防范工業網絡間諜活動的6個最佳實踐

對于工業企業而言，信息就是力量，尤其是那些關乎企業發展戰略、產品、服務、財務和銷售活動的信息。通過合法途徑收集競爭對手的情報信息，可以讓工業企業在市場競爭時占據優勢。但有時侯，一些企業或人員卻想要得到更多，非法的網絡間諜活動由此產生。

與合法的競爭情報不同，網絡間諜活動意味著采用非法和不道德的方法收集企業數據，以獲得競爭優勢，它涉及商業機密的泄露和知識產權的盜竊。由于工業企業生產和經營活動的特點，網絡間諜活動產生的經濟損失和后果往往十分嚴重。

工業網絡間諜行為很難發現，更難以證明。我們可能在新聞中看到過一些工業企業遭遇間諜活動報道。但事實是：它們只是冰山一角。工業網絡間諜活動已經成為了一種非法但普遍存在的行為。在本文中，將詳細討論如何有效防范工業網絡間諜活動，以及可以采取的具體措施和最佳實踐。

工業網絡間諜的攻擊目標

工業網絡間諜活動的類型有些模糊，行業通常將其歸為兩類：企業間諜活動和經濟間諜活動，主要區別在于誰是協調人。企業間諜活動由某個企業組織發起并從中受益，而經濟間諜活動則通常由國外的政府性組織管理。

讓我們看看誰最有可能成為工業網絡間諜攻擊的目標。調查數據顯示：一些嚴重依賴研發（R&D）的行業企業（包括智能制造、汽車、能源、航空航天和化工等行業）是目前工業網絡間諜攻擊的主要對象，這些公司的研發活動大量涉及到創新的技術和解決方案，研發費用和成本很高，這使間諜攻擊發起者可以從中獲得不菲的收益。

此外，工業網絡間諜活動在供電、交通、水務等公共事務服務部門也很常見，因為這些部門掌握大量的數據資源，而在網絡安全保護方面的專業能力又存在不足。

研究人員指出，工業企業應該格外注意保護以下數據：

• 商業機密，主要是指關于現有產品或正在開發產品的敏感設計信息。這些信息可以幫助對手獲得競爭優勢；
• 客戶信息，主要指有關客戶的數據，包括他們的聯系方式和財務數據等，可能會被用來破壞現有的業務，甚至損害企業的商譽；
• 財務信息，可以被用來幫助攻擊者獲取競價優勢，贏得競標，甚至為挖掘高價值員工提供更好的報價；
• 營銷信息，這些信息可以讓競爭對手更好的做出準備，并使其無法發揮效用。

工業網絡間諜的方法

研究發現，目前的工業網絡間諜活動主要通過以下方式破壞組織的業務安全并非法獲取數據：

1. 外部網絡攻擊

外部網絡攻擊是通過未經授權訪問組織的計算機系統來竊取、破壞、更改信息的惡意嘗試。黑客或外部攻擊者可以利用已知的零日漏洞，入侵企業的數字化系統，訪問組織的敏感數據。

最常見的工業網絡間諜攻擊技術包括：

• 惡意軟件：在現有軟件上非法安裝惡意軟件以獲取對敏感數據的訪問權限；
• 網絡釣魚：向目標組織的員工發送釣魚郵件，誘使其點擊惡意鏈接來泄露企業信息；
• 竊聽：假冒受信任的服務來跟蹤有價值的信息或通過傳輸網絡獲取數據；
• 中間人（MitM）攻擊：通過多種技術手段將被非法控制的一臺計算機虛擬放置在網絡連接中的兩臺通信計算機之間，以攔截正常的網絡通信數據，并進行數據篡改和嗅探；
• SQL注入：在應用程序中嵌入惡意代碼以干擾內部命令并利用數據庫安全缺陷來獲取關鍵數據的訪問。

2. 內部威脅

在工業網絡間諜活動中，惡意的內部人員正被更為頻繁的使用。競爭對手會故意接近目標組織中受信任的、擁有信息系統訪問特權的員工，用金錢誘惑他們交換組織的機密信息。內部員工的違規訪問行為比黑客攻擊更難被發現，其造成的危害往往也更加嚴重。

當然，不排除一些員工可能在無意中參與或協助了工業網絡間諜活動。因為攻擊者可以使用各種社會工程技術來收集機密信息。例如：如果入侵者將帶有惡意代碼的U盤放在走廊上，讓好奇的員工拿起并插入公司電腦，就可能會引發大規模的數據泄露，讓組織損失慘重。

此外，被解雇的前雇員、心懷不滿的員工、跳槽到競爭對手的員工，都可能輕易地帶走工業企業的敏感數據。但更糟糕的是，在新冠疫情爆發后，企業不得不轉向遠程工作方式。雖然遠程辦公給員工帶來了靈活性，但也讓網絡間諜活動變得更容易。

防范工業網絡間諜的最佳實踐

部署反惡意軟件只是打擊網絡間諜活動的一項基礎性措施。工業企業需要采取更多的措施來加強整體網絡安全防護態勢。遵循下述反網絡間諜活動的最佳實踐，可以幫助工業企業更快速地發現和防止工業網絡間諜攻擊活動。

