、新的智能互聯(lián)設(shè)備使用日益增多,同樣給企業(yè)帶來了潛在的安全漏洞,使企業(yè)無法全面了解其風(fēng)險(xiǎn)暴露面和攻擊面的問題。另外,工廠正在使用老舊的機(jī)器和已經(jīng)停止支持的SQL服務(wù)器,也為其安全架構(gòu)留下了巨大漏洞。

2.工控層

工控系統(tǒng)的威脅主要是來自控制協(xié)議、控制平臺、控制軟件等方面,同時(shí)設(shè)計(jì)之初缺乏對網(wǎng)絡(luò)安全能力的整體性考量,致使系統(tǒng)存在著各種安全風(fēng)險(xiǎn)點(diǎn),包括身份驗(yàn)證不足,許可、授權(quán)與訪問控制不嚴(yán)格等。

2019年3月,Ivan Boyko等研究人員報(bào)告了Moxa工控產(chǎn)品的12個(gè)安全漏洞,包括緩沖區(qū)溢出漏洞,遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行惡意代碼;跨站請求偽造漏洞,攻擊者可利用該漏洞執(zhí)行未授權(quán)的操作等。雖然暴露出的漏洞的嚴(yán)重性和影響程度各不相同,但即使是拒絕服務(wù)問題之類的簡單問題,也可能對工控系統(tǒng)產(chǎn)生深遠(yuǎn)的影響。

3.數(shù)據(jù)層

制造業(yè)數(shù)據(jù)泄露成難題在業(yè)界已經(jīng)不是什么秘密。根據(jù)Verizon發(fā)布的《2020數(shù)據(jù)泄露調(diào)查報(bào)告》數(shù)據(jù)顯示,確認(rèn)了的922起針對制造企業(yè)網(wǎng)絡(luò)攻擊中,有381起導(dǎo)致了敏感數(shù)據(jù)泄露。

隨著數(shù)字化轉(zhuǎn)型的加速,工業(yè)化和信息化開始觸合,傳統(tǒng)工業(yè)企業(yè)的數(shù)據(jù)開始和互聯(lián)網(wǎng)進(jìn)行打通,對于制造業(yè)數(shù)據(jù)安全來說是一個(gè)巨大的挑戰(zhàn)。不管數(shù)據(jù)是通過大數(shù)據(jù)平臺存儲、還是分布在用戶、生產(chǎn)終端、設(shè)計(jì)服務(wù)器等多種設(shè)備上,海量數(shù)據(jù)都將面臨數(shù)據(jù)丟失、泄露、篡改等安全威脅。

4.人員層

員工的網(wǎng)絡(luò)安全意識是企業(yè)的最后一道防線,也是最關(guān)鍵的一道防線。然而,正處于數(shù)字化轉(zhuǎn)型期的制造業(yè),員工的網(wǎng)絡(luò)安全意識普遍不高已是眾所周知的事實(shí);即便是IT技術(shù)人員在網(wǎng)絡(luò)安全方面的意識也沒有想象中那么高,這將會成為工業(yè)互聯(lián)網(wǎng)面臨的重要挑戰(zhàn)之一。

例如針對國內(nèi)大型高新制造業(yè)的網(wǎng)絡(luò)釣魚攻擊幾乎一直處于活躍狀態(tài),攻擊者一般首先企業(yè)內(nèi)部郵件的來往,掌握工作流程和內(nèi)部員工信息,然后再精心偽裝成政府部門郵件、企業(yè)內(nèi)部郵件等向企業(yè)的采購部門、財(cái)務(wù)部門發(fā)起攻擊,亦或是通過釣魚郵件往電腦中植入病毒,再通過內(nèi)外感染并癱瘓生產(chǎn)系統(tǒng),達(dá)到勒索贖金的目的。

另外,網(wǎng)絡(luò)安全人員在這些企業(yè)的地位也不高,即便是建立了網(wǎng)絡(luò)安全部門也是處于IT部門之下,專職人員不過三五人甚至是一二人。如此低的人力資源也使得安全人員沒有辦法面面俱到,被攻擊者抓到漏洞是遲早的事情。

