制造業(yè)已成為網(wǎng)絡(luò)安全漏洞第三大受害者
2014年,一款智能冰箱在遭受僵尸網(wǎng)絡(luò)攻擊后�,被當(dāng)場抓到發(fā)送了超過75萬封垃圾郵件。這是全世界首次記錄在案的黑客攻擊物聯(lián)網(wǎng)事件����。在美國,最近的一個案例涉及一個水族館的聯(lián)網(wǎng)恒溫器����,黑客成功控制了恒溫器,訪問賭場中豪賭者信息的數(shù)據(jù)庫���。
在大洋彼岸和中東地區(qū)�,一個名為“Triton”的惡意軟件滲透了一家裝有安全關(guān)閉系統(tǒng)的工廠,該軟件利用了一個以前從未被發(fā)現(xiàn)的漏洞�����,迫使工廠陷入停產(chǎn)����。
在另一個案例中,黑客利用3名員工的信息憑據(jù)和電子郵件賬戶進(jìn)入了一家在線商店的公司網(wǎng)絡(luò)���,由此竊取了該公司1.45億用戶的個人信息和加密密碼�����。在近230天的時間里�����,這個漏洞一直沒有被檢測出來�����。
今年2月�����,美國聯(lián)邦調(diào)查局(FBI)特工逮捕了一家美國制造工廠內(nèi)一名心懷不滿的前雇員���,此人曾通過雇主網(wǎng)絡(luò)的開放式VPN后門潛入公司網(wǎng)絡(luò)��,造成110萬美元的巨大損失�。
鑒于媒體對安全漏洞的曝光頻繁見諸報端�����,人們對于安全問題的心態(tài)已從“我沒遇到過”轉(zhuǎn)變?yōu)椤安皇强赡軙l(fā)生��,而是何時會發(fā)生”�����。然而盡管媒體高度關(guān)注�、網(wǎng)絡(luò)攻擊持續(xù)上升���,但是各企業(yè)在主動實施安全戰(zhàn)略方面的表現(xiàn)卻不盡如人意��。事實上�����,制造業(yè)已明顯成為第三大易受攻擊的行業(yè)�,僅次于銀行業(yè)和零售業(yè)。電子����、半導(dǎo)體和高科技制造業(yè)更加容易受到威脅,尤其是在“工業(yè)4.0”大潮促使這些行業(yè)將工廠生產(chǎn)與信息技術(shù)網(wǎng)絡(luò)相連接的情況下�����。而這些工廠很可能正在使用老舊的機(jī)器和已經(jīng)停止支持的SQL服務(wù)器�����,為其安全架構(gòu)留下了巨大漏洞�����。
那么���,為什么我們會在近期頻繁看到媒體大肆宣傳制造業(yè)發(fā)生的網(wǎng)絡(luò)安全事件?又是什么促使這些黑客將目標(biāo)和目標(biāo)受害者從其他備受關(guān)注的行業(yè)轉(zhuǎn)移到制造業(yè)?
讓我們更深入地研究這些威脅案例�����,了解這些安全事件如何發(fā)生�����、為什么發(fā)生���,以及制造商應(yīng)怎樣避免成為下一個網(wǎng)絡(luò)安全受害者��。
威脅案例1:安全性滯后于物聯(lián)網(wǎng)發(fā)展
大多數(shù)終端用戶物聯(lián)網(wǎng)設(shè)備都設(shè)計得很輕薄�,它們的處理能力有限��,安全性幾乎為零���。就像智能冰箱和水族館聯(lián)網(wǎng)恒溫器的例子一樣���,黑客們輕易就能利用這些物聯(lián)網(wǎng)設(shè)備滲透進(jìn)工廠網(wǎng)絡(luò)內(nèi)部�。他們可以輕易地接管或控制支持IP的設(shè)備,提取數(shù)據(jù)或植入惡意代碼�����,這些代碼可以悄無聲息地打開系統(tǒng)后門���。
值得警惕的是��,菜鳥水平的攻擊者只要花25美元就能購買到委托網(wǎng)絡(luò)黑客的服務(wù)�。最近的研究報告表明,到2020年�,家庭或商業(yè)用途連接設(shè)備的數(shù)量將從目前的84億上升至500億,連接設(shè)備或物聯(lián)網(wǎng)激增意味著這一“預(yù)警”正在變成“警鈴大作”�����。
不幸的是���,發(fā)現(xiàn)安全問題后�,任何公司都幾乎不可能從市場完全召回產(chǎn)品����,也不可能通過事后固件升級或軟件補(bǔ)丁徹底解決安全問題。解決安全性問題需要物聯(lián)網(wǎng)用戶與制造商的共同努力��。下次再收到更新提示時�����,物聯(lián)網(wǎng)消費(fèi)者在按“提醒我”(Remind me later)或“強(qiáng)制退出”(Force quit)按鈕前應(yīng)該三思。同樣地����,制造商需要對安全問題采取積極的態(tài)度。例如�����,制造商可以使用云網(wǎng)絡(luò)作為防御層��,在終端用戶設(shè)備和它的源服務(wù)器之間創(chuàng)建一個安全且經(jīng)認(rèn)證的連接����,在不影響用戶體驗的情況下,阻止后門漏洞�,同時確保完成補(bǔ)丁。
威脅案例2:工廠自動化成為勒索漏洞
對于制造業(yè)企業(yè)而言���,最大的威脅是失去知識產(chǎn)權(quán)和工廠停產(chǎn)�����。雖然科技使制造商能夠轉(zhuǎn)型為智能工廠,但它也能成為致命弱點(diǎn)���。例如��,一個競爭對手或一位高水平雇員就可以輕松地掃描你的網(wǎng)絡(luò)����,找到下一個弱點(diǎn),竊取你的新產(chǎn)品源代碼�����。
