豐田汽車廠網絡攻擊如何根治?
1“豐田3.1事件”再次給離散制造業敲響警鐘
近日“日本豐田汽車公司因零部件供應商受到網絡攻擊關閉工廠”事件再次霸屏網絡,這已不是關于日本豐田汽車公司的第一次網絡安全事件。2019年3月,日本豐田汽車公司遭受“海蓮花”入侵,導致多達130萬客戶數據泄露;2020年6月,日本本田遭受勒索病毒攻擊,導致美國部分工廠停產。此次日本豐田汽車公司的零部件供應商遭受網絡攻擊,導致日本豐田汽車3月1日關閉其在日本的所有工廠,此次停工影響了14家工廠的28條生產線、涉及約1.3萬輛汽車的正常生產計劃。
雖然事件都發生在豐田汽車公司,但此次安全事件與2019年和2020年的網絡安全事件明顯不同。此次攻擊的重點是攻擊其上游的零配件供應商,從而影響下游產業,這是典型的“供應鏈攻擊”。2020年底發生的美國“太陽風”安全事件也是典型的軟件供應鏈攻擊,攻擊者通過在供應商管理軟件中植入“后門”,順利滲透到其18000多家客戶中。
以上典型安全事件將供應鏈安全牽一發而動全身的現象詮釋得淋漓盡致。這次“豐田3.1事件”再次給我國離散制造相關企業敲響警鐘,不僅僅要強化如“日本豐田”這種大型制造企業的網絡安全建設,還要加強其上下游供應商的網絡安全防護能力。隨著等級保護、關基保護工作的持續推進,我國關鍵信息基礎設施的安全防護能力將得到顯著提升,攻擊者直接攻擊大型制造企業或者關鍵信息基礎設施的難度將越來越大,那么上游的供應商(包括一級供應商到 N 級供應商)將很可能成為網絡安全“木桶理論”中的短板,受到攻擊者越來越多的重視。為避免短板的出現,務必將安全防護要求延伸到上下游的供應商。
2 構筑產業鏈協同聯防體系,提升4大安全能力
從網上媒體公開披露的信息中,“豐田3.1事件”可能遭受勒索軟件的攻擊,具體原因還未可知,但是針對供應鏈的網絡攻擊滲透和勒索軟件的防護已經成為智能制造企業乃至關鍵信息基礎設施運營者的關注重點。企業遭受常見的勒索軟件攻擊的方式包括弱口令攻擊、橫向滲透、利用系統與軟件的漏洞攻擊、供應鏈攻擊等多種方式;大家所熟知的供應鏈攻擊是面向軟件開發人員和供應商的新興威脅,目標是通過感染合法應用分發惡意軟件來訪問源代碼、構建過程或更新機制。此次事件的性質更偏向于針對供應鏈條中供應商的網絡安全滲透與攻擊。
針對愈發嚴峻的供應鏈攻擊威脅形勢,國家層面高度重視供應鏈安全的相關建設,2022年1月4日,國家互聯網信息辦公室會同國家發展改革委、公安部、工業和信息化部等十三個部門聯合發布了新的《網絡安全審查辦法》(以下簡稱《辦法》)。在正文中的第五條和第十六條中提出“關鍵信息基礎設施運營者采購網絡產品和服務的,應當預判該產品和服務投入使用后可能帶來的國家安全風險。”“關鍵信息基礎設施安全保護工作部門可以指定本行業、本領域預判指南。”“為了預防風險,當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。”《辦法》的施行,有利于“當事人”進一步強化網絡安全、數據安全和供應鏈安全的意識,將安全保障工作關口前移,防范第三方網絡產品及服務供應鏈中引入安全漏洞、惡意代碼,木馬后門等。
因此,在新型“供應鏈攻擊”背景下,離散制造業在關注自身工控系統安全防護建設的同時,亦需關注整個供應鏈生態的安全,積極構筑產業鏈協同聯防體系,提升4大安全能力。
構建企業關鍵業務系統網絡安全縱深防御體系
通過建立基于縱深的防御體系,實現逐層收縮攻擊面,從而將中低水平的攻擊者拒之門外,對高能力水平威脅行為體進行壓制,通過各種防護措施產生大量的安全信息,加強對高隱匿性攻擊行動的發現能力,降低攻擊行動的自由度和隱匿性。
常態深入地對資產進行隱患排查,提高重大威脅源和重大隱患的排查能力,有效防范和遏制重特大網絡安全事件的發生
通過對企業內資產持續性的風險評估,評估在不同的時間階段企業的網絡安全防御能力,并制定網絡安全防御能力成熟度目標模型,持續動態地評估網絡安全防御能力的完善程度,以及存在的風險是否可接受,進而保障企業關鍵業務系統的安全穩定運行。
