概述

以制造業(yè)為核心的實(shí)體經(jīng)濟(jì)才是保持國(guó)家競(jìng)爭(zhēng)力和經(jīng)濟(jì)健康發(fā)展的基礎(chǔ)，也正是由于世界各國(guó)對(duì)于這一理念的普遍認(rèn)可，才有了德國(guó)的工業(yè)4.0戰(zhàn)略、美國(guó)的先進(jìn)制造業(yè)國(guó)家戰(zhàn)略、印度的國(guó)家制造業(yè)政策等國(guó)家層面的戰(zhàn)略規(guī)劃，我國(guó)也提出了中國(guó)制造2025計(jì)劃，并將“以推動(dòng)信息化和工業(yè)化深度融合為主線，大力發(fā)展智能制造，構(gòu)建信息化條件下的產(chǎn)業(yè)生態(tài)體系和新型制造模式”作為戰(zhàn)略任務(wù)，來(lái)推進(jìn)工業(yè)2.0、工業(yè)3.0和工業(yè)4.0并行發(fā)展。

在以上背景下，全球制造企業(yè)面臨的網(wǎng)絡(luò)風(fēng)險(xiǎn)也越來(lái)越大。昔日的“孤島運(yùn)行”已不復(fù)存在，IT和OT邊界已經(jīng)消失，新技術(shù)的應(yīng)用逐步將網(wǎng)絡(luò)的邊界變得模糊。大量工業(yè)物聯(lián)網(wǎng)設(shè)備的部署，在增加系統(tǒng)功能、提高生產(chǎn)效率的同時(shí)，也帶來(lái)了諸多漏洞，致使暴露的攻擊面逐步擴(kuò)大。同時(shí)伴隨著勒索軟件的肆虐，各大制造廠商也遭受了不同程度的損失，就在2020年6月本田遭到Snake勒索軟件攻擊，被迫關(guān)停了在美國(guó)和土耳其的汽車工廠以及在印度和南美洲的摩托車生產(chǎn)工廠。

本文立足制造業(yè)，梳理總結(jié)針對(duì)制造業(yè)的常見(jiàn)攻擊類型，最終給出防護(hù)的建議。

網(wǎng)絡(luò)釣魚攻擊

網(wǎng)絡(luò)釣魚攻擊仍然是最受歡迎的網(wǎng)絡(luò)攻擊工具。為了進(jìn)行更具有危害性的攻擊或者行動(dòng)，通常需要打開進(jìn)入目標(biāo)企業(yè)的“大門”，一般情況下都使用釣魚郵件。比如在2016年，全球太陽(yáng)能電池板制造商旭樂(lè)公司內(nèi)一名員工收到了自稱是CEO的郵件，郵件中提及需要公司內(nèi)部員工的詳細(xì)信息，該員工未鑒別真?zhèn)伪銓?nèi)部員工的詳細(xì)信息發(fā)送給這位CEO，可這個(gè)CEO卻是網(wǎng)絡(luò)犯罪分子，該員工也成了網(wǎng)絡(luò)釣魚攻擊的受害者，造成了公司機(jī)密信息的泄露，也許后續(xù)犯罪分子還會(huì)有更加瘋狂的滲透與攻擊行為。

類似于此的網(wǎng)絡(luò)釣魚攻擊也出現(xiàn)在2015年的烏克蘭停電事件中，黑客通過(guò)網(wǎng)絡(luò)釣魚郵件釋放BlackEnergy 3惡意軟件并在后續(xù)攻擊行為中成功取得電力公司工控網(wǎng)絡(luò)的登入權(quán)限，登入SCADA系統(tǒng)后，一個(gè)接一個(gè)的啟動(dòng)斷路器截?cái)嚯娏?，同時(shí)啟用KillDisk惡意軟件刪除重要日志文件與主引導(dǎo)記錄，讓電廠員工無(wú)法快速恢復(fù)電力并進(jìn)行后期的分析。同時(shí)黑客還進(jìn)行了電話網(wǎng)絡(luò)的DDoS攻擊，讓客戶及其電廠員工之間難以溝通，因而不易了解狀況，找出對(duì)策重啟電力。釣魚郵件如下：

