摘要
安全事件跟踪
丰田3.1停产事件
紧跟行业热点,融安网络作为专注于工业互联网安全的科技创新安全厂商,能够为制造企业的MES、PLC、SCADA、DCS等工控系统提供全生命周期的网络安全解决方案。最近跟踪了丰田安全事件。为了分析和展开容安网,提出以下几点,应重点关注行业内相关企业。为了应对日益严峻的网络安全形势,提出一些安全建议和对策,仅供参考。
事件回顾
丰田汽车公司在其官网宣布,因供应商小岛工业公司系统故障,决定于3月1日暂停14家日本工厂的28条生产线。
(截图:丰田汽车公司官网)
据媒体报道,丰田的原因停产是因为树脂零件供应商小岛康誉冲压工业有限公司出现系统故障,疑似受到网络攻击。此次停产预计将影响约1.3万辆汽车的生产,相当于丰田美国国内月生产能力。这也是丰田首次因供应商受到网络攻击而关闭所有工厂。3月2日上午,丰田恢复了日本所有工厂的运营。
事件扩展分析
工业控制系统一旦受到网络攻击,将会受到很大影响。安全生产是制造企业的生命线,工业控制系统的安全运行承担着制造企业的日常安全生产。在此次事件中,黑客利用勒索软件攻击破坏了丰田汽车公司的生产控制系统网络美国供应商和零部件制造商小岛康誉冲压工业有限公司,这导致了丰田给美国的生产企业带来了巨大的财务损失。是一起典型的工控系统被攻击破坏,影响企业日常安全生产的事件。因此,工业控制系统的安全保护极其重要。
在这一事件中,结合我们公司情报分析,此次事件中的勒索软件主要有WannaCry、GandCrab和Hive勒索软件等。
关于这次袭击的更多细节仍在调查中。虽然具体的攻击方式和路径还不完全清楚,但这是典型的供应链攻击。这已经不是丰田第一次遭受大规模网络攻击了。此前,丰田曾因供应链问题多次停产。
汽车制造业是典型的离散制造业,供应商关系管理是业务流程中的关键节点,是链接制造业的核心业务。一旦受到网络攻击,将严重影响正常业务的开展。下图显示了汽车行业的典型业务流程。
图一。汽车行业典型业务流程
从上图可以看出,供应商是汽车生产业务的源头,也是汽车制造过程中质量控制和追溯的源头。因此,如果供应商出现质量或供应问题,将对汽车制造商产生全身性后果。在企业数字化转型过程中,网络安全建设尤为重要。
不管这次供应链事件的起因是什么,种种问题都会指向丰田自己的供应商在目前的生产模式下,网络安全生产管理水平还处于较低水平。
不难推测,丰田会在日常考核中跟进或纳入供应链厂商的网络安全建设、防护水平和应急响应水平,以增强对抗网络安全风险的能力,确保生产流程持续稳定。只有提高整体供应商美国的网络安全水平提高到一个更高的水平,才能有效应对未来可能的网络攻击或破坏。
目前,结合对这一事件的分析,生产企业应重点关注以下几点:
1)制造企业受到新型勒索软件攻击。
近年来,勒索软件的攻击方式呈现多样化,传统勒索软件的攻击方式也将演变为基于泄露信息的数据勒索、双重勒索到多重勒索,甚至是两者的结合
例如,在此次事件中,黑客利用勒索软件和供应链攻击相结合的方式,破坏了丰田汽车公司的供应商石马冲压工业有限公司的生产系统网络,导致丰田汽车公司的日常生产经营陷入停滞,从而达到敲诈勒索的目的。
2)警惕双重勒索
"双重勒索意味着黑客会先窃取制造企业生产系统的机密数据,然后再加密。如果被攻击的企业拒绝支付赎金,黑客就会泄露企业的敏感生产系统数据。这种方法也被称为勒索软件2.0 。
"双重勒索使得企业不仅要面对生产系统的停滞和破坏性的数据泄露,还要面对相关法律法规、财务和声誉的影响,间接增加了被攻击企业满足黑客非法要求的压力。
3)精心设计的APT攻击
根据情报分析,这起安全事件将是由黑客对制造业的工业控制系统进行精心设计的APT攻击引起的,这使得小岛康誉冲压工业公司难以在短时间内恢复正常生产。
APT攻击,又称高级可持续威胁攻击,是指黑客组织对特定对象进行持续有效的攻击活动,具有高度的隐蔽性和针对性。在APT攻击过程中,可能会经历多个阶段的尝试,最终达到预期的目的,比如通过初始接入打开进入企业的入口,通过横向移动移动到目标主机,通过指挥控制不断控制目标,最后窃取数据或造成影响。以下是APT攻击的流程图。
图二。APT攻击过程
在整个过程中,初始接入点、命令和控制以及受影响的主机可能是不同的主机。因此,很难查明攻击者是何时以何种方式侵入公司的在短时间内,甚至在时间的推移后,最初的入侵痕迹可能会被完全删除。因此,针对制造业企业生产系统网络的APT攻击防护应该提上企业日常网络安全工作日程。
