为了帮助制造企业更深刻地认识到信息安全与工控安全的必要性,本文以勒索病毒为切入点,探讨制造业为何成为勒索攻击首要目标,并从“管理制度建设”和“技术立体防护”两大方面入手,应对勒索病毒攻击。
引言
近年来,全球范围内工业领域安全风险不断涌现,工控漏洞数量逐年增长,安全事件频发高发,安全形势不容乐观。黑客采用的攻击方式多样,从搭载恶意软件的钓鱼邮件到分布式拒绝服务(DDoS)攻击等不一而足。例如,2022年1月21日,台湾地区电子产品制造公司台达电子(Delta Electronics)受到勒索软件攻击,导致台达电子1500台服务器和 12000 台计算机被攻击者加密,受影响设备占比约20.8%。此次攻击与Conti勒索软件团伙有关,攻击者要求支付赎金 1500 万美元。
如今,勒索病毒的攻击性越来越强,病毒种类不断升级,被迫支付的赎金也越来越高。如何有效保护企业最核心的数据资产,全面防范勒索病毒攻击等信息安全事件带来的侵害,已成为企业面临的重大挑战。为了帮助制造企业更深刻地认识到信息安全与工控安全的必要性,本文以勒索病毒为切入点,探讨制造业为何成为勒索攻击首要目标,并从“管理制度建设”和“技术立体防护”两大方面入手,应对勒索病毒攻击。
一、勒索病毒的产生
勒索病毒,是众多计算机病毒的一种新型病毒,它与传统病毒最大的区别在于:传统病毒攻击电脑中招之后,会删掉/拷贝电脑数据,或者直接击垮电脑使其无法开机,再者就是劫持中招电脑去攻击其他电脑;而勒索病毒主要以邮件、程序木马、网页挂马的形式,利用135、139、445、3389等端口进行传播,利用各种非对称加密算法对文件进行加密,受害者要想夺回电脑的控制权和加密的文件,会被要求缴纳赎金(一般是比特币)从而获得解密密钥。勒索病毒攻击发展历程并不长,最早被记录的勒索病毒在1989年——AIDS木马,这款木马的传输方式和加密手段包括支付赎金的方式都相对简单,且无特定目标。勒索病毒在30多年的发展过程中,经历了三个阶段,如图1所示:
图1 勒索病毒的演变
二、勒索病毒攻击迈入2.0时代
经过多年变种演进,勒索病毒开始产业化发展,迅速催生出完整的勒索产业链,专业的勒索家族团伙开始做大。同时,勒索病毒开始不讲武德,不再只是单纯的加密数据,而且还会在互联网上发布被盗数据,并呈现出新的发展趋势:
1.RaaS模式兴起
在勒索病毒2.0时代,RaaS模式兴起,低技术门槛傻瓜式操作正催生大量“低代码黑客”。随着越来越多的网络不法分子想要从勒索软件中分一杯羹,出现了所谓“创业型”的网络勒索发动者。这些“犯罪企业家”采取“勒索软件即服务”(ransomware-as-a-service,RaaS)的方式,与其他不法分子签订提供勒索软件的协议,直接收取费用或者从赎金中获得一定比例的分成。这些组织的存在以及RaaS 模式的发展大大降低了实施网络勒索的门槛,扩大了网络勒索软件的传播范围和负面影响。
表1 2021年活跃的勒索软件家族和攻击案例(数据来源:An CERT)
2.勒索病毒快速迭代
目前活跃在市面上的勒索攻击病毒种类繁多呈现“百花齐放”的局面,而且每个家族的勒索病毒也处于不断地更新变异之中。比如爆发于2017年的WannaCry,在全球范围蔓延的同时也迅速出现了新的变种——WannaCry 2.0,与之前版本不同的是,这个变种不能通过注册某个域名来关闭传播,因而传播速度变得更快。2021年,LockBit升级为2.0版本,加密数据的速度能达到373MB/s,在不到20分钟内便可以从受感染设备上盗取并加密100GB的数据,是普通勒索病毒加密速度的3倍以上。同年8月,全球IT咨询巨头埃森哲遭受来自LockBit团伙的攻击,LockBit勒索团队声称窃取了超过6TB的数据,并勒索5000万美元(约3.2亿人民币)赎金。2022年6月3日,全球制造业巨头公司富士康确认旗下一家生产工厂遭受到勒索软件攻击,勒索软件组织LockBit威胁要泄露窃取的数据,除非该公司在6月11日之前支付赎金。
3.多重勒索方式
