信息化觀察網(wǎng)

撰稿 | 流蘇

編輯 | 圖圖

傳統(tǒng)制造向智能制造已經(jīng)是必然趨勢。

自2013年工業(yè)4.0概念在漢諾威工業(yè)博覽會上被正式提出后就吸引了無數(shù)的目光，隨后更是被德國政府列入《德國2020高技術(shù)戰(zhàn)略》中所提出的十大未來項目之一。

作為傳統(tǒng)制造大國，我國也在2015年5月正式印發(fā)了《中國制造2025》，全面部署實施制造強國戰(zhàn)略，加快工業(yè)和“互聯(lián)網(wǎng)＋”的融合發(fā)展上，推動中國工業(yè)的“浴火重生”。

如今，第四次工業(yè)革命（工業(yè)4.0）的序幕正在緩緩拉開，借助云計算、物聯(lián)網(wǎng)、人工智能、大數(shù)據(jù)等新一代信息技術(shù)，傳統(tǒng)工業(yè)正在向“智能制造”加速轉(zhuǎn)型。

轉(zhuǎn)型的過程必然是痛苦的，在這條必經(jīng)之路上充滿了各種各樣的風(fēng)險，其中就包括網(wǎng)絡(luò)攻擊。某種程度上來說，網(wǎng)絡(luò)攻擊是這條路上最大的絆腳石。

隨著傳統(tǒng)工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型的進(jìn)行，企業(yè)更關(guān)注的是如何依靠信息化技術(shù)來提高生產(chǎn)力，對于網(wǎng)絡(luò)安全的關(guān)注并沒有明顯增加，但是信息化技術(shù)的應(yīng)用卻帶來了非常多的風(fēng)險點，也就給了攻擊者非常好的機會。

天價勒索

轉(zhuǎn)型中的工業(yè)互聯(lián)網(wǎng)企業(yè)正在成為黑產(chǎn)新的“獵物”，較低的攻擊難度以及成功后帶來的超高回報，讓趨利性日益明顯的網(wǎng)絡(luò)攻擊者趨之若鶩。

IBM發(fā)布的很難想象，就是現(xiàn)場工作人員一個小小的失誤，竟然引發(fā)了如此規(guī)模龐大的工業(yè)安全事件。同樣的失誤如果放在金融或者互聯(lián)網(wǎng)科技企業(yè)，絕對不會出現(xiàn)如此嚴(yán)重的后果。

工業(yè)互聯(lián)網(wǎng)的脆弱性一覽無余。

兩年后（2020年12月），制造加工的另一個龍頭富士康也遭遇了一次嚴(yán)重的勒索攻擊。據(jù)外媒BleepingComputer報道，富士康在墨西哥的一家工廠遭受了名為DoppelPaymer勒索軟件攻擊，黑客在此之前偷竊了未加密的文件，進(jìn)而在入侵之后對設(shè)備進(jìn)行了加密處理。

攻擊者稱已經(jīng)加密了約1,200臺服務(wù)器，竊取了100 GB的未加密文件，并刪除了20-30 TB的備份，并且向富士康勒索1804.0955個比特幣的贖金，按當(dāng)時的比特幣價格計算，大約是2.3億人民幣。威脅情報報告證實了這一論斷。數(shù)據(jù)顯示，2020年第一季度，勒索軟件攻擊在所有行業(yè)增長了25%，但是針對制造業(yè)的攻擊數(shù)量增加了156%，風(fēng)險指數(shù)全行業(yè)最高。

2018年8月，全球晶圓代工龍頭臺積電被爆遭遇勒索病毒W(wǎng)annaCry攻擊，導(dǎo)致三大產(chǎn)品線停擺多達(dá)三天，影響當(dāng)季營收約2%，損失高達(dá)十幾億人民幣。

又是工業(yè)史上的一次天價勒索，兩大龍頭誰也沒有躲開來自網(wǎng)絡(luò)的風(fēng)險。2020年同樣遭受了勒索攻擊還有豐田汽車、特斯拉、德國硅晶圓廠商X-FAB、可穿戴設(shè)備廠商佳明等知名制造企業(yè)。

