据IBM2020年发布的威胁情报,2020年第一季度,勒索软件攻击在所有行业增长了25%,但针对制造业的攻击增加了156%,是风险最高的行业。Verizon《2020数据泄露调查报告》则确认了922起针对制造企业的网络攻击,其中381起导致了敏感数据泄露。
网络攻击会导致制造企业的敏感数据泄露、知识产权被窃取,甚至导致生产中断,无法履行客户订单。极端情况下,最严重的攻击可能对制造商工厂和设备造成永久性损害,导致市场份额损失,甚至制造企业的破产。
勒索与知识产权窃取是两大主要威胁
目前,勒索攻击和窃密攻击是对制造企业破坏性最大的网络威胁。针对制造业的大多数攻击出于经济动机,但有相当多的攻击案例显示,网络间谍同样是制造业面临的主要威胁。
根据Verizon发布的《2020数据泄露调查报告》,针对制造业的攻击活动中,出于经济目的的占75%,间谍窃密的则占27%。在2020年,我们经历了针对丰田汽车、特斯拉、富士康等知名制造企业的勒索软件攻击。此外,还有针对三菱公司、川崎重工的间谍窃密攻击。
勒索软件攻击往往导致企业生产线停顿,造成巨大损失。制造企业需要大量的正常运行时间才能满足生产要求,任何导致停产的攻击都可能造成大量损失。因此,制造企业可能更愿意向攻击者付款。根据基伍咨询公司(KivuConsulting)2020年发布的报告显示,制造业在勒索软件支付方面的支出超过了其他任何行业,共支付了690万美元。占到整个2019年支付给网络犯罪分子1100万美元以上赎金总额的62%。根据IBM与Dragos的调查,针对制造企业的勒索攻击占到针对所有工业组织勒索攻击的1/3。
与勒索攻击相比,知识产权窃取是更加致命的攻击。制造企业在知识产权开发上投入了大量资金,通常是企业最有价值的资产。窃取知识产权可以提供竞争优势,可以出售牟利或用于破坏运营,这是攻击窃密日益盛行的原因。这种攻击会对企业造成严重的损失,甚至影响所在国家的经济。根据Verizon发布的《2020数据泄露调查报告》显示,38%的攻击者具有国家背景,28%的攻击活动是间谍窃密活动。实施攻击行为的包括网络犯罪分子、竞争对手,甚至有国家背景的攻击组织。
制造业高管需要将知识产权保护作为他们的首要考虑。创新和创造力是制造业企业的核心,网络犯罪分子窃取的商业秘密可能足以使制造企业倒闭。这是所有制造商都需要意识到知识产权窃取威胁的原因。了解知识产权失窃危险,制造企业可以制定更严格的政策,更好地应对此类攻击。
针对制造业的网络威胁日益复杂
安全专家发现,针对制造业的攻击,无论攻击目标是窃密还是勒索赎金,网络攻击者都在开发日益先进的多功能攻击工具,并使用人工智能和自动化技术。
许多制造企业还在运行不安全的旧系统。这些系统通常已使用了很久,在设计时考虑了效率和合规问题,但却忽略了网络安全和数据隐私风险。随着攻击手段日益先进,攻击者总会发现更多创造性和破坏性的方法来攻破这些系统。
制造企业面临的另一安全风险是其众多分散、小企业构成的复杂供应链,这通常会成为攻击组织寻求薄弱环节的重要目标。2020年初,安全专家调查针对欧洲、英国太空与国防业的系列攻击活动时发现,攻击组织直接使用供应商与合作伙伴之间的合法远程连接或协作方案,绕过防护严密的边界防护,成功进入攻击目标的网络。
此外,制造企业的数字化转型,导致其工控系统,成为了攻击者的重要目标。Dragos公司发现,2018年1月到2020年10月间,所处理的针对工业机构的勒索攻击增长了500%。针对工业企业的勒索攻击每月逐步增加,在2020年5月达到高峰。2020年6月Ekans勒索软件针对本田的攻击,导致其暂停美国和土耳其汽车工厂、以及印度和南美洲摩托车工厂的生产。Ekans/Snake勒索软件就是专门为攻击工业控制系统而设计的,可以导致工业生产过程的中断。
对于高度依赖计算机系统开展生产、自动化、质量保证、监控和安全的工业活动,勒索软件具有巨大破坏性。攻击导致生产过程中断,出现长时间的停工,可以造成数千万元的损失。如芯片代加工企业台积电遭攻击,导致相关工厂停产3天,损失近18亿元(RMB)。