近年来的案例表明,为了进一步给受害者施加压力,网络勒索攻击者越来越多地采用了“双重/多重勒索”的策略:在对相关文件进行加密锁定之前,先尽可能从中提取出对涉事组织机构最为敏感的信息,然后在“暗网”上发布一个“样本”,同时声称如果不支付赎金就公开更多信息,以此来威胁受害者。除了数据加密和窃取之外,网络勒索团伙还会威胁受害者,声称如果赎金谈判破裂,就将对相关组织机构的网络基础设施和网站发起DDoS攻击,从而进一步敲诈受害者。网络勒索软件团伙使用这些策略来迫使受害者更多、更快地支付赎金,尽管这种方法的有效性在一定程度上取决于被窃取数据的真实性、敏感性以及受害者自身的应对策略。
图2 勒索攻击演化为两种典型模式
三、制造业是勒索攻击的首要目标
整体来看,勒索团伙有两种分类方式,一种是按照技术能力进行分类,一种是按照攻击原则进行分类;勒索目标也可以分为两类,一种是按照企业/组织规模,一种是按照行业类型。攻击者和勒索目标的对应关系如下:
图3 攻击者与勒索目标对应关系
从IBM《X-Force 威胁情报指数2022》统计的数据来看,2021年,制造业成为遭受攻击最多的行业,金融和保险业则以小幅差距位列第二。智能制造时代,工业数据已经成为制造业企业的核心资产,其重要性不言而喻。不法分子显然也发现了这一点,因此纷纷逐利而来,令制造业成为全球受威胁最大的行业之一。
图4 2021 年与 2020 年前 10 大行业遭受的攻击率(资料来源:IBM Security X-Force)
1.制造业企业面对迅速恢复产能的巨大压力,更愿意付赎金
生产商最忌讳生产线停工,面对业务中断、生产损失、难以交付产品和开票的困境,企业往往需要耗费大量资金才能重回正轨。为了满足生产,制造需要大量的正常运行时间,任何导致停机的攻击都可能造成大量的成本。因此,他们可能更倾向于付钱给攻击者。例如,2019年,全球最大的铝制造商之一挪威海德鲁位于美国的工厂被勒索软件攻击,部分工厂停产数周,给公司带来9000万至1.1亿美元损失,远远超过保险公司赔付的360万美元。长远来看,一旦生产线遭攻击而停工,供应链面临中断,客户满意度会下降,进而使利润减少,股票价格下跌,甚至波及企业及机构的品牌信任度和声誉。
2.攻击者如果窃取了知识产权,就等同于抓住了制造业“命门”
许多勒索病毒如LockerGoga、Maze和EKANS,都可以通过Windows活动目录对整个组织计算机域内的主机系统进行加密,攻击者因此通常也能够访问网络内的知识产权和敏感数据,新型病毒EKANS甚至已经具备破坏工控设备的能力。如果攻击者利用勒索软件作为烟幕,进行旨在窃取知识产权的网络攻击,可能会对受害者造成极大的伤害,因为对于众多制造企业来说,知识产权将直接关乎制造业企业的发展命脉和市场空间,所以一旦企业的这些核心机密信息失窃,对应企业在行业的核心竞争力就很可能在瞬间化为乌有。
3.制造业企业勒索病毒防范相对薄弱
随着制造企业向工业4.0推进,面对勒索病毒攻击,与其他行业相比,制造业企业防范相对薄弱。2020年《华尔街日报》的一篇报告中指出,只有不到三分之二的制造商有网络安全项目,如图5所示。
图5 《华尔街日报》网络安全在线研究中心在2019年12月至2020年3月期间对389家企业的受访者进行了调查
事实上,制造设备在最初设计时考虑了效率和合规问题,没有考虑网络安全和数据隐私风险。生产线和工业流程通常运行在操作系统或工业控制系统上,由于软件的年代久远,与当前的勒索病毒防范最佳实践不兼容,从而使其极易受到攻击。如果制造商不让设备离线以更新安全,那么就有可能被勒索软件攻击,导致产线瘫痪,但系统脱机维护可能会导致高昂成本或者旧系统出现问题。
此外,制造业有着众多分散、小企业构成的复杂供应链,这通常会成为攻击者寻找薄弱环节的重要目标。随着制造强国战略全面推进,我国制造业领域的数字化、网络化、智能化水平加快提升,遭受勒索病毒攻击的形势也会愈发严峻,因此构建有效的勒索病毒防御体系迫在眉睫。
四、制造业如何应对勒索病毒攻击
当勒索病毒在“进化”,攻击团伙在“内卷”,这注定是一场没有硝烟的战役。但“未雨绸缪”,建设行之有效的勒索病毒防御体系,是企业及组织平稳快速发展的首选项,因此本文从“管理制度建设”和“技术立体防护”两大方面入手,同时解析面对勒索病毒的入侵,制造业企业应该如何快速响应自救。
