工業互聯網安全 | 臺積電之后,下一個“中毒”的會是誰?
2018 年 8 月份,知名芯片代工廠臺積電遭遇 WannaCry 病毒入侵,導致三大工廠生產線停擺,預估損失高達約 17 億人民幣。由于臺積電肩負英特爾、華為、高通、蘋果等品牌芯片的代工生產,且蘋果即將推出新品,人們紛紛揣測此事造成的嚴重影響,整個制造業和輿論界都受到了震動。而七月初,外媒《紐約時報》也報道了一起重大數據泄露事件,包含企業藍圖、工廠原理圖、客戶材料、員工信息等將近 47000 份、共 157 GB 的文件,影響一百多家汽車制造廠商。
從2010 年引起全球關注的震網病毒開始,整個工業互聯網的安全問題一直敲打著各大企業的神經。但多年過去,工業互聯網的安全防線依然較弱,這與整個行業本身的特點有關,也表明工業互聯網的安全建設并不容易。
一、工業互聯網
工業互聯網的概念在國內早已存在,在近幾年開始受到政策的推動。按照定義:“工業互聯網是指全球工業系統與高級計算、分析、感應技術以及互聯網連接融合的結果。它通過智能機器 間的連接并最終將人機連接,結合軟件和大數據分析,重構全球工業、激發生產力,讓世界更美好、更快速、更安全、更清潔且更經濟。”
2015 年,我國發布《國務院關于積極推進“互聯網 +”行動的指導意見》,提出推動互聯網與制造業融合,提升制造業數字化、網絡化、智能化水平,加強產業鏈協作,發展基于互聯網的協同制造新模式。2018年7月,工業和信息化部印發了《工業互聯網平臺建設及推廣指南》和《工業互聯網平臺評價方法》,則進一步加快了國內工業互聯網建設。但是,工業互聯網在穩步發展的同時,也逐漸凸顯出大量安全問題。
二、工業互聯網面臨的幾大安全痛點
1. 工業網絡自身安全性低,易于從企業內網系統滲透
2018 年 5 月份,Positive Technologies 發布的《2018 工業企業攻擊向量報告》顯示,73%的企業網絡沒有做好安全防護,容易遭受來自外部的黑客攻擊。而在大量針對工業系統的攻擊中,黑客正是利用企業網絡(辦公網絡)作為跳板,進入工業系統的控制層并實施進一步入侵。企業員工所使用的企業信息系統(Corporate Information Systems,CIS)成為黑客攻擊的一個重要突破口,因為這些CIS系統普遍存在安全漏洞。
其中,外部攻擊者可用的管理接口(SSH、TELNET、RDP)、特權用戶的字典密碼、外部攻擊者可用的 DBMS 連接接口、易受攻擊的軟件版本、不安全協議的使用、任意文件上傳、SNMP 社區字符串配置、遠程代碼執行、用戶和軟件權限過大以及在明文或公眾中存儲敏感數據都是導致工業企業容易遭遇入侵的原因。研究表明,43%的工業企業信息系統邊界的 Web 應用程序安全級別都很差。
此外,調查結果顯示,82% 的案例都顯示內部攻擊者已經存在于企業的信息系統中,可以輕易入侵工業網絡。而自 2018 年以來,我國工業安全中心也已經發現裝備制造、交通、能源、智能樓宇等重要工業領域的數百個漏洞。
2. 大多數攻擊易于部署,攻擊難度低
調查報告顯示,67% 的攻擊向量難度都比較低;且大多攻擊向量只需利用設備和網絡中現存的配置漏洞或系統漏洞就可以部署。而各類黑客大會、開源社區乃至地下論壇等大量涌現,讓工控系統軟硬件設備的漏洞及利用方式都能輕易獲取,大量工控設備的弱口令信息及工控系統的掃描、探測、滲透方法都公之于眾。
3. 人為因素
大多數可以通過企業信息系統進入工業網絡的企業網絡配置或流量提取都存在漏洞。64% 的案例都顯示漏洞是由管理員創建遠程管理機制時造成的;甚至還有 18% 的企業根本沒有將工控組件完全物理隔離。也就是說,大多數工業互聯網企業的員工網絡安全意識依然不強。在臺積電“中毒”事件中,也是由于工作人員新加入一臺電腦設備卻沒有提前殺毒直接聯網,導致病毒傳播,造成后續一系列的停擺。
事實上,工業互聯網中負責管理網絡安全的人員大多是自動化工程師和生產工程師。由于時間精力有限,他們往往只會更關注保持系統運行,而不會把安全問題放在首位。
4. 詞典密碼和老舊軟件影響
