本田位于印度班加羅爾的摩托車廠曾于2020年遭勒索軟件攻擊
網絡犯罪組織和國家級攻擊組織為竊取智慧財産權、數據或通過勒索攻擊獲取經濟利益,令制造業成為全球受威脅最大的行業之一。
徐長卿
去年3月初,總部位于美國科羅拉多州丹佛的一家名為Visser Precision的精密零件制造商遭受勒索軟件攻擊。也許你並不知道這家為太空和國防承包商提供精密部件的公司,但它的客戶可是鼎鼎大名,包括特斯拉、波音、洛克希德-馬丁、SpaceX,等等。
駭客入侵Visser Precision的電腦,對其文件進行加密並揚言:如果不支付贖金,就將這些巨頭公司的敏感文件公之于眾。Visser硬氣回應“綁票”行為,表示絕不妥協。這惹惱了攻擊者,他們公布了Visser的客戶數據:與特斯拉和SpaceX簽署的保密協議資訊,反迫擊炮防禦係統中天線的規格等洛克希德-馬丁設計的重要軍事裝備細節。
據IBM發布的報告,2020年第一季度,勒索軟件攻擊在所有行業增長了25%,其中針對制造業的攻擊增長了156%。同年3月,趨勢報告的調查結果稱,在德國和日本,61%的制造商的智能工廠經歷過網絡安全事件,75%的制造商因此遭受係統中斷。
網絡犯罪組織和國家級攻擊組織為竊取智慧財産權、數據或通過勒索攻擊獲取經濟利益,令制造業成為全球受威脅最大的行業之一。
勒索事件頻發
2017年5月12日,不法分子通過改造“永恒之藍”網絡攻擊工具,制造了wannacry勒索病毒,英國、俄羅斯等多個歐洲國家的高校校內網、大型企業內網和政府機構專網中招。“永恒之藍”事件爆發後,勒索軟件大有“血洗”互聯網之勢。
勒索病毒導致制造業停産、數據泄露已經不是個案。
2020年3月,從事鋼鐵採礦和制造的EVRAZ公司數據庫遭到勒索軟件攻擊,公司在北美、俄羅斯和烏克蘭的分支機構業務被迫暫停,其在加拿大和美國的鋼鐵生産廠亦受到波及,近千人不得不停工幾日。
2020年6月,Ekans勒索軟件針對本田發起攻擊,導致其暫停美國和土耳其汽車工廠以及印度和南美洲摩托車工廠的生産,其客戶和金融服務業務也被關閉。
2020年9月,全球最大光纖鐳射器制造商IPG Photonics因遭到勒索軟件攻擊而運營中斷。該公司的設備被用作美國海軍鐳射武器係統(LAWS)的一部分。此次勒索軟件攻擊破壞了IPG Photonics公司的運營部門,其IT係統在全球范圍內關閉,影響了辦公室的電子郵件、電話和網絡連接。
2020年11月,富士康位于墨西哥的工廠遭到DoppelPaymer勒索軟件的攻擊。攻擊者表示:“我們加密了北美部分,而不是整個富士康,這涉及大約1200臺至1400臺伺服器,並不單單針對工作站。它們還有大約75TB的其他備份,我們銷毀了其中大約20TB至30TB的備份內容。”攻擊者要求富士康支付1804.0955比特幣作為贖金(約3486.6萬美元),否則將把盜取數據在暗網出售。
根據工業網絡安全公司Dragos和X-Force發布的《針對工控係統的勒索攻擊評估報告》,2018~2020年針對工業實體的勒索軟件攻擊暴增了500%以上。行業分布方面,制造業是工業勒索軟件攻擊增長最快的領域,從2018年到2020年間數量增長了3倍。
為什麼是制造業?
勒索軟件通過病毒感染電腦伺服器、臺式機、筆記型電腦、平板電腦和智能手機。一旦係統被感染,病毒會悄悄加密資料檔案,然後向用戶索要贖金。勒索金額從數百萬到數千萬美元(通常以難以追蹤的加密貨幣,如比特幣等形式支付),線上完成支付後,換取恢復用戶鎖定文件所需的解密密鑰。如果受害者不付錢,攻擊者會丟棄解密密鑰,受害者將永久無法訪問數據。
制造業緣何頻成“肉票”?
