近日“日本丰田汽车公司因零部件供应商受到网络攻击关闭工厂”事件再次霸屏网络,这已不是关于日本丰田汽车公司的第一次网络安全事件。2019年3月,日本丰田汽车公司遭受“海莲花”入侵,导致多达130万客户数据泄露;2020年6月,日本本田遭受勒索病毒攻击,导致美国部分工厂停产。此次日本丰田汽车公司的零部件供应商遭受网络攻击,导致日本丰田汽车3月1日关闭其在日本的所有工厂,此次停工影响了14家工厂的28条生产线、涉及约1.3万辆汽车的正常生产计划。
虽然事件都发生在丰田汽车公司,但此次安全事件与2019年和2020年的网络安全事件明显不同。此次攻击的重点是攻击其上游的零配件供应商,从而影响下游产业,这是典型的“供应链攻击”。2020年底发生的美国“太阳风”安全事件也是典型的软件供应链攻击,攻击者通过在供应商管理软件中植入“后门”,顺利渗透到其18000多家客户中。以上典型安全事件将供应链安全牵一发而动全身的现象诠释得淋漓尽致。这次“丰田3.1事件”再次给我国离散制造相关企业敲响警钟,不仅仅要强化如“日本丰田”这种大型制造企业的网络安全建设,还要加强其上下游供应商的网络安全防护能力。随着等级保护、关基保护工作的持续推进,我国关键信息基础设施的安全防护能力将得到显著提升,攻击者直接攻击大型制造企业或者关键信息基础设施的难度将越来越大,那么上游的供应商(包括一级供应商到 N 级供应商)将很可能成为网络安全“木桶理论”中的短板,受到攻击者越来越多的重视。为避免短板的出现,务必将安全防护要求延伸到上下游的供应商。从网上媒体公开披露的信息中,“丰田3.1事件”可能遭受勒索软件的攻击,具体原因还未可知,但是针对供应链的网络攻击渗透和勒索软件的防护已经成为智能制造企业乃至关键信息基础设施运营者的关注重点。企业遭受常见的勒索软件攻击的方式包括弱口令攻击、横向渗透、利用系统与软件的漏洞攻击、供应链攻击等多种方式;大家所熟知的供应链攻击是面向软件开发人员和供应商的新兴威胁,目标是通过感染合法应用分发恶意软件来访问源代码、构建过程或更新机制。此次事件的性质更偏向于针对供应链条中供应商的网络安全渗透与攻击。
针对愈发严峻的供应链攻击威胁形势,国家层面高度重视供应链安全的相关建设,2022年1月4日,国家互联网信息办公室会同国家发展改革委、公安部、工业和信息化部等十三个部门联合发布了新的《网络安全审查办法》(以下简称《办法》)。在正文中的第五条和第十六条中提出“关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。”“关键信息基础设施安全保护工作部门可以指定本行业、本领域预判指南。”“为了预防风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。”《办法》的施行,有利于“当事人”进一步强化网络安全、数据安全和供应链安全的意识,将安全保障工作关口前移,防范第三方网络产品及服务供应链中引入安全漏洞、恶意代码,木马后门等。
因此,在新型“供应链攻击”背景下,离散制造业在关注自身工控系统安全防护建设的同时,亦需关注整个供应链生态的安全,积极构筑产业链协同联防体系,提升4大安全能力。
通过建立基于纵深的防御体系,实现逐层收缩攻击面,从而将中低水平的攻击者拒之门外,对高能力水平威胁行为体进行压制,通过各种防护措施产生大量的安全信息,加强对高隐匿性攻击行动的发现能力,降低攻击行动的自由度和隐匿性。常态深入地对资产进行隐患排查,提高重大威胁源和重大隐患的排查能力,有效防范和遏制重特大网络安全事件的发生通过对企业内资产持续性的风险评估,评估在不同的时间阶段企业的网络安全防御能力,并制定网络安全防御能力成熟度目标模型,持续动态地评估网络安全防御能力的完善程度,以及存在的风险是否可接受,进而保障企业关键业务系统的安全稳定运行。