網(wǎng)絡(luò)釣魚攻擊的常見(jiàn)特征：

• 帶有惡意附件的郵件;
• 帶有與已知網(wǎng)站不同、拼寫錯(cuò)誤的超鏈接;
• 引人入勝的標(biāo)題或者內(nèi)容;
• 異常的電子郵件發(fā)件人;
• 緊急的命令或者待辦事項(xiàng)類文件。

供應(yīng)鏈攻擊

對(duì)于制造業(yè)而言，不是一個(gè)廠商就能完成成品的生產(chǎn)，必須依賴于不同廠商的零部件才能完成整個(gè)產(chǎn)品的生產(chǎn)和組裝，因此在制造過(guò)程中需要多個(gè)合作商協(xié)同共享才能實(shí)現(xiàn)高效運(yùn)營(yíng)，在這個(gè)過(guò)程中便引入了供應(yīng)鏈攻擊的風(fēng)險(xiǎn)。

供應(yīng)鏈攻擊是許多犯罪分子的攻擊手法，通過(guò)該類攻擊可竊取制造廠商的敏感數(shù)據(jù)、知識(shí)產(chǎn)權(quán)等。惡意攻擊者如果獲得了合作伙伴訪問(wèn)制造廠商網(wǎng)絡(luò)的權(quán)限，通過(guò)該權(quán)限，犯罪分子就可以進(jìn)入制造廠商的網(wǎng)絡(luò)，竊取敏感信息或數(shù)據(jù)、甚至是核心的工藝制造文件等，對(duì)公司將造成重大傷害。

除此之外制造廠商使用的外部軟件或者硬件存在安全風(fēng)險(xiǎn)，在設(shè)備及系統(tǒng)供應(yīng)鏈上同樣存在被攻擊的可能性。大多數(shù)產(chǎn)品開發(fā)使用了公共開源或者閉源組件，但這些組件或多或少存在安全漏洞，將有缺陷的組件嵌入產(chǎn)品中，可能會(huì)導(dǎo)致更多的安全問(wèn)題，例如2020年6月份暴露出的Ripple20漏洞，Ripple20漏洞存在于由Treck公司開發(fā)的TCP/IP協(xié)議棧中，在過(guò)去的20多年間，該協(xié)議棧已經(jīng)被廣泛使用并集成到無(wú)數(shù)企業(yè)和個(gè)人消費(fèi)者設(shè)備中，該系列漏洞將影響全球數(shù)億個(gè)物聯(lián)網(wǎng)(IoT)和工業(yè)控制設(shè)備。

勒索軟件攻擊

勒索軟件是一種感染計(jì)算機(jī)服務(wù)器、臺(tái)式機(jī)、筆記本電腦、平板電腦和智能手機(jī)的惡意軟件，通過(guò)各種機(jī)制滲透，并經(jīng)常從一臺(tái)機(jī)器橫向擴(kuò)散到另一臺(tái)機(jī)器。一旦感染系統(tǒng)，病毒會(huì)悄悄加密數(shù)據(jù)、視頻、文本等文件，然后向用戶索要贖金。敲詐勒索從數(shù)百到數(shù)千美元(通常以難以追蹤的加密貨幣如比特幣等形式)進(jìn)行在線支付，然后換取恢復(fù)用戶鎖定文件所需的解密密鑰。勒索需求通常包括一系列的付款截止日期，每錯(cuò)過(guò)一個(gè)截止日期都會(huì)提高贖金金額，并可能導(dǎo)致一些文件的破壞。如果受害者不付錢，攻擊者會(huì)丟棄解密密鑰，從而永久無(wú)法訪問(wèn)數(shù)據(jù)。

2017年WannaCry爆發(fā)，汽車制造商被襲擊就是一個(gè)臭名昭著的勒索軟件攻擊的例子。該病毒感染了150多個(gè)國(guó)家，超過(guò)20萬(wàn)臺(tái)的電腦。法國(guó)雷諾及其聯(lián)盟合作伙伴日產(chǎn)Nissan因其許多系統(tǒng)被攻擊癱瘓而被迫暫時(shí)停用歐洲的一些工廠。法國(guó)、斯洛文尼亞和羅馬尼亞的設(shè)施遭受重創(chuàng)，雷諾被迫暫時(shí)關(guān)閉了工業(yè)生產(chǎn)線。