1、充分評估網絡間諜攻擊風險

工業企業首先要了解組織中擁有哪些商業機密和有價值的數據，以及它們對您的競爭對手有多大吸引力。這樣就可以通過競品分析和資產比較，來評估這些商業秘密的價值和吸引力。

一旦確定了最有價值的數據，就可以猜測誰可能會對這些數據感興趣。這樣就可以梳理出可能的威脅和潛在的攻擊向量，從而對現有防御體系中的漏洞進行檢測和修復。

風險評估是防范網絡間諜攻擊的重要原則，它應該是每個工業企業安全發展戰略的關鍵性部分。企業還應該制定一個網絡事件響應計劃，它將幫助企業在信息被竊取時，能夠快速有效地做出反應，將其對業務的影響降至最低。

2、做好網絡基礎設施的防護

在企業的網絡邊界建立一個安全的防護圍欄是實現網絡安全的基礎性措施和要求。工業企業應該考慮在多個級別上增強安全性，分層防御的方法提供了針對各種可能威脅的體系化綜合防護解決方案，使工業企業更難以滲透。

同時，工業企業應該將將有價值的數據與辦公網絡系統隔離開，并限制對其的訪問。此外，工業企業應該積極在網絡系統中實現零信任模型。這種方法的核心思想是在用戶每次嘗試訪問關鍵資源時驗證身份，同時還強調了限制特權訪問和驗證設備的重要性。

請記住，零信任安全方法要能夠和傳統的企業網絡安全工具兼容，如防火墻和防病毒軟件。通過多層次的安全防護，它將能夠有效防御通過黑客和惡意軟件進行的工業間諜活動。

3、建立有效的內部安全防護策略

為了將工業網絡間諜活動的風險降至最低，工業企業應該建立一套規則，并將這些網絡安全政策規范化和制度化，確保所有的員工和第三方都知道并遵守這些安全規則。

工業企業在制定網絡安全政策時，應該包含涵蓋以下主題的規則：

• 網絡安全——包括計算機網絡訪問的指導方針，描述網絡安全環境的體系結構，并解釋如何在其中實現安全規則；
• 安全意識——描述旨在告知員工安全程序和機制的措施；
• 員工入/離職——從安全的角度定義適當的員工入職和離職管理程序；
• 密碼管理——在組織中建立嚴格的密碼創建、存儲和管理規則；
• 訪問管理——為普通用戶、特權用戶和遠程用戶提供對適當的數據和系統訪問權限，并對其有效管理；
• 審計和問責——當網絡間諜活動發生后，需要清晰描述敏感信息是如何被監視、竊取和利用的；
• 事件響應——制定一個計劃，說明如果檢測到網絡間諜活動事件，您的人員將第一時間采取什么行動。

4、監控員工的辦公活動

工業企業的員工在工作時間都在做什么？哪些活動是違規的？監視每個員工的辦公活動是防止工業網絡間諜活動最常見和最有效的措施。只有充分監控員工的工作活動，企業才能夠知道他們的違規訪問行為，并且判斷是有意還是故意的。

特別重要的是要密切關注特權用戶，比如系統管理員和高層管理人員。他們可以在執行正常任務時輕松地收集情報，并將任何異常行為解釋為錯誤。員工監控使所有員工的行為完全可見，使企業能夠識別與網絡間諜活動有關的攻擊，并及時做出響應。如果發生網絡間諜事件，企業還可以使用這些記錄進行溯源調查。

5、有效地管理數據訪問

誰有權訪問關鍵數據？他們真的需要嗎？許多工業企業會默認為所有員工提供訪問關鍵數據和基礎設施的權限。盡管這種方法可能很方便，但非常不安全。工業企業需要實施最小特權原則，除非工作必要，否則禁止訪問所有數據。這一原則要求只給予用戶執行其工作所必需的特權；只向真正需要重要信息的員工提供這些信息。

如果非特權用戶偶爾需要使用機密信息，企業可以為他們提供一次性訪問權限，或者限制他們對關鍵資源訪問的工作時間。通過限制訪問關鍵數據的人員數量，可以顯著降低讓惡意競爭對手獲取這些數據的風險。

6、制定網絡間諜活動響應計劃

當網絡間諜攻擊活動正在發生時，工業企業應該怎么做？組織需要提前制定一份完善的事件響應的策略和計劃，并隨著網絡間諜活動的不斷變化，定期對其進行調整和優化改進。

嚴格的事件響應程序有助于減少網絡間諜活動造成的損失。對于安全響應團隊來說，必須時刻準備好應對突發的網絡間諜事件。在嚴重安全事件發生時，需要能夠第一時間制定應急處置方案，充分調動內外部團隊資源，并讓所有成員明確自己的任務。此刻，保持頭腦冷靜、行動周全對于成功處理安全事件至關重要，而如果陷入到焦慮不安的恐慌中，將會嚴重影響事件響應團隊做出正確的決策。