作者 | 绿盟科技 格物实验室 高剑
概述
以制造业为核心的实体经济才是保持国家竞争力和经济健康发展的基础,也正是由于世界各国对于这一理念的普遍认可,才有了德国的工业4.0战略、美国的先进制造业国家战略、印度的国家制造业政策等国家层面的战略规划,我国也提出了中国制造2025计划,并将“以推动信息化和工业化深度融合为主线,大力发展智能制造,构建信息化条件下的产业生态体系和新型制造模式”作为战略任务,来推进工业2.0、工业3.0和工业4.0并行发展。
在以上背景下,全球制造企业面临的网络风险也越来越大。昔日的“孤岛运行”已不复存在,IT和OT边界已经消失,新技术的应用逐步将网络的边界变得模糊。大量工业物联网设备的部署,在增加系统功能、提高生产效率的同时,也带来了诸多漏洞,致使暴露的攻击面逐步扩大。同时伴随着勒索软件的肆虐,各大制造厂商也遭受了不同程度的损失,就在2020年6月本田遭到Snake勒索软件攻击,被迫关停了在美国和土耳其的汽车工厂以及在印度和南美洲的摩托车生产工厂。
本文立足制造业,梳理总结针对制造业的常见攻击类型,最终给出防护的建议。
网络钓鱼攻击
网络钓鱼攻击仍然是最受欢迎的网络攻击工具。为了进行更具有危害性的攻击或者行动,通常需要打开进入目标企业的“大门”,一般情况下都使用钓鱼邮件。比如在2016年,全球太阳能电池板制造商旭乐公司内一名员工收到了自称是CEO的邮件,邮件中提及需要公司内部员工的详细信息,该员工未鉴别真伪便将内部员工的详细信息发送给这位CEO,可这个CEO却是网络犯罪分子,该员工也成了网络钓鱼攻击的受害者,造成了公司机密信息的泄露,也许后续犯罪分子还会有更加疯狂的渗透与攻击行为。
类似于此的网络钓鱼攻击也出现在2015年的乌克兰停电事件中,黑客通过网络钓鱼邮件释放BlackEnergy 3恶意软件并在后续攻击行为中成功取得电力公司工控网络的登入权限,登入SCADA系统后,一个接一个的启动断路器截断电力,同时启用KillDisk恶意软件删除重要日志文件与主引导记录,让电厂员工无法快速恢复电力并进行后期的分析。同时黑客还进行了电话网络的DDoS攻击,让客户及其电厂员工之间难以沟通,因而不易了解状况,找出对策重启电力。钓鱼邮件如下:
网络钓鱼攻击的常见特征:
带有恶意附件的邮件;
带有与已知网站不同、拼写错误的超链接;
引人入胜的标题或者内容;
异常的电子邮件发件人;
紧急的命令或者待办事项类文件;
供应链攻击
对于制造业而言,不是一个厂商就能完成成品的生产,必须依赖于不同厂商的零部件才能完成整个产品的生产和组装,因此在制造过程中需要多个合作商协同共享才能实现高效运营,在这个过程中便引入了供应链攻击的风险。
供应链攻击是许多犯罪分子的攻击手法,通过该类攻击可窃取制造厂商的敏感数据、知识产权等。恶意攻击者如果获得了合作伙伴访问制造厂商网络的权限,通过该权限,犯罪分子就可以进入制造厂商的网络,窃取敏感信息或数据、甚至是核心的工艺制造文件等,对公司将造成重大伤害。
除此之外制造厂商使用的外部软件或者硬件存在安全风险,在设备及系统供应链上同样存在被攻击的可能性。大多数产品开发使用了公共开源或者闭源组件,但这些组件或多或少存在安全漏洞,将有缺陷的组件嵌入产品中,可能会导致更多的安全问题,例如2020年6月份暴露出的Ripple20漏洞,Ripple20漏洞存在于由Treck公司开发的TCP/IP协议栈中,在过去的20多年间,该协议栈已经被广泛使用并集成到无数企业和个人消费者设备中,该系列漏洞将影响全球数亿个物联网(IoT)和工业控制设备。
勒索软件攻击
勒索软件是一种感染计算机服务器、台式机、笔记本电脑、平板电脑和智能手机的恶意软件,通过各种机制渗透,并经常从一台机器横向扩散到另一台机器。一旦感染系统,病毒会悄悄加密数据、视频、文本等文件,然后向用户索要赎金。敲诈勒索从数百到数千美元(通常以难以追踪的加密货币如比特币等形式)进行在线支付,然后换取恢复用户锁定文件所需的解密密钥。勒索需求通常包括一系列的付款截止日期,每错过一个截止日期都会提高赎金金额,并可能导致一些文件的破坏。如果受害者不付钱,攻击者会丢弃解密密钥,从而永久无法访问数据。
