在大洋彼岸和中東地區,一個名為“Triton”的惡意軟件滲透了一家裝有安全關閉系統的工廠,該軟件利用了一個以前從未被發現的漏洞,迫使工廠陷入停產。
在另一個案例中,黑客利用3名員工的信息憑據和電子郵件賬戶進入了一家在線商店的公司網絡,由此竊取了該公司1.45億用戶的個人信息和加密密碼。在近230天的時間里,這個漏洞一直沒有被檢測出來。
今年2月,美國聯邦調查局(FBI)特工逮捕了一家美國制造工廠內一名心懷不滿的前雇員,此人曾通過雇主網絡的開放式VPN后門潛入公司網絡,造成110萬美元的巨大損失。
鑒于媒體對安全漏洞的曝光頻繁見諸報端,人們對于安全問題的心態已從“我沒遇到過”轉變為“不是可能會發生,而是何時會發生”。然而盡管媒體高度關注、網絡攻擊持續上升,但是各企業在主動實施安全戰略方面的表現卻不盡如人意。事實上,制造業已明顯成為第三大易受攻擊的行業,僅次于銀行業和零售業。電子、半導體和高科技制造業更加容易受到威脅,尤其是在“工業4.0”大潮促使這些行業將工廠生產與信息技術網絡相連接的情況下。而這些工廠很可能正在使用老舊的機器和已經停止支持的SQL服務器,為其安全架構留下了巨大漏洞。
那么,為什么我們會在近期頻繁看到媒體大肆宣傳制造業發生的網絡安全事件?又是什么促使這些黑客將目標和目標受害者從其他備受關注的行業轉移到制造業?
讓我們更深入地研究這些威脅案例,了解這些安全事件如何發生、為什么發生,以及制造商應怎樣避免成為下一個網絡安全受害者。
威脅案例1:安全性滯后于物聯網發展
大多數終端用戶物聯網設備都設計得很輕薄,它們的處理能力有限,安全性幾乎為零。就像智能冰箱和水族館聯網恒溫器的例子一樣,黑客們輕易就能利用這些物聯網設備滲透進工廠網絡內部。他們可以輕易地接管或控制支持IP的設備,提取數據或植入惡意代碼,這些代碼可以悄無聲息地打開系統后門。
值得警惕的是,菜鳥水平的攻擊者只要花25美元就能購買到委托網絡黑客的服務。最近的研究報告表明,到2020年,家庭或商業用途連接設備的數量將從目前的84億上升至500億,連接設備或物聯網激增意味著這一“預警”正在變成“警鈴大作”。
不幸的是,發現安全問題后,任何公司都幾乎不可能從市場完全召回產品,也不可能通過事后固件升級或軟件補丁徹底解決安全問題。解決安全性問題需要物聯網用戶與制造商的共同努力。下次再收到更新提示時,物聯網消費者在按“提醒我”(Remind me later)或“強制退出”(Force quit)按鈕前應該三思。同樣地,制造商需要對安全問題采取積極的態度。例如,制造商可以使用云網絡作為防御層,在終端用戶設備和它的源服務器之間創建一個安全且經認證的連接,在不影響用戶體驗的情況下,阻止后門漏洞,同時確保完成補丁。
威脅案例2:工廠自動化成為勒索漏洞
對于制造業企業而言,最大的威脅是失去知識產權和工廠停產。雖然科技使制造商能夠轉型為智能工廠,但它也能成為致命弱點。例如,一個競爭對手或一位高水平雇員就可以輕松地掃描你的網絡,找到下一個弱點,竊取你的新產品源代碼。
根據被竊取的寶貴信息的類型,該公司很可能需要支付巨額贖金,然后保持沉默,或在上頭條時蒙受重大聲譽損失。事實是,制造商很少公開披露此類事件,這一趨勢值得我們警醒——因為黑客投機分子會針對這些行業繼續采用已經證明成功的攻擊手法已經證明成功的攻擊手法。截止2016年,僅在中國,中國國家漏洞數據庫(CNVD)就記錄了1036個工業控制系統漏洞 。行業調查還發現,高達40%的制造商沒有正規的安全政策,而60%的受訪者承認,他們沒有適當的人員專門負責安全監控 。
威脅案例3:在“撞庫”泛濫的當下,不要輕信任何人
我們一再聽聞黑客侵入公司網絡竊取客戶數據庫、定價單或直接攔截銷售訂單,甚至利用客戶的合法憑據進行未經授權的電匯這樣的事件發生。例如,在中間人攻擊(man-in-the-middle attacks)中,攻擊者主動竊聽受害者之間的通信,然后模擬其中一方輸入新信息。更令人擔憂的是,30%的黑客攻擊尚未被檢測到 ,在美國,檢測到網絡攻擊的平均時間長達206天 ,而在一些亞洲國家,這一數字更是令人吃驚地多達1.6年!
“撞庫”(credential abuse)導致的漏洞很少被發現的原因在于這種攻擊的設計方式。不同于對相同賬戶進行多次登錄嘗試的“暴力破解”(brute force)攻擊,“撞庫”一般會利用已泄露的用戶名和密碼,因此只使用一個賬戶登錄一次。更糟糕的是,普通用戶往往在不同的網站和設備上使用相同的登錄憑據,包括公司應用程序和社交媒體網站。
隨著“撞庫”攻擊增多、攻擊者受到財務利益驅動,制造商不應只裝置單一硬件式的安全解決方案或執行基本安全檢查,他們應該尋找一種多層次的安全方法,主動監測和阻止潛在威脅。
威脅案例4:間諜不僅來自外部,也存在于內部
近期,我們還發現了什么?你知道內部員工可能是第二大黑客嗎?無論雇員是出于有意還是無意,包括心懷不滿的前雇員,都可能是安全事故的源頭(26%)。專業黑客和競爭對手(43%)通常是首要犯罪嫌疑人,而另一種不太受到懷疑的攻擊者實際上是第三方用戶,例如,供應鏈生態系統中的合作伙伴(19%) 。
為什么會存在這種情況?最主要的是,超過半數的員工承認自己曾使用公司的筆記本電腦進行個人活動,包括網上購物、下載電影或進行網上銀行服務 。他們幾乎沒有意識到,黑客可能在偷偷監視他們,向他們的公司網絡注入惡意代碼。其次,認證和加密功能薄弱,對承包商和供應商的遠程訪問控制和密碼管理不善,在公司防火墻和VPN中打開后門,導致數百萬的經濟損失。
隨著制造商將云技術作為“工業4.0”的一部分,各企業應考慮采用一種結構性安全方法。實施健全的訪問管理,保護你的數據,獲得所有設備和用戶的可見性,隨時積極地評估風險。更重要的是,積極避免攻擊!
不是可能會發生,而是何時會發生
以下是一個簡短的問題清單,想要率先制定主動安全策略的制造商可以從這些正確的方向著手:
你最近何時曾對你的網絡進行正式的安全評價和評估?
你如何、以及在何處處理、存儲和分發知識產權和研發數據?
你如何管理生態系統中的承包商、遠程員工和供應商的訪問控制和密碼?
請記住,當成為下一個網絡安全攻擊的目標時,制造業公司與其他行業的公司沒有任何區別。
最后提醒:不是可能會發生,而是何時會發生。