三大基地停產(chǎn),78億損失!制造業(yè)安全建設(shè)刻不容緩
8月3日,臺灣一知名芯片代工廠三大核心基地遭遇勒索病毒攻擊,導(dǎo)致生產(chǎn)線全線停擺,預(yù)估損失78億元,損失極其慘重,一時間震驚整個制造業(yè)!
不僅如此,不久前《紐約時報》剛報道了一起重大的制造業(yè)數(shù)據(jù)泄漏事件,100多家廠商的近4.7萬件敏感文件泄漏。文件共計157GB,包含裝配線和工廠原理圖、員工個人隱私信息、保密協(xié)議和機(jī)器人的配置、規(guī)格、演示動畫等。
一、為什么近期制造業(yè)安全事件頻發(fā)?
一方面,制造業(yè)正成為黑客攻擊新的重點目標(biāo)。
天下熙熙皆為利來。制造業(yè)業(yè)務(wù)系統(tǒng)承載著極高的價值。攻擊者發(fā)起網(wǎng)絡(luò)攻擊可以直接影響控制系統(tǒng)的正常運行,例如可以直接對某些工控設(shè)備發(fā)送指令導(dǎo)致設(shè)備關(guān)機(jī)或參數(shù)修改,能夠直接造成重大生產(chǎn)事故。不僅如此,隨著智能制造、工業(yè)互聯(lián)網(wǎng)的發(fā)展,越來越多的企業(yè)使用ERP、MES等系統(tǒng)來提高生產(chǎn)效率,制造業(yè)早已離不開數(shù)據(jù),在黑客眼里,數(shù)據(jù)就是金錢,因此病毒勒索、數(shù)據(jù)泄露等安全問題成為制造業(yè)安全面臨的新挑戰(zhàn)。
此外,隨著智能制造和工業(yè)互聯(lián)網(wǎng)的發(fā)展,信息化和自動化不斷打通,攻擊面越來越大,制造業(yè)的攻擊成本正在不斷地下降。
另一方面,目前制造業(yè)信息安全建設(shè)普遍存在問題。
1. 自動化系統(tǒng)帶“洞”運行
自動化系統(tǒng)設(shè)計人員安全意識相對薄弱,工控協(xié)議、設(shè)備、系統(tǒng)在設(shè)計之初就重視可用性、忽視安全性。并且系統(tǒng)一旦投入使用之后,更新升級周期非常長,許多PC還是十幾年前的xp系統(tǒng)和512m內(nèi)存,這使得智能制造時代IT、OT兩網(wǎng)融合的情況下,脆弱性不斷暴露,讓攻擊者有機(jī)可乘。
2. 工控安全投鼠忌器
自動化系統(tǒng)本身比較“脆弱”,不能像傳統(tǒng)IT系統(tǒng)那樣進(jìn)行漏掃、殺毒,因為這些“重”的安全措施容易造成生產(chǎn)故障,即便用防火墻也不敢開啟阻斷模式,因此工控安全大都以黑白應(yīng)用名單為核心構(gòu)建“輕”安全。這種安全措施在面對WannaCry等新型病毒時就像用冷兵器時代的盾牌來應(yīng)對火藥時代的槍炮。
3. APT攻擊大都從信息化系統(tǒng)入手
例如BlackEnergy烏克蘭電力系統(tǒng)事件,黑客就是先通過辦公網(wǎng)進(jìn)行突破,然后跳板進(jìn)入控制層。ICS-CERT最新報告的290起工業(yè)安全事件當(dāng)中,有77起來自魚叉式釣魚、43起來自弱身份認(rèn)證、35起來自嗅探攻擊。很多時候,工控安全事件是從IT系統(tǒng)開始,工控系統(tǒng)安全防御體系難以在短期內(nèi)大幅提升是由其固有特性決定的,但通過整體IT系統(tǒng)的安全加固,在攻擊進(jìn)入OT層之前就將其扼殺掉,是有效提升制造業(yè)整體安全性的手段之一。
二、制造企業(yè)應(yīng)如何應(yīng)對安全新形勢?
制造業(yè)遭受僵木蠕、黑客的攻擊無外乎兩種情況,第一種是從互聯(lián)網(wǎng)、辦公網(wǎng)跳板進(jìn)入生產(chǎn)網(wǎng),第二種是通過USB、流氓設(shè)備等方式從生產(chǎn)網(wǎng)內(nèi)部感染。因此,建議的安全整改措施有:
1. 提前識別資產(chǎn)與風(fēng)險,消除安全短板
通過資產(chǎn)識別、漏洞分析、策略自檢等技術(shù)主動發(fā)現(xiàn)網(wǎng)絡(luò)中所有被保護(hù)的資產(chǎn)對象及其風(fēng)險狀況,確保安全防護(hù)策略的有效性,提前解決諸如開放端口、高危漏洞、弱密碼等安全風(fēng)險。
此外,做好隔離與USB管控。通過構(gòu)建微隔離體系,在病毒爆發(fā)時盡早將失陷主機(jī)隔離開來,防止其他主機(jī)被感染,縮小感染面積。比如將不同的車間進(jìn)行安全隔離,同時利用軟件、物理等方式做好生產(chǎn)網(wǎng)PC USB權(quán)限的管控,避免通過USB感染。
2. 除OT安全投入外,加強(qiáng)IT層安全建設(shè)
許多制造企業(yè)在上MES的過程中,需要將OT與IT打通,使得工控的脆弱性暴露出來。因此在進(jìn)行OT安全建設(shè)的同時應(yīng)同步加強(qiáng)IT層的安全建設(shè),將威脅隔絕在生產(chǎn)網(wǎng)之外。
一方面構(gòu)建態(tài)勢感知的能力。感染病毒之后,重裝工控PC系統(tǒng)雖然能一定程度緩解威脅形勢,但難以定位病毒的根源,因此重新接入網(wǎng)絡(luò)一段時間后,新系統(tǒng)仍然會遭到重復(fù)感染,無法從根源上消除威脅。依托安全態(tài)勢感知,收集全網(wǎng)流量,利用人工智能、大數(shù)據(jù)分析等技術(shù)進(jìn)行持續(xù)分析,對威脅進(jìn)行溯源和定位,找到威脅的源頭,進(jìn)而根除威脅。
另一方面,構(gòu)建安全動態(tài)閉環(huán),而非靜態(tài)的縱深防御。通過形成一套集預(yù)防、檢測、防御、響應(yīng)于一體的動態(tài)安全體系,提升制造企業(yè)整體安全能力,持續(xù)對制造業(yè)進(jìn)行閉環(huán)的安全保護(hù)。