2017年WannaCry爆发,汽车制造商被袭击就是一个臭名昭著的勒索软件攻击的例子。该病毒感染了150多个国家,超过20万台的电脑。法国雷诺及其联盟合作伙伴日产Nissan因其许多系统被攻击瘫痪而被迫暂时停用欧洲的一些工厂。法国、斯洛文尼亚和罗马尼亚的设施遭受重创,雷诺被迫暂时关闭了工业生产线。
制造厂商遭受到这种勒索软件攻击后,面临着重大的损失,一方面被加密的文件通常为制造生产或者其他重要数据文件,缺失这类文件生产线将会被迫关停,而后面临的是来自合作商的各种压力及其经济损失;另一方面遭遇攻击后无法恢复被感染的文件,通过查杀病毒或者安全防护、更换新的办公设备的周期及其工作量是制造厂商无法接受的,因此制造厂商有时不得不支付赎金以期望快速恢复生产,步入正轨,而在这期间耽误的工时及其生产任务又是一笔巨大的经济损失,因此该类攻击是目前制造厂商最为惧怕的。
物联网攻击
随着制造业智能化转型的逐渐深入,物联网在推动智能制造转型过程中所扮演的角色正变得越来越重要。有了各种各样的物联网设备,制造厂商能够更有效、更准确地优化其生产工艺及流程。例如,公司正在使用放置在设备中的物联网传感器跟踪资产、收集数据和执行分析。这些传感器监测设备的各类运行参数及关键数据,以实现自动恢复,并缩短维修停机时间。
随着制造工厂中各种类型物联网设备的增加,无形中带来了更多的安全风险,物联网设备有联网属性,极易暴露在网络环境中。制造厂商的物联网、工控网、办公网通常情况下未做有效隔离,通过物联网设备的公开漏洞或者0Day即可渗透进入工控网,对生产的关键设备进行恶意攻击,影响生产并造成停机、加工事故等事件。
有详细报道物联网设备攻击的工控安全事件如下所述。在2008年8月5日,土耳其境内跨国石油管道发生爆炸,破坏了石油运输管道,中断了该管道的石油运输。这条管道内安装了探测器和摄像头,然而在管道被破坏前,却没有收到任何报警信号,摄像头也未能捕获爆炸事件发生的画面。后经调查发现,引发事故的缘由是监控摄像头本身。黑客利用网络摄像头的软件漏洞,攻入内部系统,并在一台负责报警管理的电脑上安装了一个恶意程序,然后渗透到管道操作控制系统,在不触动警报的情况下加大管道内压力,石油管道内的超高压力导致了这次爆炸的发生,并且黑客删除了长达60个小时的监控录像以“毁尸灭迹”,没有留下任何线索。虽然该事件发生在油气行业,但黑客的攻击手法与使用技术往往可以被平移至其他行业,被黑客瞄准的制造企业极有可能发生制造产品不良率上升、加工关键设备损毁、员工伤亡等事件。
复杂工业设备攻击
制造厂商的核心资产有别于其余行业,除了常见的PLC、HMI等设备外,还有特有的数控机床、工业机器人、光学测量系统等,这些资产通常具有系统构成复杂、技术点众多、编程环境专有等特点,比如工业机器人由控制系统、驱动系统、执行关节等组成,它是根据任务程序执行相应的制造任务,这些任务程序在控制系统中解析后分解为多个执行步骤(例如,“向右移动”、“钳子打开”、“向下移动”、“捡拾件”)来完成产品的对应生产过程。每一个机器供应商都有自己的专用语言来编写任务程序,如ABB的Rapid、Comau的PDL2、Fanuc的Karel、川崎的AS、Kuka机器人语言(KRL)、三菱的Melfa Basic、安川的Inform。这些工业机器人编程语言(IRPLs)都是专有的,而且每种语言都有一套独特的功能。
