信息化觀察網(wǎng)

本文來自微信公眾號“中國信息安全”，【作者】張格 孫婭蘋 高瑩瑩 張哲宇，國家工業(yè)信息安全發(fā)展研究中心。

當(dāng)前，我國新型工業(yè)化不斷深入推進，新一代信息技術(shù)與制造業(yè)的深度融合加速發(fā)展，推動了制造業(yè)數(shù)字化轉(zhuǎn)型的步伐。然而，網(wǎng)絡(luò)安全風(fēng)險也隨之從虛擬網(wǎng)絡(luò)空間向現(xiàn)實世界快速蔓延，全面滲透到工業(yè)研發(fā)、設(shè)計、生產(chǎn)、運行、管理、服務(wù)等各個環(huán)節(jié)和領(lǐng)域。制造業(yè)是國家經(jīng)濟命脈所系，是立國之本、強國之基，一旦遭受網(wǎng)絡(luò)勒索等重大網(wǎng)絡(luò)攻擊，輕則可導(dǎo)致企業(yè)數(shù)據(jù)泄漏、設(shè)備運轉(zhuǎn)異常，重則可能造成生產(chǎn)停擺、業(yè)務(wù)癱瘓，甚至引發(fā)安全事故。與此同時，隨著全球網(wǎng)絡(luò)空間戰(zhàn)略博弈和對抗加劇，使得工業(yè)領(lǐng)域的網(wǎng)絡(luò)勒索攻擊事件頻發(fā)，安全形勢變得嚴(yán)峻復(fù)雜，引發(fā)了行業(yè)的廣泛關(guān)注。因此，我們亟需深入剖析工業(yè)領(lǐng)域中網(wǎng)絡(luò)勒索防范應(yīng)對的問題和挑戰(zhàn)，研究并謀劃相應(yīng)的防范應(yīng)對思路和舉措。同時，加快構(gòu)建工業(yè)領(lǐng)域網(wǎng)絡(luò)勒索攻擊防范治理體系及其能力，以應(yīng)對日益嚴(yán)峻的網(wǎng)絡(luò)安全形勢。

一、工業(yè)領(lǐng)域網(wǎng)絡(luò)勒索攻擊威脅態(tài)勢嚴(yán)峻

當(dāng)前，全球網(wǎng)絡(luò)安全形勢錯綜復(fù)雜，隨著數(shù)字化轉(zhuǎn)型加速推進，工業(yè)領(lǐng)域正面臨日益嚴(yán)峻的網(wǎng)絡(luò)勒索攻擊威脅，勒索攻擊事件層出不窮，且造成的攻擊后果及影響嚴(yán)重。與此同時，網(wǎng)絡(luò)勒索攻擊技術(shù)手段仍在不斷演進升級，向智能化、融合化、精準(zhǔn)化轉(zhuǎn)變，企業(yè)面臨前所未有的安全挑戰(zhàn)。

（一）工業(yè)領(lǐng)域已成網(wǎng)絡(luò)勒索重災(zāi)區(qū)

近年來，網(wǎng)絡(luò)勒索攻擊事件頻發(fā)且呈高發(fā)態(tài)勢，已成為全球網(wǎng)絡(luò)安全領(lǐng)域增長勢頭猛、破壞性強、處置難度高的網(wǎng)絡(luò)攻擊手段之一。勒索團伙通過針對企業(yè)信息基礎(chǔ)設(shè)施或系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊，以加密數(shù)據(jù)、鎖定系統(tǒng)等方式為要挾，進而索取高額贖金。據(jù)國際網(wǎng)絡(luò)安全公司Rapid的統(tǒng)計數(shù)據(jù)，2023年全球僅公開披露的網(wǎng)絡(luò)勒索攻擊事件已超過5000起，較2022年增長近一倍。其中，制造業(yè)是受害最為嚴(yán)重的領(lǐng)域。