一是制造業企業面對迅速恢復産能的巨大壓力,更願意付贖金。
制造業中修復及重新配置設備是出了名的困難,因為大部分此類設備必須持續運作才能保證制造流程的順利運轉。一旦生産線遭攻擊而停工,供應鏈就會斷掉,導致整個産品線停産,進而使利潤減少,股票價格下跌,甚至是聲譽毀壞。
2019年,全球最大的鋁制造商之一挪威海德魯位于美國的工廠被勒索軟件攻擊,部分工廠停産數周,給公司帶來9000萬至1.1億美元損失,遠遠超過保險公司賠付的360萬美元。
根據威瑞森電信(Verizon)發布的《2020數據泄露調查報告》,針對制造業的攻擊活動中,75%是出于經濟目的。而基伍咨詢公司(Kivu Consulting)2020年發布的報告顯示,在勒索軟件支付方面,制造業企業超過其他任何行業,共支付了690萬美元,佔到整個2019年支付給網絡犯罪分子1100多萬美元贖金的62%。
二是攻擊者如果竊取了智慧財産權,就等同于抓住了制造業“命門”。
許多勒索病毒如LockerGoga、Maze和EKANS,都可以通過Windows活動目錄對整個組織電腦域內的主機係統進行加密,攻擊者因此通常也能夠訪問網絡內的智慧財産權和敏感數據,新型病毒EKANS甚至已經具備破壞工控設備的能力。
如果攻擊者利用勒索軟件作為煙幕,進行旨在竊取智慧財産權的網絡攻擊,可能會對受害者造成極大的傷害,因為制造業企業在智慧財産權開發上投入了大量資金,而智慧財産權通常是企業最有價值的資産,商業秘密被竊取可能足以讓企業倒閉,甚至危害國家安全。
三是制造業企業保護環節相對薄弱。
制造設施一般都是一些大型物理設備(裝配線、熔爐、電動機等),隨著技術進步和進入“工業4.0”時代,將電腦引入生産和運營係統是必要步驟。這意味著工業和網絡資産會經常暴露在互聯網上。
由于部分定制化係統過于老化,且往往安裝與生産、管理相關的獨立軟件,為了避免安裝作業系統補丁後影響業務係統的穩定性、相容性,廠方通常不會升級係統,這就為駭客組織和勒索軟件團夥提供了通過遠端訪問技術(如遠端桌面協議)和VPN服務或未修補係統的漏洞訪問網絡的途徑。《華爾街日報》2020年的一篇報告指出,只有不到三分之二的制造業企業有網絡安全項目。
此外,制造業有著眾多分散、小企業構成的復雜供應鏈,這通常會成為攻擊者尋找薄弱環節的重要目標。
防患于未然
當前,制造業正迎來“工業4.0”的重大發展契機,面對需要將無處不在的感測器、嵌入式係統、智能控制係統和産品數據、設備數據、研發數據、運營管理數據緊密互聯成一個智能網絡的新模式,一個全新的安全需求正在産生,解決安全問題已經變為第一要務。
面對不法侵害,制造業企業該怎麼辦?
第一,加強主機安全防護能力。
部署合適的終端安全管理軟件,在做好充分相容性測試的前提下,盡可能地修復作業系統的補丁、關閉無用的端口;對于難以補丁修復的主機,重點加強監控手段,通過其他防護措施遮罩漏洞。
第二,對生産係統進行縱深防護,實現“垂直分層,水準分區”。
把各工業控制係統從網絡上隔離開,這種網絡分割將分離有價值的數據,使它們處于不同的安全區,這樣勒索軟件難以在係統間擴散。對係統邊界即各操作站、工業控制係統連接處、無線網絡等進行邊界防護和準入控制等,形成對勒索軟件的有效屏障。
比如在生産網絡與管理網絡之間設置工業防火牆,在機床前部署防護裝置,阻斷勒索軟件從管理網到工控網絡的訪問控制轉移。
第三,建立嚴格的備份方案。
採用存儲冗余機制,確保將企業和生産網絡進行周期性備份,並在模擬攻擊時對備份進行測試。最安全的方式是將備份文件離線存儲。在非離線狀態下,也需確保對備份的訪問許可權僅為只讀而非編輯,防止攻擊者訪問、加密並破壞這些備份文件。
第四,提高員工的網絡安全意識。
這一點尤為重要。在調查中,很多員工承認曾把公司的筆記型電腦用于個人事項,如網上購物、下載電影或網銀服務。他們大概沒有意識到,駭客可能正偷偷監視他們,向他們的公司網絡植入惡意代碼。不點來路不明的郵件或連結,發現網絡釣魚時及時向安全運維人員報告,尤為重要。
第五,明確信息安全工作的責任歸屬,並定期開展安全評估工作。
提升對網內訪問行為與數據傳輸的識別和監測能力,通過技術手段加強網絡內的異常流量監測,及時發現、及時響應;有條件的企業可以通過模擬突發安全事件進行演習,防患于未然。
來源:2021年5月5日出版的《環球》雜志 第9期
《環球》雜志授權使用,其他媒體如需轉載,請與本刊聯繫
本期更多文章敬請關注《環球》雜志微博、微信客戶端:“環球雜志”
|