這些頭部的大型制造企業(yè)之所以被攻擊者青睞有加，不是因為它們的安全防護體系不夠完善，相反，它們的安全能力大多處于行業(yè)前列。真正的原因在于，網(wǎng)絡(luò)攻擊帶給工業(yè)互聯(lián)網(wǎng)的傷害更大，也更直接。

比如攻擊導(dǎo)致生產(chǎn)線停擺，那么就很有可能影響企業(yè)訂單的交付，例如臺積電被攻擊后很有可能導(dǎo)致新iPhone無法按計劃時間發(fā)布。極端情況下，最嚴(yán)重的攻擊可能對制造商工廠和設(shè)備造成永久性損害，導(dǎo)致市場份額損失，甚至制造企業(yè)的破產(chǎn)。

因此，制造業(yè)遭遇勒索攻擊時更愿意交付贖金，息事寧人。據(jù)Kivu Consulting2020年發(fā)布的報告顯示，制造業(yè)在勒索攻擊的支付意愿超過了其他任何行業(yè)，這也是勒索團隊更愿意選擇工業(yè)互聯(lián)網(wǎng)的原因所在。

安全風(fēng)險

“樂意付錢”是工業(yè)互聯(lián)網(wǎng)企業(yè)成為黑產(chǎn)目標(biāo)的原因之一，而另一個原因則是企業(yè)轉(zhuǎn)型過程中一味的謀求業(yè)務(wù)先轉(zhuǎn)型，安全能力建設(shè)存在嚴(yán)重的滯后性，攻擊的成功率自然也就更高。因此，和攻擊大型金融企業(yè)、大型互聯(lián)網(wǎng)科技企業(yè)的高成本相比，處于數(shù)字化轉(zhuǎn)型的大型工業(yè)/制造業(yè)企業(yè)安全防護能力更弱，自然更容易成為新的目標(biāo)。

之所以出現(xiàn)這樣的現(xiàn)象，主要原因有兩個。

第一，傳統(tǒng)工業(yè)設(shè)備老舊，這是制約其安全能力發(fā)展的客觀因素。

互聯(lián)網(wǎng)科技企業(yè)的終端數(shù)量最多是電腦或移動設(shè)備端，但是數(shù)字化轉(zhuǎn)型的制造業(yè)除了電腦之外，還有大量的工業(yè)生產(chǎn)設(shè)備，是企業(yè)最重要的生產(chǎn)資料。這些設(shè)備不像電腦可以隨意進(jìn)行更換，或者對落后的系統(tǒng)進(jìn)行升級，它的折舊周期甚至可能長達(dá)十年之久，電腦作業(yè)系統(tǒng)相對落后，存在的風(fēng)險點自然就多。

第二，對于網(wǎng)絡(luò)安全的重視程度不夠，這是制約其發(fā)展的主觀因素。

在沒有進(jìn)行數(shù)字化轉(zhuǎn)型之前，傳統(tǒng)工業(yè)企業(yè)很難會遇到網(wǎng)絡(luò)攻擊，物理邊界的存在讓它們游離于互聯(lián)網(wǎng)之外，恰恰是對它們最好的保護，因此，企業(yè)更關(guān)注的是生產(chǎn)安全和產(chǎn)能效率等。而當(dāng)互聯(lián)網(wǎng)的大門打開時，思想?yún)s還處于轉(zhuǎn)型之前的定勢，很難在第一時間及時提升安全防護能力，也就留下了安全隱患。

具體體現(xiàn)在以下幾個方面。

1.設(shè)備層

有專家表示，我國工業(yè)互聯(lián)網(wǎng)面臨的最主要的挑戰(zhàn)就是工業(yè)互聯(lián)網(wǎng)的應(yīng)用設(shè)備存在安全隱患。由于工業(yè)互聯(lián)網(wǎng)的應(yīng)用設(shè)備最初的設(shè)計構(gòu)想是為企業(yè)生產(chǎn)服務(wù)，所以關(guān)注點更偏向于生產(chǎn)效率、產(chǎn)能等方面，設(shè)備自身的安全性考慮明顯不足，甚至是編碼都非常容易被攻擊，直接導(dǎo)致設(shè)備出現(xiàn)故障。