IRPLs非常强大,因为它允许程序员编写自动化程序,也可以从网络或文件读写数据,访问进程内存,执行从网络动态下载的代码等等。如果使用不当,没有安全意识,强大的编程功能可能非常危险。比如可以编写蠕虫传播程序,在网内的机器人中进行自我传播。感染新机器人后,蠕虫将开始扫描网络以寻找其他潜在目标,并利用网络进行传播。该蠕虫程序中包括了文件收集功能,获取受感染机器人中的敏感数据及文件,下图为蠕虫恶意软件的网络扫描示例:
除此之外工业机器人中还存在诸多漏洞,比如目录穿越漏洞,可使攻击者能够窃取记录目标机器人运动的日志文件,该日志文件包含诸如知识产权(如产品构建方式)之类的敏感信息,然后,攻击者可以访问其他目录中的其他文件(包括身份验证机密的文件),并使用这些文件最终访问控制系统。下图为未经验证确认的连接访问机密文件示意。
以上仅是针对工业机器人系统举例说明在制造业中存在对复杂工业设备攻击的可能性,其余的关键设备如数控机床系统、激光测量系统等均因为其功能强大与复杂性可能存在漏洞或者正常功能被恶意使用情况。
防护建议
以上分析针对制造业最常见的攻击类型,制造厂商需要提前做出防护措施以应对可能发生的攻击。以下提出几点建议:
加强员工的安全意识,组织相关培训教授员工如何识别网络钓鱼、如何防范等知识,并不定期进行网络钓鱼测试。
引入设备供应链安全性评估和管理机制。对于工厂日常使用的各种操作机台、IOT设备,移动设备,采购或使用前自行或者寻找专业安全厂商协助评估安全性,尝试和供应商共同建设漏洞修复机制,设定产品安全准入门槛。
对合作的上下游厂商进行合规管控,从业务、数据、文件等多个维度建立不同的权限级别,并针对外部的网络访问做详细记录以便溯源查询。
积极梳理现有资产,根据重要度等指标进行分区分域,部署全网安全管理类产品,形成具备快速反应能力的纵深型防御体系。优秀的安全管理类产品可以通过监测网络流量等,及时发现病毒感染源并进行隔离处理,有效阻断病毒传播。分区分域后也可避免勒索类软件在全厂扩散。
建立严格有效的数据备份方案,在本地、异地和私有云等处保存关键业务数据及文件,避免因勒索软件感染关键文件而导致停产停工。
加强主机等端点安全防护能力。可以考虑部署合适的终端安全管理软件,对不具备部署条件的机器,在做好兼容性测试的基础上,尽可能的安装系统补丁;如无需使用3389,445等敏感端口则尽量关闭。
对IOT设备进行定期安全检查,联系厂家获取最新版本固件实时更新,防止攻击者利用已知漏洞发起攻击。
对制造厂区内的无线连接进行管理,并定期更换密码(使用强密码),管控私接AP,关闭不必要的打印机等设备的无线功能。
外部人员访问制造厂区内网络时,采用VPN或者其余加密连接方案,并做好行为记录备案。
对数控机床、工业机器人等设备的程序文件做安全性扫描处理,确保程序文件不携带已知病毒。
如有可能需对数控机床、工业机器人等设备的程序做自动或定期的源代码审查,如发现异常函数使用及时反馈编程人员进行修改、备案、记录、分享经验等。
建立与集成商公用的程序文件安全性审查库,并建立准入和身份验证机制,只有经过认证的编程人员才有权限读取和存放编程程序。
参考链接:
1.https://www.executech.com/insight/top-5-manufacturing-cybersecurity-threats/
2.https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/unveiling-the-hidden-risks-of-industrial-automation-programming
3.https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/threats-and-consequences-a-security-analysis-of-smart-manufacturing-systems
声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。