重新审视工业4.0网络安全
制造企业目前经历被称为工业4.0的数字化转型。无论是德国工业4.0,还是中国制造2025计划,以及世界经济论坛所称的第四次工业革命,都体现出制造业和运营技术(OT)在数字经济中的地位。
第四次工业革命的到来,使IT与OT日益融合、智能互联设备使用日益增多。制造企业还在生产环境部署越来越多物联网(IoT)设备以提高效率。高度互联的系统和供应链产生了巨大的收益。这些新技术和设备也带来了潜在的严重漏洞,使企业无法全面了解其风险暴露面和攻击面的问题,尤其是在涉及其他互相连接系统、网络和供应链之时。
根据奇安信星迹平台(用于捕获网络攻击的蜜罐系统)统计,目前平均每天收到PoC漏洞利用流量约300万次,抽样调查漏洞利用次数的前十名中,九个均为物联网设备漏洞。
在数字化推动下,企业网络与外界的边界已基本消失,传统的安全方式手段逐步失效,制造业面临更多的攻击和风险。例如,对本田等主要制造商的勒索软件攻击突显了网络安全已发生了许多变化,以及公司对新的不断发展的攻击方法的脆弱程度。
奇安信科技集团董事长齐向东认为,智能制造有三大发展趋势:第一个趋势是大数据成为智能制造发展核心;第二个趋势是云边协同成为智能制造发展主流;第三个趋势是5G技术引领智能制造发展方向。因此,制造业的安全挑战主要来自三方面:数据安全、云安全和场景安全。
但制造商似乎还没有跟上这种不断变化的网络安全形势。《华尔街日报》2020年的一项调查发现,制造业在影响网络弹性的关键领域落后于其他行业:只有不到2/3的被调查工业/制造企业制定了内部网络安全计划;只有59%的企业制定安全响应计划,还有37%的企业未开展持续的员工安全意识培训。
随着制造企业逐步推进数字化,更多网络犯罪组织会将其视为高价值目标,制造企业是时候重新考虑网络安全的重要性了。
探索制造业安全防护新方法
很多制造企业在着手加强网络安全防御,并努力实施基础性的安全工作,如修补老系统中的安全漏洞。但大多数企业防护都无法领先于攻击者。
传统安全防御所基于的基本假设是:通过防护可以将攻击者拒之门外。事实并非如此,否则我们就不会看到频发的网络安全事件了。业界对传统的“城堡和护城河”防御模式的弊端已经形成了共识,现在必须考虑新的安全防护方式了。
首先,需要基于内生安全的理念,提升制造企业IT与OT系统的自身防护能力,推动安全从规划、设计开始。这意味着,需要构建智能制造的“内生安全”,把单一的围墙式防护,变成与业务系统融合的多重、多维度防御。内生安全要求信息系统的安全体系具有自我免疫、内外兼修、自我进化的三大特点。
此外,优先考虑“安全内置于数据本身”的“以数据为中心”的方法。为了阻止对制造公司的攻击,是时候采取从“扎高篱笆”的方法转到数据安全防护的步骤,即从阻止攻击者访问数据转移到保护数据本身。这就意味着无论数据存在于何处,无论是静止、传输还是使用,都应对其进行保护。这包括以数字形式存储在物理设备上的静止数据,网络中的传输数据,主动访问、处理或加载到动态内存中的使用中数据。
通过采用100%加密的原则,安全专家不再需要花费数小时来调整数据分类规则,从而可以对“重要”数据进行更严格的保护。
无论数据存在何处都对其进行安全保护,这可以确保即使数据被盗,仍受到保护,这意味着数据对于窃取者来说是无用的——即使是公司员工盗取。
2020年底曝光的最大年度APT事件说明,在网络攻击面前,没有哪个机构可以幸免。身处转型中的制造企业,需要投入更多资源,避免自己成为下一次网络攻击的受害者。
附:2020年制造业主要网络攻击
1.日本三菱公司遭网络攻击,自卫队装备品信息或外泄
2020年1月,三菱电机发布消息称,遭到大规模网络攻击。但否认有关防卫及电力等社会基础设施的信息发生泄露。2月,日本防卫省表示,三菱电机公司遭到网络攻击,与试制自卫队装备品有关的竞标信息有可能已经外泄。三菱电机公司推定多达200MB的大量信息发生外泄。