制造廠商遭受到這種勒索軟件攻擊后，面臨著重大的損失，一方面被加密的文件通常為制造生產(chǎn)或者其他重要數(shù)據(jù)文件，缺失這類文件生產(chǎn)線將會(huì)被迫關(guān)停，而后面臨的是來(lái)自合作商的各種壓力及其經(jīng)濟(jì)損失;另一方面遭遇攻擊后無(wú)法恢復(fù)被感染的文件，通過(guò)查殺病毒或者安全防護(hù)、更換新的辦公設(shè)備的周期及其工作量是制造廠商無(wú)法接受的，因此制造廠商有時(shí)不得不支付贖金以期望快速恢復(fù)生產(chǎn)，步入正軌，而在這期間耽誤的工時(shí)及其生產(chǎn)任務(wù)又是一筆巨大的經(jīng)濟(jì)損失，因此該類攻擊是目前制造廠商最為懼怕的。

物聯(lián)網(wǎng)攻擊

隨著制造業(yè)智能化轉(zhuǎn)型的逐漸深入，物聯(lián)網(wǎng)在推動(dòng)智能制造轉(zhuǎn)型過(guò)程中所扮演的角色正變得越來(lái)越重要。有了各種各樣的物聯(lián)網(wǎng)設(shè)備，制造廠商能夠更有效、更準(zhǔn)確地優(yōu)化其生產(chǎn)工藝及流程。例如，公司正在使用放置在設(shè)備中的物聯(lián)網(wǎng)傳感器跟蹤資產(chǎn)、收集數(shù)據(jù)和執(zhí)行分析。這些傳感器監(jiān)測(cè)設(shè)備的各類運(yùn)行參數(shù)及關(guān)鍵數(shù)據(jù)，以實(shí)現(xiàn)自動(dòng)恢復(fù)，并縮短維修停機(jī)時(shí)間。

隨著制造工廠中各種類型物聯(lián)網(wǎng)設(shè)備的增加，無(wú)形中帶來(lái)了更多的安全風(fēng)險(xiǎn)，物聯(lián)網(wǎng)設(shè)備有聯(lián)網(wǎng)屬性，極易暴露在網(wǎng)絡(luò)環(huán)境中。制造廠商的物聯(lián)網(wǎng)、工控網(wǎng)、辦公網(wǎng)通常情況下未做有效隔離，通過(guò)物聯(lián)網(wǎng)設(shè)備的公開漏洞或者0Day即可滲透進(jìn)入工控網(wǎng)，對(duì)生產(chǎn)的關(guān)鍵設(shè)備進(jìn)行惡意攻擊，影響生產(chǎn)并造成停機(jī)、加工事故等事件。

有詳細(xì)報(bào)道物聯(lián)網(wǎng)設(shè)備攻擊的工控安全事件如下所述。在2008年8月5日，土耳其境內(nèi)跨國(guó)石油管道發(fā)生爆炸，破壞了石油運(yùn)輸管道，中斷了該管道的石油運(yùn)輸。這條管道內(nèi)安裝了探測(cè)器和攝像頭，然而在管道被破壞前，卻沒(méi)有收到任何報(bào)警信號(hào)，攝像頭也未能捕獲爆炸事件發(fā)生的畫面。后經(jīng)調(diào)查發(fā)現(xiàn)，引發(fā)事故的緣由是監(jiān)控?cái)z像頭本身。黑客利用網(wǎng)絡(luò)攝像頭的軟件漏洞，攻入內(nèi)部系統(tǒng)，并在一臺(tái)負(fù)責(zé)報(bào)警管理的電腦上安裝了一個(gè)惡意程序，然后滲透到管道操作控制系統(tǒng)，在不觸動(dòng)警報(bào)的情況下加大管道內(nèi)壓力，石油管道內(nèi)的超高壓力導(dǎo)致了這次爆炸的發(fā)生，并且黑客刪除了長(zhǎng)達(dá)60個(gè)小時(shí)的監(jiān)控錄像以“毀尸滅跡”，沒(méi)有留下任何線索。雖然該事件發(fā)生在油氣行業(yè)，但黑客的攻擊手法與使用技術(shù)往往可以被平移至其他行業(yè)，被黑客瞄準(zhǔn)的制造企業(yè)極有可能發(fā)生制造產(chǎn)品不良率上升、加工關(guān)鍵設(shè)備損毀、員工傷亡等事件。

