从丰田汽车停产事件看大型装备制造企业病毒治理
1. 事件背景
丰田汽车公司3月1日暂停日本国内所有生产,包括14家工厂的28条生产线。原因是其国内供应商、零部件生产商小岛冲压工业公司遭到网络攻击。丰田发布消息称,日本国内所有工厂2日将恢复生产。日本工厂约占丰田汽车年产量1/3,日本国内所有工厂停工1天会延缓约1.3万辆汽车的生产情况,相当于丰田日本国内月产能4%至5%。日本共同社报道称,小岛冲压工业公司1日表示,已确认服务器中毒并存在危险信息,疑似感染具有强攻击性的“勒索病毒”。该公司已报警,并向日本政府相关部门报告,目前正在加紧修复系统。
2. 事件分析
从事件本源来看,丰田汽车事件是一次典型的由上游零部件供应商网络安全问题,引发的供应链中断,进而导致生产业务中断的业务生产事件。随着工业控制系统及其网络产品集成度的不断提升和供应链全球化大分工的不断加深,网络安全攻击也由传统的“目标型、直接型”单点或多点式攻击,向产业链条式攻击方向转变。在网络安全合规性以及网络安全事件持续高发的高压态势下,大型装备制造企业相对具有较好的网络安全意识和安全专业人员,拥有一定的网络安全基础,网络攻击者想直接对其展开攻击需耗费较大的资源成本,但由于工业装备生产需要复杂的零部件供应体系支撑,且各供应厂商规模大小不同、安全能力不同、生产方式不同,从而使基于供应链的“间接”攻击逐渐成为大型装备制造企业面临的主要业务和安全风险之一。
3. 规划建议
面对日益复杂的工业控制系统网络安全问题,需从企业自身安全防护、供应链安全、外部安全协作等三个方面开展规划建设。
1) 企业自身安全防护:基于工控系统带“洞”运行的常态,开展各项安全运营活动。
2) 供应链安全:通过制定供需双方安全基本要求、制定供方行为准则,并持续对供应链进行风险评估,保障供应链完整性、可用性、可控性、安全性。
3) 第三方安全协作:与安全厂商以及政府部门加强联系与协作,实现能力互补和安全责任共担。
3.1. 企业自身安全防护
企业自身安全防护体系规划和安全项目建设,可采用“立足自身需求、满足行业合规、充分考虑未来”的原则,进行场景化方案分析制定,通过安全场景à安全分项à综合集成à拓展应用等建设路线,实现符合自身管理和业务特点的工业安全管理与技术体系,并通过安全路线的持续更新,持续保持安全体系的先进性和可操作性。
以下,以本次事件中涉及的勒索病毒等恶意代码安全防护场景为例,进行安全规划与设计论述。
3.1.1. 勒索病毒传播与攻击路径分析
当前勒索病毒典型传播方式:
1) 利用安全漏洞传播
2) 利用钓鱼邮件传播
3) 利用网站挂马传播
4) 利用移动介质传播
5) 利用软件供应链传播
6) 利用远程桌面入侵传播等。
其中,利用安全漏洞传播、利用移动介质传播、利用软件供应链传播、利用远程桌面传播是当前工业网络中勒索病毒的主要传播手段。
当前勒索病毒典型攻击阶段:
1) 探测侦查阶段
- 收集基础信息
- 攻击入口
2) 攻击入侵阶段
- 部署攻击资源
- 获取访问权限
3) 病毒植入阶段
- 植入恶意代码
- 扩大感染范围
4) 实施勒索阶段
- 加密窃取数据
- 加载勒索信息
3.1.2. 攻击防护规划建议
在充分理解勒索病毒传播和攻击路径基础上,在事前、事中、事后三个阶段,对病毒进行免疫、发现、拦截和响应。
事前阶段:实现对病毒传播方式和传播路径的发现与拦截,并通过主动可信等技术实现常规病毒免疫。事前阶段的核心目标是尽可能消除系统和管理脆弱性,拦截安全威胁,减少攻击面,并做好网络被攻击后的应急处置预案管理工作。
事中阶段:根据勒索病毒攻击方式和传播特点,加强安全监测,降低病毒驻留时间。事中阶段的核心目标是最大程度降低攻击在工业网络中的驻留时间,快速应急响应,从而减少影响面。
事后阶段:恢复系统业务,对攻击事件进行复盘整理,并对安全体系进行优化。事后阶段的核心目标是恢复业务系统,并对安全体系进行优化改善。
3.1.2.1. 事前:摸清家底、夯实基础
- 进行工控系统资产摸查
摸清网络架构、摸清资产信息,实现“挂图作战”和精细化管理,并与病毒传播和攻击路径结合分析,掌握传播或攻击风险点。
- 制定网络安全应急预案
明确职责、分工、流程、措施以及安全保障资源等。
- 加强网络安全管理
采用网络隔离、访问控制、资产管理、漏洞排查、身份鉴别、软件管理、供应链管理等措施加强网络健壮性和纵深性,为攻击发现和响应争取主动时间。
- 建立主动型、纵深型安全技术体系
充分考虑终端侧、网络侧、服务侧、中心侧、设备侧等维度安全防护。
- 加强网络安全意识培训
通过安全培训、定期演练、突发推演等方式,从思想和行动两个方面入手,保障培训的有效性。
- 做好数据备份工作
基于“三 二 一”原则,根据文件或数据重要程度,进行分类分级分时存储和备份,构建勒索防护的最后防线,并对敏感数据、关键数据进行加密保护。
