從豐田汽車停產事件看大型裝備制造企業病毒治理
1. 事件背景
豐田汽車公司3月1日暫停日本國內所有生產,包括14家工廠的28條生產線。原因是其國內供應商、零部件生產商小島沖壓工業公司遭到網絡攻擊。豐田發布消息稱,日本國內所有工廠2日將恢復生產。日本工廠約占豐田汽車年產量1/3,日本國內所有工廠停工1天會延緩約1.3萬輛汽車的生產情況,相當于豐田日本國內月產能4%至5%。日本共同社報道稱,小島沖壓工業公司1日表示,已確認服務器中毒并存在危險信息,疑似感染具有強攻擊性的“勒索病毒”。該公司已報警,并向日本政府相關部門報告,目前正在加緊修復系統。
2. 事件分析
從事件本源來看,豐田汽車事件是一次典型的由上游零部件供應商網絡安全問題,引發的供應鏈中斷,進而導致生產業務中斷的業務生產事件。隨著工業控制系統及其網絡產品集成度的不斷提升和供應鏈全球化大分工的不斷加深,網絡安全攻擊也由傳統的“目標型、直接型”單點或多點式攻擊,向產業鏈條式攻擊方向轉變。在網絡安全合規性以及網絡安全事件持續高發的高壓態勢下,大型裝備制造企業相對具有較好的網絡安全意識和安全專業人員,擁有一定的網絡安全基礎,網絡攻擊者想直接對其展開攻擊需耗費較大的資源成本,但由于工業裝備生產需要復雜的零部件供應體系支撐,且各供應廠商規模大小不同、安全能力不同、生產方式不同,從而使基于供應鏈的“間接”攻擊逐漸成為大型裝備制造企業面臨的主要業務和安全風險之一。
3. 規劃建議
面對日益復雜的工業控制系統網絡安全問題,需從企業自身安全防護、供應鏈安全、外部安全協作等三個方面開展規劃建設。
1) 企業自身安全防護:基于工控系統帶“洞”運行的常態,開展各項安全運營活動。
2) 供應鏈安全:通過制定供需雙方安全基本要求、制定供方行為準則,并持續對供應鏈進行風險評估,保障供應鏈完整性、可用性、可控性、安全性。
3) 第三方安全協作:與安全廠商以及政府部門加強聯系與協作,實現能力互補和安全責任共擔。
3.1. 企業自身安全防護
企業自身安全防護體系規劃和安全項目建設,可采用“立足自身需求、滿足行業合規、充分考慮未來”的原則,進行場景化方案分析制定,通過安全場景à安全分項à綜合集成à拓展應用等建設路線,實現符合自身管理和業務特點的工業安全管理與技術體系,并通過安全路線的持續更新,持續保持安全體系的先進性和可操作性。
以下,以本次事件中涉及的勒索病毒等惡意代碼安全防護場景為例,進行安全規劃與設計論述。
3.1.1. 勒索病毒傳播與攻擊路徑分析
當前勒索病毒典型傳播方式:
1) 利用安全漏洞傳播
2) 利用釣魚郵件傳播
3) 利用網站掛馬傳播
4) 利用移動介質傳播
5) 利用軟件供應鏈傳播
6) 利用遠程桌面入侵傳播等。
其中,利用安全漏洞傳播、利用移動介質傳播、利用軟件供應鏈傳播、利用遠程桌面傳播是當前工業網絡中勒索病毒的主要傳播手段。
當前勒索病毒典型攻擊階段:
1) 探測偵查階段
- 收集基礎信息
- 攻擊入口
2) 攻擊入侵階段
- 部署攻擊資源
- 獲取訪問權限
3) 病毒植入階段
- 植入惡意代碼
- 擴大感染范圍
4) 實施勒索階段
- 加密竊取數據
- 加載勒索信息
3.1.2. 攻擊防護規劃建議
在充分理解勒索病毒傳播和攻擊路徑基礎上,在事前、事中、事后三個階段,對病毒進行免疫、發現、攔截和響應。
事前階段:實現對病毒傳播方式和傳播路徑的發現與攔截,并通過主動可信等技術實現常規病毒免疫。事前階段的核心目標是盡可能消除系統和管理脆弱性,攔截安全威脅,減少攻擊面,并做好網絡被攻擊后的應急處置預案管理工作。
事中階段:根據勒索病毒攻擊方式和傳播特點,加強安全監測,降低病毒駐留時間。事中階段的核心目標是最大程度降低攻擊在工業網絡中的駐留時間,快速應急響應,從而減少影響面。
事后階段:恢復系統業務,對攻擊事件進行復盤整理,并對安全體系進行優化。事后階段的核心目標是恢復業務系統,并對安全體系進行優化改善。
3.1.2.1. 事前:摸清家底、夯實基礎
- 進行工控系統資產摸查
摸清網絡架構、摸清資產信息,實現“掛圖作戰”和精細化管理,并與病毒傳播和攻擊路徑結合分析,掌握傳播或攻擊風險點。
- 制定網絡安全應急預案
明確職責、分工、流程、措施以及安全保障資源等。
- 加強網絡安全管理
采用網絡隔離、訪問控制、資產管理、漏洞排查、身份鑒別、軟件管理、供應鏈管理等措施加強網絡健壯性和縱深性,為攻擊發現和響應爭取主動時間。
- 建立主動型、縱深型安全技術體系
充分考慮終端側、網絡側、服務側、中心側、設備側等維度安全防護。
- 加強網絡安全意識培訓
通過安全培訓、定期演練、突發推演等方式,從思想和行動兩個方面入手,保障培訓的有效性。
- 做好數據備份工作
基于“三 二 一”原則,根據文件或數據重要程度,進行分類分級分時存儲和備份,構建勒索防護的最后防線,并對敏感數據、關鍵數據進行加密保護。