從受勒索對象來看，那些運營經(jīng)濟效益好、數(shù)據(jù)價值高、社會影響廣的重點企業(yè)和關(guān)鍵信息基礎(chǔ)設(shè)施已成為網(wǎng)絡(luò)勒索攻擊的焦點目標(biāo)。以2024年上半年的數(shù)據(jù)為例，多個重要行業(yè)如半導(dǎo)體生產(chǎn)、汽車制造、鋼鐵和能源等的企業(yè)及設(shè)施遭受到了嚴(yán)重的網(wǎng)絡(luò)勒索攻擊。1月，全球能源管理和自動化巨頭施耐德電氣遭受Cactus勒索軟件攻擊，導(dǎo)致TB級機密數(shù)據(jù)泄漏。2月，能源公司瓦皮蒂、汽車制造商英菲尼迪、現(xiàn)代汽車歐洲公司相繼遭受勒索攻擊，導(dǎo)致生產(chǎn)業(yè)務(wù)受到影響。3月，世界鋼鐵巨頭蒂森克虜伯因勒索攻擊導(dǎo)致多個關(guān)鍵業(yè)務(wù)系統(tǒng)關(guān)閉，工廠停產(chǎn)。4月，芯片制造商安世半導(dǎo)體遭受勒索攻擊，超過1TB的芯片設(shè)計研發(fā)高敏感數(shù)據(jù)被竊取，導(dǎo)致蘋果、SpaceX等多家客戶公司受到影響。同月，軍工造船廠芬坎蒂尼集團下屬公司也遭遇勒索攻擊，導(dǎo)致數(shù)控機床停機數(shù)天，大量生產(chǎn)業(yè)務(wù)中斷。5月，全球能源巨頭殼牌再次遭受勒索攻擊，導(dǎo)致該公司在美國、英國、澳大利亞、法國、加拿大和荷蘭等多個國家的近8萬名客戶的敏感數(shù)據(jù)被勒索組織竊取。

從經(jīng)濟損失來看，勒索攻擊不僅會造成贖金的支出損失，更可能引發(fā)包括敏感數(shù)據(jù)被竊取并公開售賣在內(nèi)的多重勒索行為。此外，這類攻擊還可能造成企業(yè)聲譽受損、生產(chǎn)系統(tǒng)停擺以及業(yè)務(wù)中斷等更為嚴(yán)重的后果。據(jù)區(qū)塊鏈分析公司Chainalysis的調(diào)查結(jié)果顯示，2023年勒索組織的贖金收益已接近4.5億美元。以全球最大芯片代工企業(yè)臺積電遭受勒索事件為例，單筆勒索贖金高達7000萬美元，這還不包括因企業(yè)業(yè)務(wù)中斷和系統(tǒng)修復(fù)等造成的其他經(jīng)濟損失。

從攻擊影響來看，勒索攻擊不僅可能對企業(yè)的正常生產(chǎn)業(yè)務(wù)造成巨大影響，還可能引發(fā)規(guī)?；年P(guān)鍵生產(chǎn)和生活物資供應(yīng)中斷，進而威脅到國家產(chǎn)業(yè)和戰(zhàn)略資源安全，甚至可能威及國家安全。例如，2017年，黑客利用“永恒之藍”漏洞發(fā)起的WannaCry勒索攻擊事件，造成全球至少150個國家、30萬名用戶的Windows系統(tǒng)計算機受到感染，直接影響了金融、能源、醫(yī)療等多個行業(yè)的正常業(yè)務(wù)運行。2021年，美國最大的成品油管道運營商科洛尼爾管道運輸公司遭到DarkSide勒索團伙攻擊，導(dǎo)致其被迫關(guān)閉燃料管道運輸系統(tǒng)，引發(fā)美國東海岸進入?yún)^(qū)域緊急狀態(tài)。該事件影響了美國東海岸長達5500英里（約合8900公里）的管道，導(dǎo)致覆蓋5000萬客戶的成品油供應(yīng)中斷，同時也對美國東部和南部沿岸的17個州以及華盛頓特區(qū)的汽油、柴油、航空煤油和其他成品油的供應(yīng)造成影響，并引發(fā)國際油價的劇烈波動。在俄烏沖突中，CryWiper、WhisperGate等多個勒索組織選邊站隊，多個國家級黑客組織偽裝成勒索團伙，對敵對國家的重要工業(yè)企業(yè)發(fā)動勒索攻擊，實施對電力、油田、核電站、鐵路系統(tǒng)等的重要數(shù)據(jù)惡意擦除和關(guān)鍵設(shè)施破壞等網(wǎng)絡(luò)打擊。

（二）網(wǎng)絡(luò)勒索攻防能力不對稱“鴻溝”日益擴大

勒索攻擊的黑色產(chǎn)業(yè)鏈已經(jīng)發(fā)展得相當(dāng)成熟，攻擊的門檻和成本大幅降低。以LockBit、BlackCat等為代表的勒索組織通過暗網(wǎng)和虛擬貨幣技術(shù)，對外公開出租或售賣勒索軟件產(chǎn)品服務(wù)，并有償共享攻擊資源和技能。從病毒制作、傳播、勒索激活到獲利的黑產(chǎn)分銷模式已經(jīng)發(fā)展完善，即使攻擊者不具備編碼和網(wǎng)絡(luò)滲透技術(shù)，只需購買勒索攻擊服務(wù)，也能執(zhí)行具有一定復(fù)雜度的勒索攻擊。目前，市面上最便宜的勒索軟件售價已低至20美元。