攻击目标:间谍窃密
攻击损失:机密信息泄露
2.大型钢铁制造商和采矿公司遭勒索攻击
2020年3月,EVRAZ北美公司遭到了勒索病毒攻击。EVRAZ是全球最大的钢铁制造商和采矿公司之一,公司的系统已感染了Ryuk勒索软件,影响并破坏了该公司在北美的分支机构,主要包括加拿大和美国各地的钢铁生产工厂。公司主要在俄罗斯运营,但在乌克兰、哈萨克斯坦、意大利、捷克共和国、美国、加拿大和南非也有业务。
攻击目标:勒索赎金
攻击损失:影响北美机构
3.知名零部件制造商遭勒索攻击,机密文件遭泄露
2020年3月,DoppelPaymer勒索软件入侵了零部件制造商VisserPrecision的电脑并对其文件进行了加密,要求VisserPrecision支付赎金。VisserPrecision是一家为汽车和航空业定制零件的制造商,客户涵盖了SpaceX、特斯拉、波音、霍尼韦尔、LockheedMartin等大型公司。由于未收到赎金,DoppelPaymer公开了特斯拉、波音、SpaceX等公司机密信息。
攻击目标:勒索赎金
攻击损失:客户信息遭泄露
4.钢铁制造商BlueScope确认IT系统遭勒索攻击
2020年5月,钢铁制造商BlueScope确认,IT系统受到勒索攻击事件的影响。iTnews报道称,BlueScope的生产系统在全公司范围内停止运行,其原因被认为是勒索软件感染。该公司的PortKembla熔炉已转为手动操作,而BlueScope称之为“服务中心”的工厂仍在运营。据悉,公司员工打开受污染的电子邮件附件,从而导致恶意软件感染。
攻击目标:勒索赎金
攻击损失:IT系统受影响
5.本田全球网络遭勒索攻击,工厂被迫关闭两天生产
2020年6月,据外媒报道,日本汽车制造商本田全球网络因遭受勒索病毒攻击被迫关闭其位于美国、土耳其、印度和南美部分工厂,导致生产停顿、产量下降。据BBC报道,勒索软件迅速地扩散到了本田的整个网络系统,计算机服务器、电子邮件以及其他内网功能皆受到不同程度的影响。本田是全球最大的汽车制造商之一,拥有超过20万名员工,并在英国、北美和欧洲设有工厂。
攻击目标:勒索赎金
攻击损失:工厂关闭
6.川崎重工发生严重数据泄漏,波及全球分支机构
2020年12月,日本航空航天公司川崎重工宣布,2020年6月发生了导致客户数据泄漏的安全事件。2020年6月,川崎重工首次发现从泰国的海外办事处日本服务器的未授权访问。随后几天内还发现了其他几起越权存取事件。川崎表示,这些非法访问来自印尼,菲律宾和美国的其他海外站点。所有未经授权的访问都采用了先进复杂的黑客技术,没有留下任何痕迹。川崎重工主要生产摩托车、发动机、重型设备、航空航天、国防设备、机车车辆和船舶。
攻击目标:间谍窃密
攻击损失:严重数据泄漏
7.德国硅晶圆厂商X-FAB遭攻击,生产基地被迫关闭
2020年7月,全球领先硅晶圆厂商X-FAB发布公告称其受到网络攻击,根据X-FAB聘请的领先安全专家的建议,所有IT系统均已立即停止。作为一项额外的预防措施,所有6个生产基地的生产都已停止。目前X-FAB已迅速与有关当局接触,以调查这一史无前例的事件。此外,内部和外部安全专家团队已经成立,以解决问题并恢复所有系统。X-FAB还决定实施临时关闭制造工厂的计划。
攻击目标:勒索赎金
攻击损失:生产基地关闭
8.可穿戴设备厂商佳明遭勒索攻击,服务与网站关闭
2020年7月,智能手表和可穿戴设备制造商佳明因遭遇针对内部网络和某些生产系统的勒索软件攻击而关闭了部分服务。佳明遭受了WastedLocker勒索软件的全面攻击,主要产品服务和网站均瘫痪,攻击者向Garmin索要高达1000万美元赎金以恢复数据和业务。该公司发布声明:“目前正在遭受勒索软件影响的Garmin.com和GarminConnect已停机。这次中断还影响了呼叫中心,我们目前无法接听任何电话,电子邮件或在线聊天。”