“三二一”原則:
三:至少準備三份副本;
二:兩種不同形式,將數據備份在兩種不同的存儲類型,如服務器/移動硬盤/云端/光盤/磁帶等;
一:至少一份異地(脫機)備份,勒索病毒將聯機的備份系統加密的事件發生的太多了。
3.1.2.2. 事中:持續監測、持續響應
- 實戰化持續監測
由“網絡比較安全、網絡不會被攻擊”的“性本善”網絡管理思路,向“網絡已經被攻陷、網絡一直被探測”的“性本惡”網絡管理思想轉變,加強網絡安全持續監測,縮短網絡攻擊發現時間,保持網絡安全實戰化運營。
- 隔離感染設備
采用物理隔離、修改口令等方式,對失陷設備進行快速響應。
- 排查勒索病毒感染范圍
對攻擊造成的信息泄露進行排查,通過“掛圖作戰”對攻擊影響范圍進行排查,同時對業務系統和數據備份影響進行詳細排查。
- 研判勒索攻擊事件
聯合服務機構對病毒種類、入侵手段進行研判,并保留原始日志和樣本。
3.1.2.3. 事后:安全加固、優化體系
- 利用備份數據進行恢復
根據攻擊影響評估,利用本地數據、異地數據或云端數據對相關設備進行數據恢復和業務恢復。
- 優化網絡安全管理體系
完善管理制度、更新應急方案并更新知識庫,防止同類事件再次發生。
3.2. 供應鏈安全
通過供應鏈安全保障工作,制定供需雙方安全基本要求、制定供方行為準則,并對供應鏈進行持續風險評估,保障供應鏈完整性、可用性、可控性、安全性。
完整性:保障供應鏈各環節中產品和服務及其所包含的組件、部件、元器件、數據等不被植入、篡改、替換和偽造。
保密性:保障供應鏈各環節中傳遞的關鍵信息不被泄露給未授權者。
可用性:保障需方對供應鏈的使用。一方面,確保供應鏈按照與需方簽訂的協議能夠正常供應,不易被人為或自然因素中斷,即可供應性;另一方面,即使在供應鏈部分失效時,仍能保持連續供應且快速恢復到正常供應狀態的能力,即彈性。
可控性:保障需方對產品和服務或供應鏈的控制能力。
此次豐田事件的原因,即為網絡安全問題導致的供應鏈可用性被破壞所導致。為整體保障供應鏈安全,供應鏈安全建設應涵蓋以下四個方面:
(1) 產品和服務自身安全風險,以及被非法控制、干擾和中斷運行的風險;
(2) 產品或關鍵部件在生產、測試、交付、技術支持、廢棄全生命周期過程中的供應鏈安全風險;
(3) 產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、使用用戶相關信息的風險;
(4) 產品和服務提供者利用用戶對產品和服務的依賴,損害網絡安全和用戶利益的風險。
通過供應鏈安全保障工作,加強工業網絡關鍵人員的安全管理,加強業務生產基礎設施各類產品、服務機構、人員的安全管理,評估系統生產、測試、交付、運維、廢棄等全生命周期過程中可能存在的安全風險,并采取相應的管控措施,切斷網絡威脅在供應鏈中的傳播途徑。同時,降低由于供應鏈完整性、可用性、可控性破壞帶來的生產連續性和生產安全性風險,有效保障工業業務安全、連續、可靠運行。
3.3. 外部安全協作
通過對過往工控安全事件應急響應的總結分析,并結合安全實踐,建立網絡安全協作模型,如下圖所示。
網絡安全協作模型
以勒索病毒等惡意軟件攻擊為例,網絡安全攻擊一般涉及惡意攻擊者(病毒作者、傳播渠道),以及勒索病毒、受害者、安全組織、政府網信監管部門等五部分。惡意攻擊者基于利益、破壞及其他目的制作和傳播勒索病毒;受害者由于自身安全脆弱性或供應鏈受到勒索攻擊,導致業務停產或系統破壞;安全組織通過安全分析和安全監測發現勒索病毒及其作者和傳播渠道,并向監管機構和受害者提供解決方案和安全協助;政府網信監管部門對網絡攻擊行為進行打擊,并制定行業規范與政策。
受害者作為網絡攻擊中的目標對象和風險承擔者,存在業務損失和行業合規雙重壓力,需持續加強同安全組織和政府網信監管部門的安全協作,不斷提升自身安全防范能力和合規能力。
加強與監管機構協作,可在發生安全事件時及時與監管機構進行溝通,尋求監管機構的協助。并建立和工業網絡安全權威機構(如公安部門的計算機安全部門、政府的保密、機要部門)的聯系,及時報告信息安全事件,取得指導和支持,規避由網絡安全事件導致的法律與合規風險。加強與安全組織協作,在事前可實時獲取網絡安全情報,對網絡安全策略進行有效性驗證和調整,并通過安全培訓、應急演練等措施,保障安全措施的有效性。在事中可借助安全組織應急處置經驗,對安全事件進行快速處置,并對安全事件進行分析預判,降低安全事件影響面。在事后可對安全事件進行復盤分析和追蹤溯源,并對全網資產進行安全分析,防止同類事件的再次發生。
通過安全協作,實現各類安全信息和監管信息的快速流動,并將安全組織安全界面前移,解決當前安全組織"聽不見炮火聲"或"聲音滯后"等問題,共同促進網絡環境的安全、清朗、有序發展。
浙公網安備 33010602011771號