1.管理制度建设
制造业可以通过管理手段达到事先防范勒索病毒攻击的目的。主要包括下图所示内容:
图6 管理制度建设
全面强化资产细粒度访问:工业制造企业在防勒索病毒攻击过程中,最重要的步骤之一是梳理现有资产,识别资产重要性进而准备可行的措施保护它们免受网络攻击。资产梳理一般借助安全工具对用户资产进行发现和识别,梳理的信息包含支撑业务系统运转的操作系统、数据库、中间件、应用系统的版本,类型,IP地址;应用开放协议和端口;应用系统管理方式、资产的重要性以及网络拓扑等等。重点关注工业主机资产,做好工业主机防护,增强资产可见性,细化资产访问控制。员工、合作伙伴和客户均以身份和访问管理为中心。通过外部的运维设备对系统进行登录权限的设定和控制。为了减少攻击的可能性,需在所有技术解决方案中采用多因素身份验证(MFA)。合理划分安全域,采取必要的微隔离,落实好最小权限原则。
加强系统安全管理:应建立系统安全管理制度,对系统安全策略、安全配置等做出具体规定,明确规定对于服务器、重要客户端操作系统,关闭不必要的服务,新安装服务器操作系统应满足最小化安装的原则,即最小服务配置,仅安装需要的组件和应用程序。若发现Windows操作系统中的445端口或其他关联端口为不必要的服务,应立即禁用该端口。每三到六个月对网络卫生习惯、威胁状况、业务连续性计划以及关键资产访问日志进行一次审核,并不断改善安全计划,及时了解风险,主动防御勒索软件攻击并减轻其影响。通过落实、严格执行此类系统安全管理制度,可以事先将勒索病毒所利用的攻击传播端口堵住,防止系统主机和重要客户端主机被感染,从而避免系统服务中断、重要数据丢失带来的巨大损失。
重要核心业务做好备份方案:当前威胁发展太快,任何工具都无法提供100%防护。因此,建议提前制定备份及恢复计划,针对业务类型选择合适的备份,核心数据尽量定期做好异地备份、离线备份,若不幸失陷,备份恢复能够将损失最小化。确定备份的范围和内容,并设定恢复时间目标(RTO)和恢复点(RPO)指标。关于备份覆盖范围,有两部分数据常常被忽视:终端设备和大数据系统。在终端设备,比如笔记本和台式机,常常存放着一些重要的记录和文档;而对大数据平台,很多企业已经将数据分析作为其生产运营的一部分,一旦数据丢失,信息重新生成将耗费大量时间。所以一定要保证备份数据的安全,包括多份拷贝、离线副本、防篡改和异地存放等,同时要设置合理的数据保留策略,以应对潜伏较长时间的勒索软件的攻击。在进行备份时,可以遵循如下“3-2-1”原则,将备份数据与实际运行环境隔离开。
·保留任何重要文件的 3个副本,包括一个主要文件和两个备份文件。
·将文件保留在 2 种不同的介质类型上。
·异地维护 1 份副本。
加强安全意识教育和培训:制造业在应对勒索病毒攻击时,拥有经验的专业安全人才对监控及运营工业控制系统起着至关重要的作用。人员是所有网络安全问题的基础,企业必须实施培训计划,使员工在发生内部或外部攻击时知道如何采取行动。同时,企业还必须增强安全意识教育,发展企业内的安全文化。其中“三不三要”已经是企业信息安全管理制度建设中老生常谈的问题,但依然有必要再次重申:
2.技术立体防护
从技术角度出发,对于层出不穷的病毒变种,使用单一的技术防护手段往往会成效不佳。一个完整立体的防护体系,可以大大增加对勒索病毒成功防范的概率。因此可以基于制造业的典型网络架构来建设立体防护体系。
图7 制造业的典型网络架构
1)日常防御
根据制造业的典型网络架构,在制造企业管理层与互联网边界处部署第二代防火墙,通过访问控制、入侵防御、病毒过滤、威胁可视化等功能对从互联网进入企业管理网的数据流量进行过滤,形成企业边界的第一道闸门;在管理层与执行层边界处部署工业互联防火墙,在访问控制、入侵防御、病毒过滤、威胁可视化等功能基础上结合对于工控协议深度解析,保证将网络攻击和异常流量阻挡在工业控制系统之外,形成工业控制系统的第二道闸门。在执行层和监控层之间加入防火墙,一方面提升了网络的区域划分,另一方面更重要的是只允许两个网络之间合法的数据交换,阻挡企业管理层对监视层的未经授权的非法访问,同时也防止管理层网络的病毒感染扩散到监视层网络。