大多數工業企業所使用的密碼都是詞典密碼,很容易查詢。此外,許多工業協議、設備、系統在設計之初并沒有考慮到在復雜網絡環境中的安全性,而且這些系統的生命周期長、升級維護少,結果就是大量工業企業所使用的軟件變成了老舊軟件,存在很多已知的漏洞且難以修復。帶病運行”的設備和系統很容易被入侵。而攻擊者正是利用這些漏洞實施攻擊,獲取大量特權并接管整個企業基礎設施。
5. 工業互聯網數據安全刻不容緩
在大數據的環境下,數據也當仁不讓成為工業互聯網的核心,工業互聯網連接了人與機器、機器與機器、機器與產品,將匯聚大量的數據,通過數據分析和學習,用于提高生產效率、服務質量,爭搶企業的競爭力。因此,在工業互聯網飛速發展的當下,一旦出現數據泄露等數據相關的安全問題,也將為企業帶來致命性打擊。
此外,企業的工業資產不清、工業網絡連接混亂、移動介質疏于管理等都是目前工業互聯網所面臨的主要安全問題。
三、工業互聯網中常見的攻擊模式
調查顯示:配置錯誤;源代碼漏洞以及常見高危漏洞都容易導致工業互聯網安全事件。攻擊者可以通過企業局域網或者被入侵的工業流程滲透進工業網絡,典型的攻擊分為三個階段:
1. 使用網絡插口、Wi-Fi 訪客聯網或其他聯網攻擊獲取企業信息系統主機上的操作系統權限;一旦獲取權限,攻擊者就會提升服務器或員工工作站的本地權限,并搜集網絡拓撲、設備以及軟件的相關信息;
2. 獲取企業信息系統上一臺或多臺主機的最大權限后,進一步利用軟件、操作系統、web應用、網絡配件、用戶認證等流程的漏洞,獲取更多端點的控制權;
3. 獲得對關鍵系統的訪問權并攻擊工業網絡
在這三個關鍵階段中,可以攻擊者使用各種攻擊方法,不論是漏洞利用還是社工,都無所不用其極。同時,他們還會盡量隱身,潛伏多年并找準時機實現致命一擊。很多工業互聯網的攻擊事件都屬于 APT 攻擊,著名的“震網”事件是最典型的例子。不論是直接破壞關鍵設備的顯性攻擊還是長期潛伏篡改生產工藝、破壞產品質量的隱性攻擊,都會對企業和國家造成嚴重影響。
四、工業互聯網安全成為國家戰略
與民用互聯網不同的是,工業互聯網牽涉到國家安全、人身財產安全,這就要求機器之間工業通信也應當更安全,而且更應當自主可控。目前,汽車生產、智能制造、電子加工等領域安全問題頻發,上至管理部門下至普通民眾終于開始關注到工業互聯網安全。
在今年的 ISC 大會上,工信部副部長陳肇雄,中央網信辦總工程師趙澤良,公安部網絡安全保衛局總工程師郭啟全,國家密碼管理局商密管理辦公室主任張平武,中國互聯網協會理事長鄔賀銓院士等都提到了工業互聯網安全問題。他們都強調“要加強網絡基礎設施防護”,并使用區塊鏈、人工智能等新的安全防護技術保護工業互聯網安全。目前,中央網信辦和公安部已經牽頭制定關鍵信息基礎設施保護條例,工業互聯網領域的基礎設施及網絡安全將得到來自法律層面的保護。
在工業互聯網、“中國制造2025”、“工業4.0”等政策驅動下,工業企業中的信息技術(IT)和操作技術(OT)一體化已成為必然趨勢。研究顯示,全球工控安全市場將從 2018 年的 132 億美元增長到 2023 年的 180.5 億美元,綜合年增長率將達到 6.5%。
對于企業而言,在政策的指導下也應當發揮自主精神,從上至下貫徹實施。同時,要注意關注頂層設計,關注核心的數據安全。具體可以從以下幾點入手,提升安全防護等級:
- 及時發現、識別并梳理資產,確認資產類型數量位置信息,并梳理清楚資產之間的連接、網絡拓撲以及數據的傳輸;
- 全方位全流量監控,結合威脅情報及被動式感知等手段,獲取工業互聯網的運行情況、實時監測流量、及時識別威脅,并通過流量分析溯源;
- 部署好應急響應措施;一旦出現感染,通過技術手段確認威脅感染面,盡早隔離防止擴散;這一步主要可以通過網絡分區以及部署具備入侵檢測能力和分析能力的網關設備,識別并防御風險;此外,對于主機的安全問題,可以通過分批升級打補丁或其他主機防護軟件保障安全;在其他終端也部署相應的安全產品;
- 妥善保管數據,除了 OT 層面的安全部署,也不能忽視網絡端即 IT 的安全保護措施,從普通的信息安全架度來部署防護措施,避免攻擊者從內網層面滲透到工業網絡層面;
- 建立安全運營體系,合理分配職責,定期進行工作人員安全意識培訓,完善事前檢測、事中響應和事后分析流程,形成安全運營閉環。