攻击目标:勒索赎金
攻击损失:服务与网站瘫痪
9.佳能遭Maze勒索攻击,10TB数据被盗
2020年8月,著名数码摄像机厂商佳能(Canon)被曝遭受勒索攻击,影响了许多服务,包括佳能的电子邮件,微软团队,美国网站以及其他内部应用程序。此次攻击的罪魁祸首是Maze勒索软件团伙,其宣布已经从佳能窃取了超过10TB的数据。根据最新报道,也许是因为没有收到赎金,Maze在网上泄露了佳能美国公司的数据并且导致佳能部分内部系统中断。根据报告,泄露的数据是大约2.2GB的营销数据和视频文件。
攻击目标:勒索赎金
攻击损失:数据泄露
10.Maze勒索团伙公布LG、施乐公司76GB内部数据
2020年8月,Maze勒索软件的操纵者泄露了50.2GB的LG内部网络数据以及25.8GB的Xerox数据。实际上这两家公司的数据泄露情况早在6月末就开始预告,当时Maze勒索团伙在其“泄露门户网站”上为这两家公司创建了相关条目。Maze勒索团伙因高额勒索金及以企业网络为攻击目标而为人所知。他们首先窃取敏感文件,接着加密数据,要求支付勒索金以解密文件。如受害者拒绝支付赎金,则Maze勒索团伙则会威胁公开受害者的敏感数据。
攻击目标:勒索赎金
攻击损失:数据泄露
11.特斯拉锂离子电池和电动汽车工厂遭攻击
2020年8月,特斯拉联合创始人兼首席执行官埃隆·马斯克(ElonMusk)在Twitter上证实,特斯拉内华达州工厂Gigafactory于8月初曾遭遇网络攻击,随后被联邦调查局阻断。特斯拉Gigafactory工厂是位于内华达州里诺附近的锂离子电池和电动汽车工厂。该工厂由美国特斯拉(Tesla)公司拥有和运营,为特斯拉电动汽车和固定式存储系统提供电池组。根据专注特斯拉新闻的独立博客Testrati的报告,名为Kriuchkov的俄罗斯人接触特斯拉内华达工厂的员工,并以100万美元贿赂该员工用恶意软件感染并破坏特斯拉的内部网络。该员工向特斯拉官员报告了这一事件,特斯拉官员随即向联邦调查局报案。
攻击目标:勒索赎金
攻击损失:成功阻止
12.美国激光设备开发商遭勒索攻击致运营中断
2020年9月,美国领先光纤激光切割、焊接、医疗和激光武器开发商IPGPhotonics,因遭到勒索软件攻击,导致其运营中断。IPGPhotonics总部位于马萨诸塞州牛津市,在全球各地设有办事处,共拥有4,000多名员工。该公司的激光被用作美国海军的激光武器系统(LaWS)的一部分。此次勒索软件攻击破坏了IPGPhotonics公司的运营,其IT系统在全球范围内关闭,影响了办公室的电子邮件、电话和网络连接。
攻击目标:勒索赎金
攻击损失:运营中断
13.全球最大眼镜生产商遭勒索攻击,业务被迫中断
2020年9月,据媒体报道,意大利眼镜生产巨头Luxottica公司遭受网络攻击,并导致意大利与中国区业务被迫中断。勒索软件攻击发生于9月20日晚间,给全球范围内的分支机构造成了影响,直到22号业务仍然未能完全恢复。
攻击目标:勒索赎金
攻击损失:业务中断
14.最大办公家具制造商遭遇勒索攻击全球业务关闭两周
2020年10月,全球最大的办公家具制造商Steelcase向美国证券交易委员会(SEC)披露,该公司遭遇勒索软件攻击。对Steelcase的勒索软件攻击迫使其将全球业务关闭了两周,以遏制攻击的蔓延。
攻击目标:勒索赎金
攻击损失:业务关闭
15.富士康北美工厂遭勒索攻击,上千台服务器被加密
2020年11月,位于墨西哥的富士康工厂遭到“DoppelPaymer”勒索软件的攻击,导致1200台服务器被加密。据悉,攻击者在对设备进行加密前已窃取了100GB的未加密文件(包括常规业务文档和报告),并删除了20-30TB的备份文件。攻击者要求富士康支付1804.0955比特币作为赎金(约3486.6万美元),否则将把盗取数据在暗网出售。
攻击目标:勒索赎金
攻击损失:工厂停产
本文转载自微信公众号「虎符智库」(TT_Thinktank)。