而IT與OT日益融合、新的智能互聯(lián)設(shè)備使用日益增多，同樣給企業(yè)帶來了潛在的安全漏洞，使企業(yè)無法全面了解其風(fēng)險暴露面和攻擊面的問題。另外，工廠正在使用老舊的機器和已經(jīng)停止支持的SQL服務(wù)器，也為其安全架構(gòu)留下了巨大漏洞。

2.工控層

工控系統(tǒng)的威脅主要是來自控制協(xié)議、控制平臺、控制軟件等方面，同時設(shè)計之初缺乏對網(wǎng)絡(luò)安全能力的整體性考量，致使系統(tǒng)存在著各種安全風(fēng)險點，包括身份驗證不足，許可、授權(quán)與訪問控制不嚴(yán)格等。

2019年3月，Ivan Boyko等研究人員報告了Moxa工控產(chǎn)品的12個安全漏洞，包括緩沖區(qū)溢出漏洞，遠(yuǎn)程攻擊者可利用該漏洞執(zhí)行惡意代碼；跨站請求偽造漏洞，攻擊者可利用該漏洞執(zhí)行未授權(quán)的操作等。雖然暴露出的漏洞的嚴(yán)重性和影響程度各不相同，但即使是拒絕服務(wù)問題之類的簡單問題，也可能對工控系統(tǒng)產(chǎn)生深遠(yuǎn)的影響。

3.數(shù)據(jù)層

制造業(yè)數(shù)據(jù)泄露成難題在業(yè)界已經(jīng)不是什么秘密。根據(jù)Verizon發(fā)布的《2020數(shù)據(jù)泄露調(diào)查報告》數(shù)據(jù)顯示，確認(rèn)了的922起針對制造企業(yè)網(wǎng)絡(luò)攻擊中，有381起導(dǎo)致了敏感數(shù)據(jù)泄露。

隨著數(shù)字化轉(zhuǎn)型的加速，工業(yè)化和信息化開始觸合，傳統(tǒng)工業(yè)企業(yè)的數(shù)據(jù)開始和互聯(lián)網(wǎng)進(jìn)行打通，對于制造業(yè)數(shù)據(jù)安全來說是一個巨大的挑戰(zhàn)。不管數(shù)據(jù)是通過大數(shù)據(jù)平臺存儲、還是分布在用戶、生產(chǎn)終端、設(shè)計服務(wù)器等多種設(shè)備上，海量數(shù)據(jù)都將面臨數(shù)據(jù)丟失、泄露、篡改等安全威脅。

4.人員層

員工的網(wǎng)絡(luò)安全意識是企業(yè)的最后一道防線，也是最關(guān)鍵的一道防線。然而，正處于數(shù)字化轉(zhuǎn)型期的制造業(yè)，員工的網(wǎng)絡(luò)安全意識普遍不高已是眾所周知的事實；即便是IT技術(shù)人員在網(wǎng)絡(luò)安全方面的意識也沒有想象中那么高，這將會成為工業(yè)互聯(lián)網(wǎng)面臨的重要挑戰(zhàn)之一。

例如針對國內(nèi)大型高新制造業(yè)的網(wǎng)絡(luò)釣魚攻擊幾乎一直處于活躍狀態(tài)，攻擊者一般首先企業(yè)內(nèi)部郵件的來往，掌握工作流程和內(nèi)部員工信息，然后再精心偽裝成政府部門郵件、企業(yè)內(nèi)部郵件等向企業(yè)的采購部門、財務(wù)部門發(fā)起攻擊，亦或是通過釣魚郵件往電腦中植入病毒，再通過內(nèi)外感染并癱瘓生產(chǎn)系統(tǒng)，達(dá)到勒索贖金的目的。

另外，網(wǎng)絡(luò)安全人員在這些企業(yè)的地位也不高，即便是建立了網(wǎng)絡(luò)安全部門也是處于IT部門之下，專職人員不過三五人甚至是一二人。如此低的人力資源也使得安全人員沒有辦法面面俱到，被攻擊者抓到漏洞是遲早的事情。