勒索攻擊的潛伏隱藏能力日益增強，難以有效追蹤溯源。在病毒制作、攻擊植入、規(guī)模化感染到成功實施勒索的攻擊全過程中，主流的勒索家族普遍采用攻擊隱形、免殺和病毒反檢測等技術(shù)，使得攻擊的隱蔽性極強。同時，勒索軟件大多使用比特幣等高匿名、易變現(xiàn)、難追蹤的全球化支付方式，現(xiàn)有的網(wǎng)絡(luò)攻擊追蹤和溯源技術(shù)手段難以有效應(yīng)對。

勒索攻擊的手段迭代迅速、變種層出不窮，呈現(xiàn)智能化、融合化和精準(zhǔn)化的特征。例如，GandCrab病毒僅在半年內(nèi)就已出現(xiàn)六個變種，而LockBit勒索病毒已升級至新版本4.0，且3.0版本仍在迅速迭代和產(chǎn)生多個變種。這些因素往往導(dǎo)致企業(yè)現(xiàn)有的網(wǎng)絡(luò)安全防護措施失效，防御難度急劇攀升。此外，勒索組織還會根據(jù)攻擊目標(biāo)及其所屬行業(yè)的特點，結(jié)合漏洞利用、高級持續(xù)性威脅（APT）攻擊、供應(yīng)鏈攻擊和人工智能手段等，實施多維度的定向精準(zhǔn)打擊，進一步加劇了攻防不對等的態(tài)勢。

二、工業(yè)領(lǐng)域網(wǎng)絡(luò)勒索攻擊防范應(yīng)對面臨的問題挑戰(zhàn)

當(dāng)前，我國工業(yè)領(lǐng)域面臨的網(wǎng)絡(luò)勒索攻擊威脅形勢嚴(yán)峻復(fù)雜，防范和應(yīng)對工作面臨以下三方面的困難和挑戰(zhàn)。

（一）企業(yè)網(wǎng)絡(luò)勒索防范應(yīng)對認知不足

工業(yè)企業(yè)“重發(fā)展、輕安全”的現(xiàn)象仍然普遍存在，網(wǎng)絡(luò)安全建設(shè)總體上滯后于企業(yè)發(fā)展。據(jù)國家工業(yè)信息安全發(fā)展研究中心抽樣調(diào)研數(shù)據(jù)顯示，超過半數(shù)的工業(yè)企業(yè)對網(wǎng)絡(luò)勒索防護措施和手段知之甚少，防御意識較為淡薄，存在“不知道有沒有風(fēng)險、不知道風(fēng)險在哪”的問題。同時，工業(yè)企業(yè)的網(wǎng)絡(luò)安全建設(shè)往往以事件驅(qū)動為主，采取“被動式”補救的應(yīng)對方式。此外，工業(yè)企業(yè)在網(wǎng)絡(luò)勒索攻擊防御處置的機制策略和具體應(yīng)對措施上缺乏明確的指導(dǎo)，實操性的勒索防范應(yīng)對指引規(guī)范尚未普及。

（二）企業(yè)網(wǎng)絡(luò)安全頑疾隱患短期難以根除

關(guān)鍵設(shè)備系統(tǒng)自主創(chuàng)新能力較弱。近年來，盡管我國持續(xù)強化工業(yè)自動化領(lǐng)域的技術(shù)創(chuàng)新，并且以中控技術(shù)、和利時等為代表的本土品牌迅速崛起，但總體來看，我國在工業(yè)控制系統(tǒng)、核心設(shè)備等關(guān)鍵設(shè)備系統(tǒng)方面的市場份額仍然較低，整體技術(shù)水平和市場地位與國際品牌相比仍存在一定差距。同時，國外主流控制設(shè)備供應(yīng)商基本建立了覆蓋硬件、固件、軟件、協(xié)議等完整的垂直生態(tài)系統(tǒng)，而企業(yè)的安全分析及防護措施多采用“黑盒”、外掛等操作，這可能面臨較大的安全風(fēng)險隱患。

工業(yè)控制系統(tǒng)長期“帶病帶毒”。工業(yè)控制系統(tǒng)在設(shè)計之初主要考慮的是系統(tǒng)的實時性、可靠性和穩(wěn)定性，而未充分考慮安全功能，導(dǎo)致工業(yè)控制設(shè)備、工業(yè)軟件及工業(yè)協(xié)議等普遍缺乏身份認證、授權(quán)、加密等基礎(chǔ)防護能力。同時，我國的工業(yè)設(shè)備及系統(tǒng)運行周期往往長達數(shù)十年，尤其是流程工業(yè)對業(yè)務(wù)連續(xù)性的要求極高，在非維修周期下，多數(shù)生產(chǎn)線無法中斷，導(dǎo)致生產(chǎn)網(wǎng)下業(yè)務(wù)系統(tǒng)和設(shè)備無法進行補丁更新、漏洞修復(fù)等關(guān)鍵操作，即便發(fā)現(xiàn)了安全風(fēng)險隱患，也難以及時有效地查處置，因此，“帶病帶毒”運行成為常態(tài)。