根據(jù)被竊取的寶貴信息的類型����,該公司很可能需要支付巨額贖金,然后保持沉默���,或在上頭條時蒙受重大聲譽(yù)損失���。事實是,制造商很少公開披露此類事件���,這一趨勢值得我們警醒——因為黑客投機(jī)分子會針對這些行業(yè)繼續(xù)采用已經(jīng)證明成功的攻擊手法已經(jīng)證明成功的攻擊手法����。截止2016年,僅在中國�,中國國家漏洞數(shù)據(jù)庫(CNVD)就記錄了1036個工業(yè)控制系統(tǒng)漏洞 。行業(yè)調(diào)查還發(fā)現(xiàn)���,高達(dá)40%的制造商沒有正規(guī)的安全政策�,而60%的受訪者承認(rèn)����,他們沒有適當(dāng)?shù)娜藛T專門負(fù)責(zé)安全監(jiān)控 。
威脅案例3:在“撞庫”泛濫的當(dāng)下�,不要輕信任何人
我們一再聽聞黑客侵入公司網(wǎng)絡(luò)竊取客戶數(shù)據(jù)庫、定價單或直接攔截銷售訂單���,甚至利用客戶的合法憑據(jù)進(jìn)行未經(jīng)授權(quán)的電匯這樣的事件發(fā)生�����。例如���,在中間人攻擊(man-in-the-middle attacks)中,攻擊者主動竊聽受害者之間的通信���,然后模擬其中一方輸入新信息�。更令人擔(dān)憂的是,30%的黑客攻擊尚未被檢測到 �����,在美國���,檢測到網(wǎng)絡(luò)攻擊的平均時間長達(dá)206天 ,而在一些亞洲國家���,這一數(shù)字更是令人吃驚地多達(dá)1.6年!
“撞庫”(credential abuse)導(dǎo)致的漏洞很少被發(fā)現(xiàn)的原因在于這種攻擊的設(shè)計方式���。不同于對相同賬戶進(jìn)行多次登錄嘗試的“暴力破解”(brute force)攻擊,“撞庫”一般會利用已泄露的用戶名和密碼�����,因此只使用一個賬戶登錄一次�����。更糟糕的是��,普通用戶往往在不同的網(wǎng)站和設(shè)備上使用相同的登錄憑據(jù)�,包括公司應(yīng)用程序和社交媒體網(wǎng)站��。
隨著“撞庫”攻擊增多�����、攻擊者受到財務(wù)利益驅(qū)動����,制造商不應(yīng)只裝置單一硬件式的安全解決方案或執(zhí)行基本安全檢查�����,他們應(yīng)該尋找一種多層次的安全方法���,主動監(jiān)測和阻止?jié)撛谕{����。
威脅案例4:間諜不僅來自外部�����,也存在于內(nèi)部
近期�����,我們還發(fā)現(xiàn)了什么?你知道內(nèi)部員工可能是第二大黑客嗎?無論雇員是出于有意還是無意,包括心懷不滿的前雇員��,都可能是安全事故的源頭(26%)���。專業(yè)黑客和競爭對手(43%)通常是首要犯罪嫌疑人,而另一種不太受到懷疑的攻擊者實際上是第三方用戶����,例如,供應(yīng)鏈生態(tài)系統(tǒng)中的合作伙伴(19%) ���。
為什么會存在這種情況?最主要的是����,超過半數(shù)的員工承認(rèn)自己曾使用公司的筆記本電腦進(jìn)行個人活動����,包括網(wǎng)上購物、下載電影或進(jìn)行網(wǎng)上銀行服務(wù) ���。他們幾乎沒有意識到���,黑客可能在偷偷監(jiān)視他們�,向他們的公司網(wǎng)絡(luò)注入惡意代碼����。其次,認(rèn)證和加密功能薄弱�,對承包商和供應(yīng)商的遠(yuǎn)程訪問控制和密碼管理不善,在公司防火墻和VPN中打開后門�,導(dǎo)致數(shù)百萬的經(jīng)濟(jì)損失。
隨著制造商將云技術(shù)作為“工業(yè)4.0”的一部分�����,各企業(yè)應(yīng)考慮采用一種結(jié)構(gòu)性安全方法����。實施健全的訪問管理,保護(hù)你的數(shù)據(jù)���,獲得所有設(shè)備和用戶的可見性���,隨時積極地評估風(fēng)險。更重要的是�,積極避免攻擊!
不是可能會發(fā)生,而是何時會發(fā)生
以下是一個簡短的問題清單�,想要率先制定主動安全策略的制造商可以從這些正確的方向著手:
你最近何時曾對你的網(wǎng)絡(luò)進(jìn)行正式的安全評價和評估?
你如何����、以及在何處處理�、存儲和分發(fā)知識產(chǎn)權(quán)和研發(fā)數(shù)據(jù)?
你如何管理生態(tài)系統(tǒng)中的承包商、遠(yuǎn)程員工和供應(yīng)商的訪問控制和密碼?
請記住�����,當(dāng)成為下一個網(wǎng)絡(luò)安全攻擊的目標(biāo)時����,制造業(yè)公司與其他行業(yè)的公司沒有任何區(qū)別����。
最后提醒:不是可能會發(fā)生,而是何時會發(fā)生�����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運(yùn)維平臺建設(shè)、動漫設(shè)計���、軟件研發(fā)���、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�����。公司遵循信息安全整體性的IATF模型��,從“人員素養(yǎng)”�����、“制度流程”���、“技術(shù)產(chǎn)品”三個視角提供全面、可信的方案��,業(yè)務(wù)涵蓋咨詢��、評估����、規(guī)劃、管控����、建設(shè)�����、培訓(xùn)等��。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商�����。