“三二一”原则:
三:至少准备三份副本;
二:两种不同形式,将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘/磁带等;
一:至少一份异地(脱机)备份,勒索病毒将联机的备份系统加密的事件发生的太多了。
3.1.2.2. 事中:持续监测、持续响应
- 实战化持续监测
由“网络比较安全、网络不会被攻击”的“性本善”网络管理思路,向“网络已经被攻陷、网络一直被探测”的“性本恶”网络管理思想转变,加强网络安全持续监测,缩短网络攻击发现时间,保持网络安全实战化运营。
- 隔离感染设备
采用物理隔离、修改口令等方式,对失陷设备进行快速响应。
- 排查勒索病毒感染范围
对攻击造成的信息泄露进行排查,通过“挂图作战”对攻击影响范围进行排查,同时对业务系统和数据备份影响进行详细排查。
- 研判勒索攻击事件
联合服务机构对病毒种类、入侵手段进行研判,并保留原始日志和样本。
3.1.2.3. 事后:安全加固、优化体系
- 利用备份数据进行恢复
根据攻击影响评估,利用本地数据、异地数据或云端数据对相关设备进行数据恢复和业务恢复。
- 优化网络安全管理体系
完善管理制度、更新应急方案并更新知识库,防止同类事件再次发生。
3.2. 供应链安全
通过供应链安全保障工作,制定供需双方安全基本要求、制定供方行为准则,并对供应链进行持续风险评估,保障供应链完整性、可用性、可控性、安全性。
完整性:保障供应链各环节中产品和服务及其所包含的组件、部件、元器件、数据等不被植入、篡改、替换和伪造。
保密性:保障供应链各环节中传递的关键信息不被泄露给未授权者。
可用性:保障需方对供应链的使用。一方面,确保供应链按照与需方签订的协议能够正常供应,不易被人为或自然因素中断,即可供应性;另一方面,即使在供应链部分失效时,仍能保持连续供应且快速恢复到正常供应状态的能力,即弹性。
可控性:保障需方对产品和服务或供应链的控制能力。
此次丰田事件的原因,即为网络安全问题导致的供应链可用性被破坏所导致。为整体保障供应链安全,供应链安全建设应涵盖以下四个方面:
(1) 产品和服务自身安全风险,以及被非法控制、干扰和中断运行的风险;
(2) 产品或关键部件在生产、测试、交付、技术支持、废弃全生命周期过程中的供应链安全风险;
(3) 产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险;
(4) 产品和服务提供者利用用户对产品和服务的依赖,损害网络安全和用户利益的风险。
通过供应链安全保障工作,加强工业网络关键人员的安全管理,加强业务生产基础设施各类产品、服务机构、人员的安全管理,评估系统生产、测试、交付、运维、废弃等全生命周期过程中可能存在的安全风险,并采取相应的管控措施,切断网络威胁在供应链中的传播途径。同时,降低由于供应链完整性、可用性、可控性破坏带来的生产连续性和生产安全性风险,有效保障工业业务安全、连续、可靠运行。
3.3. 外部安全协作
通过对过往工控安全事件应急响应的总结分析,并结合安全实践,建立网络安全协作模型,如下图所示。
网络安全协作模型
以勒索病毒等恶意软件攻击为例,网络安全攻击一般涉及恶意攻击者(病毒作者、传播渠道),以及勒索病毒、受害者、安全组织、政府网信监管部门等五部分。恶意攻击者基于利益、破坏及其他目的制作和传播勒索病毒;受害者由于自身安全脆弱性或供应链受到勒索攻击,导致业务停产或系统破坏;安全组织通过安全分析和安全监测发现勒索病毒及其作者和传播渠道,并向监管机构和受害者提供解决方案和安全协助;政府网信监管部门对网络攻击行为进行打击,并制定行业规范与政策。
受害者作为网络攻击中的目标对象和风险承担者,存在业务损失和行业合规双重压力,需持续加强同安全组织和政府网信监管部门的安全协作,不断提升自身安全防范能力和合规能力。
加强与监管机构协作,可在发生安全事件时及时与监管机构进行沟通,寻求监管机构的协助。并建立和工业网络安全权威机构(如公安部门的计算机安全部门、政府的保密、机要部门)的联系,及时报告信息安全事件,取得指导和支持,规避由网络安全事件导致的法律与合规风险。加强与安全组织协作,在事前可实时获取网络安全情报,对网络安全策略进行有效性验证和调整,并通过安全培训、应急演练等措施,保障安全措施的有效性。在事中可借助安全组织应急处置经验,对安全事件进行快速处置,并对安全事件进行分析预判,降低安全事件影响面。在事后可对安全事件进行复盘分析和追踪溯源,并对全网资产进行安全分析,防止同类事件的再次发生。
通过安全协作,实现各类安全信息和监管信息的快速流动,并将安全组织安全责任前移,共同促进网络环境的安全、清朗、有序发展。