同时,防止通过外设通道的入侵。在制造企业生产系统内部工控机/HMI上部署USB综合保护装置(UIG),避免USB存储介质与工控机/HMI直接接触,通过UIG内置病毒检测分析引擎预先对USB存储介质进行病毒预判,能够有效对新型的高级USB攻击如USB炸弹、BadUSB、LNK攻击、死亡蓝屏等进行防护。
针对数控机床、机械臂、工业机器人等工业现场设备,可以部署相应终端安全防护设备,抵御来自内外网与工业现场终端设备连接的一切风险,阻止非法入侵与攻击。对工业现场终端设备访问进行控制,明确访问的目的地址与源地址,防止非法访问。实现对上位机、工程师站、各系统服务器系统的安全加固,通过白名单机制构建安全基线,防止病毒木马、恶意软件对系统的破坏。
2)持续监测
想要在攻击者对业务系统造成最终损害之前及时制止,那么就必须对业务系统进行勒索入侵、感染、传播行为实时监测,及时发现威胁,提前响应。
在制造企业资源层和生产执行层部署网络威胁感知系统,抽取网络流量元数据,进行情报检测、异常检测、流量基因检测,通过多病毒检测引擎有效识别出病毒、木马等已知威胁;通过基因图谱检测技术检测勒索病毒变种;通过沙箱(Sandbox)行为检测技术发现未知威胁,及时感知勒索病毒的入侵行为;
在制造企业各车间(最小安全域)内部署工控安全监测与审计系统,基于对工业控制协议深度解析,对正常的生产通信行为进行建模,实时检测车间内部的针对工业协议的网络攻击、用户误操作、用户违规操作、非法设备接入,以及异常的网络流量和异常网络行为,及时感知勒索病毒的扩散;
在制造企业车间工控主机上部署工控主机卫士,实时对主机进行安全防护,可以通过细粒度的强制访问控制规则,保证关键系统文件和生产文件不被篡改,当发现勒索病毒等非法程序执行或非授权用户非法篡改主机文件时,能够立即阻断并进行告警,及时感知并阻断勒索病毒的执行。
3)快速响应
除了防御和检测,包括勒索病毒在内的所有网络威胁的预测、感知、响应机制的建立也不可或缺。
在制造企业生产系统中利用管理平台、态势感知构建安全管理中心,及时收集来自安全设备、网络设备、主机设备的相关日志,通过智能算法对事件进行关联分析和安全态势实时分析,结合威胁情报信息,及时感知企业内部可能面临的勒索病毒攻击行为,并及时提供应急策略、应急机制及应急处置方法建议。
在检测到勒索软件攻击之后,用户可以通过隔离勒索软件进程,来阻止其进一步传播。挖掘并隔离勒索软件攻击的来源可以有效遏制感染,从而减轻对数据的破坏。为了达到有效的结果,该过程必须是自动化的。很多攻击是趁管理员未监控 IT 环境间隙的数小时内发生的。因此,一旦发生勒索攻击,必须迅速做出反应以阻止病毒传播。安全策略规则和脚本必须作为主动保护的一部分放在适当的位置。在识别出感染后,自动化程序会通过删除可执行文件或扩展名来阻止攻击,并将受感染的文件与 IT环境的其他部分隔离开来。
总结
今天,我们不得不面对的一个事实是:各行各业正面临着越来越严重的网络威胁,由此带来的潜在风险和各项损失是巨大的。尤其是整个2021年,勒索攻击事件的增长趋势呈直线上升,而制造企业在安全防护上的脆弱使其成为网络黑客的重点攻击目标。虽然并不存在阻击勒索软件攻击者的所谓“灵丹妙药”,但防患于未然总比亡羊补牢所遭受的代价更小。企业需要重新审视传统网络安全和数据保护的思想、方法、技术和体系,才能构筑全面防护的主动安全体系。
参考文献
智能制造企业勒索病毒防护技术实践
https://mp.weixin.qq.com/s/V3gBkSzmk9JyFHxDbh_UYA
数据治理:强化数据分类分级、提高企业数据管理能力
https://mp.weixin.qq.com/s/oQMGCSAAaDUP7dPW9Ej4ng
无惧勒索病毒,建立“数据避风港”
https://mp.weixin.qq.com/s/M7SB991VNSXQDzhFVbYRDw
勒索攻击成“流行病”,企业如何接种安全“疫苗”?
https://mp.weixin.qq.com/s/w8DgizdkwyuPjq45GpRTSg