復(fù)雜工業(yè)設(shè)備攻擊

制造廠商的核心資產(chǎn)有別于其余行業(yè)，除了常見(jiàn)的PLC、HMI等設(shè)備外，還有特有的數(shù)控機(jī)床、工業(yè)機(jī)器人、光學(xué)測(cè)量系統(tǒng)等，這些資產(chǎn)通常具有系統(tǒng)構(gòu)成復(fù)雜、技術(shù)點(diǎn)眾多、編程環(huán)境專有等特點(diǎn)，比如工業(yè)機(jī)器人由控制系統(tǒng)、驅(qū)動(dòng)系統(tǒng)、執(zhí)行關(guān)節(jié)等組成，它是根據(jù)任務(wù)程序執(zhí)行相應(yīng)的制造任務(wù)，這些任務(wù)程序在控制系統(tǒng)中解析后分解為多個(gè)執(zhí)行步驟(例如，“向右移動(dòng)”、“鉗子打開”、“向下移動(dòng)”、“撿拾件”)來(lái)完成產(chǎn)品的對(duì)應(yīng)生產(chǎn)過(guò)程。每一個(gè)機(jī)器供應(yīng)商都有自己的專用語(yǔ)言來(lái)編寫任務(wù)程序，如ABB的Rapid、Comau的PDL2、Fanuc的Karel、川崎的AS、Kuka機(jī)器人語(yǔ)言(KRL)、三菱的Melfa Basic、安川的Inform。這些工業(yè)機(jī)器人編程語(yǔ)言(IRPLs)都是專有的，而且每種語(yǔ)言都有一套獨(dú)特的功能。

IRPLs非常強(qiáng)大，因?yàn)樗试S程序員編寫自動(dòng)化程序，也可以從網(wǎng)絡(luò)或文件讀寫數(shù)據(jù)，訪問(wèn)進(jìn)程內(nèi)存，執(zhí)行從網(wǎng)絡(luò)動(dòng)態(tài)下載的代碼等等。如果使用不當(dāng)，沒(méi)有安全意識(shí)，強(qiáng)大的編程功能可能非常危險(xiǎn)。比如可以編寫蠕蟲傳播程序，在網(wǎng)內(nèi)的機(jī)器人中進(jìn)行自我傳播。感染新機(jī)器人后，蠕蟲將開始掃描網(wǎng)絡(luò)以尋找其他潛在目標(biāo)，并利用網(wǎng)絡(luò)進(jìn)行傳播。該蠕蟲程序中包括了文件收集功能，獲取受感染機(jī)器人中的敏感數(shù)據(jù)及文件，下圖為蠕蟲惡意軟件的網(wǎng)絡(luò)掃描示例:

除此之外工業(yè)機(jī)器人中還存在諸多漏洞，比如目錄穿越漏洞，可使攻擊者能夠竊取記錄目標(biāo)機(jī)器人運(yùn)動(dòng)的日志文件，該日志文件包含諸如知識(shí)產(chǎn)權(quán)(如產(chǎn)品構(gòu)建方式)之類的敏感信息，然后，攻擊者可以訪問(wèn)其他目錄中的其他文件(包括身份驗(yàn)證機(jī)密的文件)，并使用這些文件最終訪問(wèn)控制系統(tǒng)。下圖為未經(jīng)驗(yàn)證確認(rèn)的連接訪問(wèn)機(jī)密文件示意。

以上僅是針對(duì)工業(yè)機(jī)器人系統(tǒng)舉例說(shuō)明在制造業(yè)中存在對(duì)復(fù)雜工業(yè)設(shè)備攻擊的可能性，其余的關(guān)鍵設(shè)備如數(shù)控機(jī)床系統(tǒng)、激光測(cè)量系統(tǒng)等均因?yàn)槠涔δ軓?qiáng)大與復(fù)雜性可能存在漏洞或者正常功能被惡意使用情況。