4)迫切需要深入研究供应链网络的安全问题。
为降低和消除勒索病毒攻击的影响,应启动应急预案,紧急全面开展供应链安全的安全检查,终止供应链网络服务的接入,彻查此次勒索病毒攻击的原因,全面梳理供应链存在的安全问题和隐患,立即进行安全整改和加固,提升供应链和企业自身的整体网络安全防护水平。
"五步法用于安全应急响应
那么,企业应该如何应对供应链中的工业安全事件呢?作为专注于工业互联网安全的科技创新安全厂商,融安网络建议,在应急响应方面,应严格遵循相关法律法规和标准的要求,如网络安全法、等级保护等。并通过确认-抑制-根除-恢复-追踪。
制造企业应结合《中华人民共和国网络安全法》、等级保护标准、工业互联网企业网络安全分类与分级指南等监管标准和规范性文件,加强企业工业控制系统网络安全应急管理,建立应急技术储备,完善应急预案,定期开展工业控制系统网络安全应急演练。鉴于此次事件,如果制造业企业感染了勒索病毒攻击,应根据应急预案采取以下措施进行应急响应,如下图所示:
图3应急响应阶段循环图
确认(现场保护)
提取现场证据、抓取网络流量数据、重启操作系统和应用系统、停止无关系统服务、删除或禁用系统冗余无关账号、开启系统防火墙功能封堵高危端口、使用杀毒工具快速扫描。
抑制(隔离和报告)
断开th
激活备用系统,联系系统设计单位,评估通过添加新服务器和工作站来替换故障服务器来重新部署系统应用程序的可行性和时间。安装最新版本的操作系统和应用软件,安装最新的系统补丁和软件补丁,启用操作系统防火墙,启用安全加固策略,关闭高危端口,安装杀毒软件进行查杀,部署相应的系统应用。
根除(可追溯性和分析)
并记录和提取重要数据,找出系统网络拓扑图和资产清单(现有系统网络拓扑图和资产清单),抓取现有网络数据流,进行全面调查分析。并分析各种勒索病毒感染后的特征,确认具体的勒索病毒类型,结合勒索病毒解密库的资源寻找解密工具。
恢复(处置和恢复)
格式化被病毒感染的服务器和终端,彻底清除恶意代码;重装操作系统和业务应用系统,加固操作系统,整改和加固现有网络,增加网络监控和保护的技术措施;部署业务应用程序和恢复系统功能。
跟踪(持续监控)
定期更新应用程序或系统补丁,完善备份系统和应急预案建设,加强人员安全培训,优化内部管理流程,完善网络安全管理制度,加强网络安全应急演练,开展等级保护备案和评估。
为企业生产控制系统构建全面的安全防护体系。
受此次安全事件影响,后续行业应如何加强网络安全建设,以应对日益严峻的安全形势?融安网建议,从工控系统规范、技术支持、安全监管等方面构建企业生产控制系统的安全防护体系。从而全面提高用户的水平网络安全建设和实现稳定、健康和可持续发展工业控制网络的安全运行,从而保障企业生产控制系统的网络安全,防止其受到勒索病毒的攻击和破坏。
(一)工业控制系统系统规范
实施汽车制造业工业控制网络安全标准体系。根据等级保护2.0标准,结合《工业控制系统安全防护指南》、《工业互联网企业网络安全分类分级管理指南》、《网络安全分类分级防护系统规范》等国家和行业标准规范的要求,融安网络建议业主提供汽车制造行业工控系统网络安全标准规范设计服务,执行汽车制造行业工控系统网络安全标准规范细则。
加强人员安全培训和认证服务。建议用人单位加强工控网络安全知识的宣传和教育,促进管理者的教育安全意识和恶意代码防护技能,促进管理者的提高安全意识和技能。结合培训和人员认证,安全管理人员可以持证上岗降低和消除人员管理不当带来的勒索病毒攻击的安全风险。
加强工业控制网络安全攻防实验环境。建议用人单位加强汽车制造业工业控制系统网络安全实验平台环境,搭建工业控制网络安全攻防实验平台环境,模拟冲压、焊接、涂装、总装车间工业控制系统网络,通过实验环境提供实际操作和安全演示,提高企业人员的安全意识和技术防护水平美国工业控制网络。
(2)加强工业控制系统的技术支持。
提高工业控制网络安全的技术服务。建议业主建立工控网络安全技术服务体系,咨询并委托专业厂商提供相应的保险咨询、se
加强企业生产系统安全监管平台建设,建立包括恶意代码监控、网络监控、安全事件预警在内的统一监管平台,整体防御勒索病毒攻击。在监理单位网络中心建立工控网络安全监控平台,在下属企业或生产车间内部网络部署数据采集设备,建立专用工控网络监控网络,可以实现网络安全数据信息采集,及时掌控整体工控安全态势,及时预警和追溯企业安全事件等。最终实现业主单位企业生产系统的安全运行,降低被勒索软件攻击破坏的风险,实现安全生产。