道阻且長

事實上，國家和政府部門對于傳統(tǒng)工業(yè)企業(yè)數(shù)字化轉(zhuǎn)型期間出現(xiàn)的日益嚴(yán)重的網(wǎng)絡(luò)攻擊風(fēng)險已有相應(yīng)的認(rèn)知，并陸續(xù)出臺了各種政策引導(dǎo)企業(yè)，在數(shù)字化轉(zhuǎn)型期間平衡網(wǎng)絡(luò)安全體系建設(shè)的政策。

如《關(guān)于加強工業(yè)控制系統(tǒng)信息安全管理的通知》、《工業(yè)控制系統(tǒng)信息安全防護指南》、《工業(yè)控制系統(tǒng)信息安全防護能力評估方法》等。隨著網(wǎng)絡(luò)空間安全上升至國家安全戰(zhàn)略，工控網(wǎng)絡(luò)安全作為數(shù)字化轉(zhuǎn)型的重要部分，自然也就成為國家重點關(guān)注內(nèi)容。

但是，道阻且長。

哪怕國家已經(jīng)出臺了相當(dāng)多的政策和法規(guī)，但是想要很快改善這些企業(yè)的網(wǎng)絡(luò)安全防護體系無異于癡人說夢。因此更需要企業(yè)持續(xù)不斷地進(jìn)行投入，不斷對網(wǎng)絡(luò)安全體系進(jìn)行完善。

2019年7月，工信部等十部門聯(lián)合印發(fā)了《加強工業(yè)互聯(lián)網(wǎng)安全工作的指導(dǎo)意見》，明確表示，要在2020年底之前初步建立工業(yè)互聯(lián)網(wǎng)安全保障體系，而到2025年需要建立起較為完備的工業(yè)互聯(lián)網(wǎng)安全保障體系。

從這里我們可以看出，這是一場長久的攻堅戰(zhàn)，也是一場必須要打下去的攻堅戰(zhàn)。

因為，隨著智能化轉(zhuǎn)型的進(jìn)行，萬物互聯(lián)時代的到來，物理邊界將會慢慢消失，傳統(tǒng)的安全方式手段逐步失效，在瞬息萬變的互聯(lián)網(wǎng)中，這些企業(yè)將面臨著更多、更加復(fù)雜的網(wǎng)絡(luò)攻擊。此時，如果沒有建設(shè)好網(wǎng)絡(luò)安全這塊“大基石”，對于企業(yè)來說就是一場災(zāi)難。

作為網(wǎng)絡(luò)安全的主體，傳統(tǒng)工業(yè)企業(yè)必須要做好長久的準(zhǔn)備，不斷加大在網(wǎng)絡(luò)安全上的投入，沉下心去細(xì)細(xì)梳理企業(yè)的網(wǎng)絡(luò)安全資產(chǎn)和需求，從企業(yè)運行、生產(chǎn)管理、過程監(jiān)控、現(xiàn)場控制各環(huán)節(jié)重新構(gòu)建網(wǎng)絡(luò)安全能力，形成一套前可查風(fēng)險，中可扛攻擊，后可追溯源的綜合防護體系。

消息一出，業(yè)界震驚。

作為智能制造中的代表者，臺積電的網(wǎng)絡(luò)安全防御體系其實并非人們想象中那么糟糕，相反，擁有SOP的它安全能力在同行業(yè)中絕對能夠排在前列。

事后，臺積電尋找此次勒索攻擊事件的原因，發(fā)現(xiàn)是現(xiàn)場操作人員沒有按照SOP（標(biāo)準(zhǔn)作業(yè)程序）進(jìn)行，讓新進(jìn)機臺先掃毒，再連上內(nèi)部網(wǎng)路，導(dǎo)致藏身在新機臺電腦里的勒索病毒W(wǎng)annaCry在開機后立刻掃描同一生產(chǎn)內(nèi)網(wǎng)里的所有電腦主機，對Windows 7一處安全漏洞EternalBlue發(fā)起攻擊，并迅速擴散感染到其他廠區(qū)。