概述以制造业为核心的实体经济是保持国家竞争力和经济健康发展的基础。正是由于世界各国对这一理念的普遍认可,德国有工业4.0战略、美国先进制造国家战略、印度国家制造政策等国家级战略规划,我国也提出了中国制造2025规划,将“以推进信息化与工业化深度融合为主线,大力发展智能制造,构建信息化条件下的产业生态圈和新型制造模式”作为推进信息化制造新模式的战略任务工业2.0、工业3.0、工业4.0并行发展。在上述背景下,全球制造企业面临的网络风险越来越大。旧有的“孤岛经营”不复存在,IT与OT的界限也消失了。新技术的应用逐渐模糊了网络的边界。大量工业物联网设备的部署,在增加系统功能、提高生产效率的同时,也带来了诸多漏洞,导致暴露的攻击面逐渐扩大。与此同时,随着勒索病毒的肆虐,各大厂商也都受到了不同程度的损失。2020年6月,本田公司遭到Snake勒索软件攻击,被迫关闭其在美国和土耳其以及印度和日本的汽车工厂。南美洲的一家摩托车生产厂。本文立足制造业,对常见的针对制造业的攻击类型进行梳理和总结,最后给出防护建议。网络钓鱼攻击网络钓鱼攻击仍然是最流行的网络攻击工具。为了进行更具危害性的攻击或行动,通常需要打开进入目标企业的“大门”,一般使用钓鱼邮件。例如,2016年,全球太阳能电池板制造商旭乐的一名员工收到一封自称是CEO的邮件。信息发给了CEO,结果CEO竟然是网络犯罪分子,员工也成为钓鱼攻击的受害者,导致公司机密信息外泄。说不定以后不法分子还会有更疯狂的渗透和袭击。2015年乌克兰大停电也出现了类似的钓鱼攻击,黑客通过钓鱼邮件发布BlackEnergy3恶意软件,并在后续攻击中成功获取电力公司工控网络的登录权限。登录SCADA系统后,一个接一个地启动断路器切断电源,同时启动KillDisk恶意软件删除重要日志文件和主引导记录,使电厂人员无法迅速恢复供电并进行后续分析。同时,黑客还对电话网络进行了DDoS攻击,致使客户与电厂员工沟通困难,难以了解情况并找到重启电力的对策。钓鱼邮件有以下几种:钓鱼攻击的共同特征:带有恶意附件的邮件;与已知网站不同或不同的拼写错误的超链接;朗朗上口的标题或内容;不寻常的电子邮件发件人;紧急订单或待办事项类文件。供应链攻击对于制造业来说,没有一个制造商可以完成成品的生产,必须依赖不同制造商的零件来完成整个产品的生产和组装。因此,在制造过程中,多个合作伙伴需要合作共享以实现高效运营,在过程中引入了供应链攻击的风险。许多犯罪分子利用供应链攻击从制造商处窃取敏感数据、知识产权等。如果恶意攻击者获得了合作伙伴访问厂商网络的许可,通过该许可,不法分子可以进入厂商网络,窃取敏感信息或数据,甚至核心制造文档,对企业造成重大损失。此外,厂商使用的外部软件或硬件存在安全隐患,在设备和系统供应链中也存在被攻击的可能。大多数产品开发使用公共开源或闭源组件,但这些组件或多或少存在安全漏洞,将有缺陷的组件嵌入到产品中可能会导致更多的安全问题,例如2020年6月暴露的Ripple20漏洞,Ripple20漏洞存在于Treck开发的TCP/IP协议栈中。在过去的20年里,该协议栈已被广泛使用并集成到无数企业和个人消费设备中。这一系列漏洞将影响全球数以亿计的物联网(IoT)和工业控制设备。勒索软件攻击勒索软件是一种恶意软件,它会感染计算机服务器、台式机、笔记本电脑、平板电脑和智能手机,通过各种机制渗透,并经常从一台机器横向传播到另一台机器。一旦系统被感染,病毒会悄悄加密数据、视频、文本等文件,然后向用户索要赎金。勒索勒索从数百到数千美元的在线支付,通常是比特币等难以追踪的加密货币,以换取恢复用户锁定文件所需的解密密钥。赎金要求通常包括一系列的付款期限,每一次错过期限都会增加赎金金额,并可能导致部分文件遭到破坏。如果受害者不付款,攻击者就会丢弃解密密钥,从而永久失去对数据的访问权限。2017年WannaCry爆发让汽车制造商受到重创,这就是臭名昭著的勒索软件攻击的一个例子。该病毒感染了150多个国家/地区的200,000多台计算机。法国雷诺及其联盟伙伴日产在其许多系统因攻击而瘫痪后被迫暂时关闭欧洲的一些工厂。法国、斯洛文尼亚和罗马尼亚的工厂受到重创,雷诺被迫暂时关闭工业生产线。厂商在受到此类勒索软件攻击后,损失惨重。一方面,加密文件通常是制造或其他重要数据文件。如果这些文件丢失,生产线将被迫关闭,然后他们将面临来自合作伙伴的各种压力和经济损失的问题;另一方面,被感染的文件被攻击后无法恢复,通过病毒扫描或安全防护更换办公设备的周期和工作量是厂商无法接受的。因此,厂商有时为了尽快恢复生产、走上正轨,不得不支付赎金,而这期间延误的工时和生产任务,是巨大的经济损失。因此,这种攻击是目前厂商最害怕的。物联网出击随着制造业智能化转型的逐步深入,物联网在推动智能制造转型中的作用越来越重要。借助各种各样的物联网设备,制造商能够更高效、更准确地优化其生产流程和流程。例如,公司正在使用放置在设备中的物联网传感器来跟踪资产、收集数据和执行分析。这些传感器监控设备的各种运行参数和关键数据,以实现自动恢复并减少维护停机时间。