主動、靈活的威脅發現能力,實現對威脅和風險的全天候、全方位感知
利用沙箱技術、終端應用監控技術、預測威脅情報體系以及大量的日志來分析可能存在的APT攻擊。通過加強網絡安全檢測體系建設,做好企業信息系統全網、全流量的流量實時監控,實現全網、全主機的系統監控。
以健全的應急預案和技術措施為基礎,在面對網絡安全事件時能夠做到行動迅速、措施有力、處置有效
通過圍繞制訂和完善各種流程規范,制訂階段性工作計劃,開展工控網絡安全風險評估,規范產品與服務采購流程,同時堅持做好日常維護管理、應急計劃和事件響應等方面的工作,以保證安全管理措施和安全技術措施的有效執行。
準確、可回溯的攻擊溯源能力,提升對攻擊滲透的源頭判斷能力
通過建立基于態勢感知技術和威脅情報檢測技術的動態防御體系,實現態勢可知,態勢可控,威脅預測,建立“全天候”態勢感知能力。實現態勢感知、安全運營、數據關聯、威脅預測,將靜態防御轉為積極動態防御。
3離散制造企業如何落地安全防護能力
汽車制造是典型離散型制造業的代表,我們以汽車制造企業為原型,談一談如何在離散制造企業進行落地安全防護。一輛完整的汽車是由許多零配件、總成件組合而成,包括鑄造、鍛造、沖壓、焊接、機械加工、熱處理、化學處理、非金屬材料的注塑、模塑、壓延、復合以及涂漆、防腐蝕處理等。總體來說,汽車制造業有四大核心工藝流程:沖壓、焊裝、涂裝、總裝,在上述四大核心工藝流程中,涉及零配件供應商眾多,供應商鏈條任一環節遭受網絡攻擊、將導致零部件供應系統癱瘓、汽車制造工廠停產。
首先,在各個區域邊界層面,要建立邊界防護的“閘門”,除建立起基本的訪問控制外,在生產側,應進一步加強對工業生產指令的深度解析技術,對穿過邊界的數據流進行深入指令級和值域級的邊界隔離和訪問控制,保證只有可信的數據流能夠通過,形成縱深防御的第一道防線;
其次,在通信網絡層面,要利用白名單技術和工控協議深度解析技術,對在生產系統內部交互的流量進行實時審計,及時發現異常的操作行為和異常的網絡連接,保證只有可信任的流量才能在網絡中傳輸,形成了縱深防御的第二道防線;
再次,在計算環境層面,要通過多種手段融合對生產網內部關鍵的業務服務器,業務工程師站等進行安全防護,尤其要加強對主機病毒防范和USB外設管控,同時加強對生產制造企業內關鍵生產數據文件進行防護,其中重點關注勒索病毒的防護,以此形成縱深防御的第三道防線;
最后,結合安全管理中心的安全運維管理、集中管控、日志審計、態勢感知等技術或產品,形成一套符合等級保護要求的基于“白環境”的縱深防御安全防護技術與監測預警體系。其上下游供應鏈企業可參考此模式構筑產業鏈協同聯防體系,提升汽車制造整條產業鏈中的網絡安全防御能力。
4 總結
隨著數字化經濟的快速發展、網絡攻擊手段和渠道的多元化發展、供應鏈環節引發的威脅事件頻繁發生,供應鏈側攻擊一定會成為生產企業網絡面臨的最嚴重的威脅之一。威努特作為工業安全的領軍企業,始終提醒用戶“供應鏈已不是網絡安全外圍陣地,而是核心對抗的主戰場”。
威努特簡介
北京威努特技術有限公司(簡稱:威努特)是國內工控安全行業領軍者,是中國國有資本風險投資基金旗下企業。憑借卓越的技術創新能力成為全球六家榮獲國際自動化協會ISASecure 認證企業之一和首批國家級專精特新“小巨人”企業。
威努特依托率先獨創的工業網絡“白環境”核心技術理念,以自主研發的全系列工控安全產品為基礎,為電力、軌道交通、石油石化、市政、煙草、智能制造、軍工等國家重要行業用戶提供全生命周期縱深防御解決方案和專業化的安全服務,迄今已為國內及“一帶一路”沿線國家的4000多家行業客戶實現了業務安全合規運行。
作為中國工控安全國家隊,威努特積極推動產業集群建設構建生態圈發展,牽頭和參與工控安全領域國家、行業標準制定和重大活動網絡安全保障工作,始終以保護我國關鍵信息基礎設施網絡空間安全為己任,致力成為建設網絡強國的中堅力量!