防護(hù)建議

以上分析針對(duì)制造業(yè)最常見(jiàn)的攻擊類型，制造廠商需要提前做出防護(hù)措施以應(yīng)對(duì)可能發(fā)生的攻擊。以下提出幾點(diǎn)建議：

• 加強(qiáng)員工的安全意識(shí)，組織相關(guān)培訓(xùn)教授員工如何識(shí)別網(wǎng)絡(luò)釣魚、如何防范等知識(shí)，并不定期進(jìn)行網(wǎng)絡(luò)釣魚測(cè)試。
• 引入設(shè)備供應(yīng)鏈安全性評(píng)估和管理機(jī)制。對(duì)于工廠日常使用的各種操作機(jī)臺(tái)、IOT設(shè)備，移動(dòng)設(shè)備，采購(gòu)或使用前自行或者尋找專業(yè)安全廠商協(xié)助評(píng)估安全性，嘗試和供應(yīng)商共同建設(shè)漏洞修復(fù)機(jī)制，設(shè)定產(chǎn)品安全準(zhǔn)入門檻。
• 對(duì)合作的上下游廠商進(jìn)行合規(guī)管控，從業(yè)務(wù)、數(shù)據(jù)、文件等多個(gè)維度建立不同的權(quán)限級(jí)別，并針對(duì)外部的網(wǎng)絡(luò)訪問(wèn)做詳細(xì)記錄以便溯源查詢。
• 積極梳理現(xiàn)有資產(chǎn)，根據(jù)重要度等指標(biāo)進(jìn)行分區(qū)分域，部署全網(wǎng)安全管理類產(chǎn)品，形成具備快速反應(yīng)能力的縱深型防御體系。優(yōu)秀的安全管理類產(chǎn)品可以通過(guò)監(jiān)測(cè)網(wǎng)絡(luò)流量等，及時(shí)發(fā)現(xiàn)病毒感染源并進(jìn)行隔離處理，有效阻斷病毒傳播。分區(qū)分域后也可避免勒索類軟件在全廠擴(kuò)散。
• 建立嚴(yán)格有效的數(shù)據(jù)備份方案，在本地、異地和私有云等處保存關(guān)鍵業(yè)務(wù)數(shù)據(jù)及文件，避免因勒索軟件感染關(guān)鍵文件而導(dǎo)致停產(chǎn)停工。
• 加強(qiáng)主機(jī)等端點(diǎn)安全防護(hù)能力。可以考慮部署合適的終端安全管理軟件，對(duì)不具備部署條件的機(jī)器，在做好兼容性測(cè)試的基礎(chǔ)上，盡可能的安裝系統(tǒng)補(bǔ)丁;如無(wú)需使用3389，445等敏感端口則盡量關(guān)閉。
• 對(duì)IOT設(shè)備進(jìn)行定期安全檢查，聯(lián)系廠家獲取最新版本固件實(shí)時(shí)更新，防止攻擊者利用已知漏洞發(fā)起攻擊。
• 對(duì)制造廠區(qū)內(nèi)的無(wú)線連接進(jìn)行管理，并定期更換密碼(使用強(qiáng)密碼)，管控私接AP，關(guān)閉不必要的打印機(jī)等設(shè)備的無(wú)線功能。
• 外部人員訪問(wèn)制造廠區(qū)內(nèi)網(wǎng)絡(luò)時(shí)，采用虛擬專用網(wǎng)或者其余加密連接方案，并做好行為記錄備案。
• 對(duì)數(shù)控機(jī)床、工業(yè)機(jī)器人等設(shè)備的程序文件做安全性掃描處理，確保程序文件不攜帶已知病毒。
• 如有可能需對(duì)數(shù)控機(jī)床、工業(yè)機(jī)器人等設(shè)備的程序做自動(dòng)或定期的源代碼審查，如發(fā)現(xiàn)異常函數(shù)使用及時(shí)反饋編程人員進(jìn)行修改、備案、記錄、分享經(jīng)驗(yàn)等。
• 建立與集成商公用的程序文件安全性審查庫(kù)，并建立準(zhǔn)入和身份驗(yàn)證機(jī)制，只有經(jīng)過(guò)認(rèn)證的編程人員才有權(quán)限讀取和存放編程程序。