道阻且長

事實(shí)上,國家和政府部門對于傳統(tǒng)工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型期間出現(xiàn)的日益嚴(yán)重的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)已有相應(yīng)的認(rèn)知,并陸續(xù)出臺了各種政策引導(dǎo)企業(yè),在數(shù)字化轉(zhuǎn)型期間平衡網(wǎng)絡(luò)安全體系建設(shè)的政策。

如《關(guān)于加強(qiáng)工業(yè)控制系統(tǒng)信息安全管理的通知》、《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》、《工業(yè)控制系統(tǒng)信息安全防護(hù)能力評估方法》等。隨著網(wǎng)絡(luò)空間安全上升至國家安全戰(zhàn)略,工控網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型的重要部分,自然也就成為國家重點(diǎn)關(guān)注內(nèi)容。

但是,道阻且長。

哪怕國家已經(jīng)出臺了相當(dāng)多的政策和法規(guī),但是想要很快改善這些企業(yè)的網(wǎng)絡(luò)安全防護(hù)體系無異于癡人說夢。因此更需要企業(yè)持續(xù)不斷地進(jìn)行投入,不斷對網(wǎng)絡(luò)安全體系進(jìn)行完善。

2019年7月,工信部等十部門聯(lián)合印發(fā)了《加強(qiáng)工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》,明確表示,要在2020年底之前初步建立工業(yè)互聯(lián)網(wǎng)安全保障體系,而到2025年需要建立起較為完備的工業(yè)互聯(lián)網(wǎng)安全保障體系。

從這里我們可以看出,這是一場長久的攻堅(jiān)戰(zhàn),也是一場必須要打下去的攻堅(jiān)戰(zhàn)。

因?yàn)?,隨著智能化轉(zhuǎn)型的進(jìn)行,萬物互聯(lián)時(shí)代的到來,物理邊界將會慢慢消失,傳統(tǒng)的安全方式手段逐步失效,在瞬息萬變的互聯(lián)網(wǎng)中,這些企業(yè)將面臨著更多、更加復(fù)雜的網(wǎng)絡(luò)攻擊。此時(shí),如果沒有建設(shè)好網(wǎng)絡(luò)安全這塊“大基石”,對于企業(yè)來說就是一場災(zāi)難。

作為網(wǎng)絡(luò)安全的主體,傳統(tǒng)工業(yè)企業(yè)必須要做好長久的準(zhǔn)備,不斷加大在網(wǎng)絡(luò)安全上的投入,沉下心去細(xì)細(xì)梳理企業(yè)的網(wǎng)絡(luò)安全資產(chǎn)和需求,從企業(yè)運(yùn)行、生產(chǎn)管理、過程監(jiān)控、現(xiàn)場控制各環(huán)節(jié)重新構(gòu)建網(wǎng)絡(luò)安全能力,形成一套前可查風(fēng)險(xiǎn),中可扛攻擊,后可追溯源的綜合防護(hù)體系。

消息一出,業(yè)界震驚。

作為智能制造中的代表者,臺積電的網(wǎng)絡(luò)安全防御體系其實(shí)并非人們想象中那么糟糕,相反,擁有SOP的它安全能力在同行業(yè)中絕對能夠排在前列。

事后,臺積電尋找此次勒索攻擊事件的原因,發(fā)現(xiàn)是現(xiàn)場操作人員沒有按照SOP(標(biāo)準(zhǔn)作業(yè)程序)進(jìn)行,讓新進(jìn)機(jī)臺先掃毒,再連上內(nèi)部網(wǎng)路,導(dǎo)致藏身在新機(jī)臺電腦里的勒索病毒W(wǎng)annaCry在開機(jī)后立刻掃描同一生產(chǎn)內(nèi)網(wǎng)里的所有電腦主機(jī),對Windows 7一處安全漏洞EternalBlue發(fā)起攻擊,并迅速擴(kuò)散感染到其他廠區(qū)。

THEEND

最新評論(評論僅代表用戶觀點(diǎn))

更多
暫無評論