當地時間3月1日，日本豐田汽車公司因零部件供應商受到“勒索軟件”攻擊，決定停止日本全國所有工廠運行。豐田雖已發布消息稱3月2日將恢復生產，但此次停工影響了14家工廠的28條生產線、涉及約1.3萬輛汽車的正常生產計劃。

眾所周知，汽車制造作為典型的流程制造行業，供應商關系管理是業務流程中的關鍵節點，是連接生產制造的核心業務，一旦遭受網絡攻擊，將嚴重影響正常業務的開展。

當下，在企業數字化、智能化發展背景下，信息網、工控網、物聯網、數據中心等場景數據得到了充分融合、分析與再造，來自互聯網的外部威脅快速滲透蔓延，并與工業生產等內部安全問題相互交織，催生出很多新的安全業務場景和需求。

豐田的教訓有多大?

此次，日本汽車制造巨頭豐田公司宣布暫停汽車生產業務。造成停產的原因，是其重要零部件供應商小島工業(Kojima?Industries)出現系統故障，據悉該公司遭受了網絡攻擊。

小島工業是一家日本塑料部件制造商，他們的零部件供應業務屬于汽車生產中的關鍵環節。此次事件是又一起嚴重的供應鏈中斷案例。

豐田公司表示，此次事件迫使他們決定從3月1日(周二)開始，暫停日本14家工廠內28條生產線的正常運行。據估算，這將導致豐田公司的日本月產能下降5%，相當于大約13000輛汽車。

因供應中斷，豐田汽車將2021財年產量目標，從之前的900萬輛下調至850萬輛。

豐田汽車在日本的供應鏈涵蓋6萬家公司，分布在4個層級。豐田汽車表示，可以通過接入和供應商之間的備份網絡來恢復運營，但完全恢復系統需要1到2周時間。

一直以來，豐田公司一直以“準時制”精益制造法的超級高效著稱，但這在當下已然成為軟肋，沒有安全保障能力，它所接入的網絡環境或許隨時會被惡意攻擊顛覆。

勒索病毒從單純的勒索漸漸演變到數據勒索，“雙重勒索”已然成為新常態。預防網絡攻擊已經是各行業企業最關注的焦點問題，但勒索事件為何還會頻繁發生呢?

網絡攻擊為何頻繁發生?

其實，類似豐田的事件并非沒有發生過，2020年11月，制作《生化危機》游戲的日本視頻游戲制造商CAPCOM表示，有一次勒索軟件攻擊，可能損害多達35萬名玩家的個人信息，而且部分財務數據可能被竊取。2020年6月，在遭受疑似網絡攻擊后，本田汽車在全球暫停部分汽車和摩托車生產。

2021年網絡安全評級機構Black?Kite發布一份報告，其調查的100家汽車制造商中，50%的汽車制造商和17%以上的汽車供應商面臨勒索軟件攻擊的高風險。

從去年開始，“數字化轉型和移動、云和邊緣部署模型的采用從根本上改變了網絡通信模式，并使現有的網絡和安全模型逐漸式微。”從全球網絡部署新特征的角度，新冠肺炎疫情以來，全球互聯網“用戶無處不在、程序無處不在、威脅無處不在”的特征更加凸顯。

過去企業會將自己的應用程序部署在總部或者是一到兩個大的數據中心。但現在，企業把應用程序遷移到云端，或者是在多個云位置，或者還包括傳統的數據中心、辦公大樓等，這也給企業帶來了更多的安全威脅。

在此背景下，企業現在面臨的網絡攻擊威脅是無處不在的。這些威脅來自不同的威脅方，共同點在于其布局是全球化的。

而且，我們發現，越來越多的攻擊者更具針對性，會根據目標的情況實時進行調整，找到最大的漏洞來攻破防線。比如有的攻擊者通過嘗試過十多個不同的IP地址，聚焦到一兩個IP地址上，找到漏洞以實施最大限度地破壞。這也使得防范變得越來越難。

倘若放任不管，網絡攻擊者可以滲透到不安全的企業IT系統，安裝惡意軟件，限制企業訪問關鍵數據，不僅企業要損失巨額財產，還會影響其未來發展。

零信任能改善網絡勒索嗎?

隨著云時代的來臨，網絡攻擊變得無處不在，為了加強對于安全的防范，眾多云、服務器、網絡等廠商提出了“零信任”。

其實，零信任安全是一個概念框架，它要求對嘗試訪問專用網絡資源的每個設備和個人進行嚴格地識別和身份驗證。無論個人是位于網絡外圍還是在網絡外圍，這一模型都適用。零信任網絡訪問(ZTNA)是與零信任模型相關的主要概念。

從本質上來說，傳統的IT網絡安全信任網絡中的每個人和所有事物，零信任方法不信任任何事物或任何人。

零信任安全要求默認情況下網絡外部或內部都不會信任任何人，并且任何嘗試訪問網絡資源的個人都需要進行身份驗證。這個額外的安全層已被證明可以阻止信息泄露。最近發布的一份調查報告表明，平均而言，一次數據泄露的損失超過300萬美元。考慮到這一點，當今許多企業都采用零信任架構也就不足為奇了。

我們認為，有三點對于企業成功實施云計算環境的零信任至關重要：

• 從被動應用觀察開始，通常通過網絡流量監控應用。允許進行幾周的監控以發現應用程序之間的當前關系，并與了解典型系統間通信和流量模式的利益相關者進行協調。一旦確認了應該存在的適當關系以及應用程序活動，就應該在之后制定執行規則。
• 根據數據在網絡上的傳輸方式以及應用程序和用戶訪問敏感數據的方式創建零信任架構。這將有助于決定如何劃分網絡。它還可以幫助安全團隊決定必須使用物理設備或虛擬機在網絡不同部分的邊界之間放置訪問控制和保護的位置。
• 更復雜的零信任系統與資產身份集成。通過與特定系統中的組、業務單位或個人保持一致，這些身份可以充當應用程序框架的組件。留出時間對應用程序和系統進行分類。這將有助于構建應用程序流量活動。

寫在最后

就我國來看，作為數字經濟框架下的一個重點戰略工程，“東數西算”通過構建數據中心、云計算、大數據一體化的新型算力網絡體系，是數字經濟的重要落腳點。隨著東數西算工程的推進，數據流通環節和數據量將會顯著增加，這將大幅帶動網絡安全、數據安全的相關需求。

未來，后疫情時代，隨著云計算、大數據、移動互聯網、物聯網、5G等技術廣泛應用到企業信息化建設和業務發展中，遠程辦公、業務協同、分支互聯等業務需求快速發展，企業原有的網絡邊界逐漸模糊，由此帶來的網絡安全風險和威脅普遍存在，在這種情況下，基于“永不信任，永遠驗證”原則的零信任架構成為解決問題的核心手段。