主动、灵活的威胁发现能力,实现对威胁和风险的全天候、全方位感知利用沙箱技术、终端应用监控技术、预测威胁情报体系以及大量的日志来分析可能存在的APT攻击。通过加强网络安全检测体系建设,做好企业信息系统全网、全流量的流量实时监控,实现全网、全主机的系统监控。以健全的应急预案和技术措施为基础,在面对网络安全事件时能够做到行动迅速、措施有力、处置有效通过围绕制订和完善各种流程规范,制订阶段性工作计划,开展工控网络安全风险评估,规范产品与服务采购流程,同时坚持做好日常维护管理、应急计划和事件响应等方面的工作,以保证安全管理措施和安全技术措施的有效执行。准确、可回溯的攻击溯源能力,提升对攻击渗透的源头判断能力通过建立基于态势感知技术和威胁情报检测技术的动态防御体系,实现态势可知,态势可控,威胁预测,建立“全天候”态势感知能力。实现态势感知、安全运营、数据关联、威胁预测,将静态防御转为积极动态防御。
汽车制造是典型离散型制造业的代表,我们以汽车制造企业为原型,谈一谈如何在离散制造企业进行落地安全防护。一辆完整的汽车是由许多零配件、总成件组合而成,包括铸造、锻造、冲压、焊接、机械加工、热处理、化学处理、非金属材料的注塑、模塑、压延、复合以及涂漆、防腐蚀处理等。总体来说,汽车制造业有四大核心工艺流程:冲压、焊装、涂装、总装,在上述四大核心工艺流程中,涉及零配件供应商众多,供应商链条任一环节遭受网络攻击、将导致零部件供应系统瘫痪、汽车制造工厂停产。
首先,在各个区域边界层面,要建立边界防护的“闸门”,除建立起基本的访问控制外,在生产侧,应进一步加强对工业生产指令的深度解析技术,对穿过边界的数据流进行深入指令级和值域级的边界隔离和访问控制,保证只有可信的数据流能够通过,形成纵深防御的第一道防线;其次,在通信网络层面,要利用白名单技术和工控协议深度解析技术,对在生产系统内部交互的流量进行实时审计,及时发现异常的操作行为和异常的网络连接,保证只有可信任的流量才能在网络中传输,形成了纵深防御的第二道防线;再次,在计算环境层面,要通过多种手段融合对生产网内部关键的业务服务器,业务工程师站等进行安全防护,尤其要加强对主机病毒防范和USB外设管控,同时加强对生产制造企业内关键生产数据文件进行防护,其中重点关注勒索病毒的防护,以此形成纵深防御的第三道防线;最后,结合安全管理中心的安全运维管理、集中管控、日志审计、态势感知等技术或产品,形成一套符合等级保护要求的基于“白环境”的纵深防御安全防护技术与监测预警体系。其上下游供应链企业可参考此模式构筑产业链协同联防体系,提升汽车制造整条产业链中的网络安全防御能力。
随着数字化经济的快速发展、网络攻击手段和渠道的多元化发展、供应链环节引发的威胁事件频繁发生,供应链侧攻击一定会成为生产企业网络面临的最严重的威胁之一。威努特作为工业安全的领军企业,始终提醒用户“供应链已不是网络安全外围阵地,而是核心对抗的主战场”。威努特简介北京威努特技术有限公司(简称:威努特)是国内工控安全行业领军者,是中国国有资本风险投资基金旗下企业。凭借卓越的技术创新能力成为全球六家荣获国际自动化协会ISASecure 认证企业之一和首批国家级专精特新“小巨人”企业。
威努特依托率先独创的工业网络“白环境”核心技术理念,以自主研发的全系列工控安全产品为基础,为电力、轨道交通、石油石化、市政、烟草、智能制造、军工等国家重要行业用户提供全生命周期纵深防御解决方案和专业化的安全服务,迄今已为国内及“一带一路”沿线国家的4000多家行业客户实现了业务安全合规运行。
作为中国工控安全国家队,威努特积极推动产业集群建设构建生态圈发展,牵头和参与工控安全领域国家、行业标准制定和重大活动网络安全保障工作,始终以保护我国关鍵信息基础设施网络空间安全为己任,致力成为建设网络强国的中坚力量!