随着制造工厂中各类物联网设备的增多,无形中带来了更多的安全隐患。物联网设备具有网络属性,很容易暴露在网络环境中。制造商的物联网、工控网络、办公网络通常没有有效隔离,可以通过物联网设备的公共漏洞或0-Day渗透到工控网络,恶意攻击关键生产设备,影响生产,造成停机,等事件作为加工事故。下面描述了工业控制安全事件以及对IoT设备的攻击的详细报告。2008年8月5日,土耳其一条跨国输油管道发生爆炸,导致输油管道受损,管道输油中断。该管道中安装了探测器和摄像机。然而,在管道被毁之前,并没有收到任何报警信号,摄像头也未能拍到爆炸的画面。经调查发现,事故原因是监控摄像头本身。黑客利用网络摄像头的软件漏洞侵入内部系统,在一台负责报警管理的电脑上安装恶意程序,然后侵入管道运行控制系统,在不触发报警的情况下增加管道内压力。输油管道超高压引发爆炸,黑客删除60小时监控录像“毁尸灭迹”,丝毫没有留下蛛丝马迹。虽然事件发生在石油和天然气行业,但黑客的攻击方法和技术往往可以转移到其他行业。被黑客攻击的制造企业极有可能出现制造产品缺陷率上升、关键加工设备损坏、员工伤亡等事件。复杂工业设备攻击制造商的核心资产不同于其他行业。除了常见的PLC、HMI等设备外,还有独具特色的数控机床、工业机器人、光学测量系统等,这些资产通常具有复杂的系统结构和技术要点。许多、专有的编程环境等特点,如工业机器人由控制系统、驱动系统、执行关节等组成,它根据任务程序执行相应的制造任务,这些任务程序分解成多个执行步骤后在控制系统中解析(如“右移”、“张开钳子”、“下移”、“取件”),完成产品相应的生产过程。每个机器供应商都有自己编写任务程序的专用语言,如ABB的Rapid、柯马的PDL2、发那科的Karel、川崎的AS、库卡机器人语言(KRL)、三菱的MelfaBasic、安川的Inform。这些工业机器人编程语言(IRPL)是专有的,每种语言都有一套独特的功能。IRPL非常强大,因为它们允许程序员编写自动化程序,这些程序还可以从网络或文件中读取和写入数据、访问进程内存、执行从网络动态下载的代码等等。如果使用不当且没有安全意识,强大的编程功能可能会非常危险。例如,您可以编写蠕虫传播程序在网络中的机器人之间传播自身。感染新的僵尸程序后,蠕虫会开始扫描网络寻找其他潜在目标并利用网络进行传播。蠕虫程序包含文件收集功能,可以获取被感染机器人中的敏感数据和文件。下图是蠕虫恶意软件的网络扫描示例:此外,工业机器人中存在很多漏洞,例如目录遍历漏洞,可以使攻击者窃取记录目标机器人动作的日志文件,从而包含知识产权等敏感信息(例如产品是如何构建的),攻击者随后可以访问其他目录中的其他文件(包括身份验证机密文件)并将这些文件用于最终的访问控制系统。下图是未认证和已确认连接访问机密文件的示意图。以上只是以工业机器人系统为例,来说明攻击制造业复杂工业设备的可能性。其余关键设备,如数控机床系统、激光测量系统等,由于功能强大、复杂,可能存在漏洞或功能正常。恶意使用。保护建议以上分析主要针对制造业中最常见的攻击类型。制造商需要提前采取防护措施来应对可能的攻击。现提出几点建议:加强员工的安全意识,组织相关培训,教会员工如何识别网络钓鱼,如何防范,不定期进行网络钓鱼测试。引入装备供应链安全评估和管理机制。对于工厂日常使用的各种操作机器、IOT设备、移动设备,在购买或使用前,或找专业的安全厂商协助评估安全性,尝试与供应商建立漏洞修复机制,并设置产品安全访问阈值。对上下游合作厂商进行合规管控,从业务、数据、文件等多个维度建立不同的权限等级,对外网访问进行详细记录,便于溯源查询。积极梳理存量资产,按照重要性等指标分工划分,部署全网安全管理产品,形成具有快速反应能力的纵深防御体系。优秀的安全管理产品可以通过监控网络流量等方式,及时发现病毒感染源并进行隔离,有效阻断病毒传播。分区分区后,还可以防止勒索软件在全厂范围内的传播。建立严格有效的数据备份计划,将关键业务数据和文件保存在本地、远程、私有云等,避免关键文件被勒索病毒感染而导致停产。加强主机等端点的安全防护能力。可以考虑部署合适的终端安全管理软件。对于不满足部署条件的机器,在兼容性测试的基础上,尽可能安装系统补丁;如果不需要使用3389、445等敏感端口,尽量关闭。定期对物联网设备进行安全检查,联系厂商获取最新版本固件的实时更新,防止攻击者利用已知漏洞发起攻击。管理制造厂区的无线连接,并定期修改密码(使用强密码),控制AP的私密访问,关闭不需要的打印机等设备的无线功能。外部人员访问制造工厂网络时,采用虚拟专用网络或其他加密连接方案,并对其行为进行记录。对数控机床、工业机器人等设备的程序文件进行安全扫描,确保程序文件不携带已知病毒。如有可能,有必要对数控机床、工业机器人等设备的程序进行自动或定期的源代码审查。如发现异常功能,会及时反馈给程序员进行修改、归档、记录、经验分享。建立与集成商共享的程序文件安全审查库,建立准入和身份验证机制。只有经过认证的程序员才有权读取和存储编程程序。