（三）工業(yè)勒索防御供給創(chuàng)新和協(xié)同保障不足

供給創(chuàng)新能力不足。現(xiàn)階段，工業(yè)領(lǐng)域的勒索防御思路和技術(shù)發(fā)展仍基于傳統(tǒng)網(wǎng)絡(luò)安全模式，尚未形成具有創(chuàng)新性且符合工業(yè)特點的“量體裁衣”式安全防御機制。目前，工業(yè)領(lǐng)域的勒索檢測識別、智能阻斷、自動化處置恢復(fù)等關(guān)鍵技術(shù)尚不成熟，工業(yè)終端隔離、病毒跨域橫移控制等能力較弱，難以適配當(dāng)前勒索攻擊嚴(yán)峻復(fù)雜的形勢。

行業(yè)協(xié)同保障不足。企業(yè)在遭受網(wǎng)絡(luò)勒索攻擊后，出于保護企業(yè)聲譽、形象和利益的考慮，往往傾向于“交錢了事”，并對外進行消息封鎖，這使得工業(yè)企業(yè)難以尋求有效的處置資源和支持。以安全企業(yè)為代表的供給側(cè)，在工業(yè)領(lǐng)域的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)體系方面存在明顯的同質(zhì)化問題，產(chǎn)業(yè)界尚未形成合力。供需兩側(cè)缺乏有效的產(chǎn)業(yè)協(xié)作應(yīng)對機制及合作溝通渠道和手段，難以滿足技術(shù)和產(chǎn)業(yè)發(fā)展的需要。

三、加強工業(yè)領(lǐng)域網(wǎng)絡(luò)勒索防御能力的對策建議

在新時期新形勢下，我們要高度重視網(wǎng)絡(luò)勒索防范工作，圍繞標(biāo)準(zhǔn)規(guī)范、攻防演練、技術(shù)創(chuàng)新等方面，促進提升工業(yè)領(lǐng)域網(wǎng)絡(luò)勒索攻擊的防御應(yīng)對能力，進一步完善企業(yè)網(wǎng)絡(luò)安全防護手段，以高水平安全護航新型工業(yè)化的高質(zhì)量發(fā)展。

一是建立勒索防護應(yīng)對標(biāo)準(zhǔn)指引，提升安全防范意識。網(wǎng)絡(luò)安全相關(guān)研究機構(gòu)、行業(yè)企業(yè)等應(yīng)持續(xù)跟蹤勒索攻擊態(tài)勢情況和技術(shù)進展，加快研究制定符合工業(yè)領(lǐng)域?qū)嶋H需求的、可落地的勒索防護和能力評價等相關(guān)標(biāo)準(zhǔn)規(guī)范，強化實操性的工作引導(dǎo)。同時，結(jié)合政策宣貫、專題研討培訓(xùn)等形式，強化工業(yè)企業(yè)網(wǎng)絡(luò)勒索防護意識，提升勒索防范意識和應(yīng)對處置技能。

二是深入開展安全攻防及應(yīng)急演練，提升實戰(zhàn)應(yīng)對能力。相關(guān)部門、企業(yè)等應(yīng)持續(xù)開展攻防演練活動，將網(wǎng)絡(luò)勒索攻防應(yīng)對作為演練的重要內(nèi)容，檢驗企業(yè)對于網(wǎng)絡(luò)勒索事件處置全周期全流程的工作機制，完善企業(yè)網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案，加快提升行業(yè)在網(wǎng)絡(luò)勒索攻擊下的防御應(yīng)對及處置恢復(fù)水平。

三是加快完善勒索攻擊應(yīng)對技術(shù)研究，提升產(chǎn)業(yè)供給水平。推動產(chǎn)學(xué)研用相關(guān)方聯(lián)合開展網(wǎng)絡(luò)勒索防范和應(yīng)對技術(shù)研究，完善包括勒索攻擊檢測與事件研判、勒索病毒感染設(shè)備隔離、勒索病毒樣本破解、備份數(shù)據(jù)恢復(fù)、隱患修復(fù)加固等相關(guān)環(huán)節(jié)的勒索事件應(yīng)對處置技術(shù)能力。同時，結(jié)合典型工業(yè)場景，強化邊界安全、流量監(jiān)控、終端安全加固、移動介質(zhì)管控及其高級威脅檢測等能力的升級，梳理總結(jié)可落地的行業(yè)最佳實踐，在重點行業(yè)企業(yè)進行示范應(yīng)用和推廣，協(xié)同提升工業(yè)領(lǐng)域勒索防范應(yīng)對水平。

（本文刊登于《中國信息安全》雜志2024年第8期）