1. 事件背景
豐田汽車公司3月1日暫停日本國内所有生産,包括14家工廠的28條生産線。原因是其國内供應商、零部件生産商小島沖壓工業公司遭到網絡攻擊。豐田釋出消息稱,日本國内所有工廠2日将恢複生産。日本工廠約占豐田汽車年産量1/3,日本國内所有工廠停工1天會延緩約1.3萬輛汽車的生産情況,相當于豐田日本國内月産能4%至5%。日本共同社報道稱,小島沖壓工業公司1日表示,已确認伺服器中毒并存在危險資訊,疑似感染具有強攻擊性的“勒索病毒”。該公司已報警,并向日本政府相關部門報告,目前正在加緊修複系統。
2. 事件分析
從事件本源來看,豐田汽車事件是一次典型的由上遊零部件供應商網絡安全問題,引發的供應鍊中斷,進而導緻生産業務中斷的業務生産事件。随着工業控制系統及其網絡産品內建度的不斷提升和供應鍊全球化大分工的不斷加深,網絡安全攻擊也由傳統的“目标型、直接型”單點或多點式攻擊,向産業鍊條式攻擊方向轉變。在網絡安全合規性以及網絡安全事件持續高發的高壓态勢下,大型裝備制造企業相對具有較好的網絡安全意識和安全專業人員,擁有一定的網絡安全基礎,網絡攻擊者想直接對其展開攻擊需耗費較大的資源成本,但由于工業裝備生産需要複雜的零部件供應體系支撐,且各供應廠商規模大小不同、安全能力不同、生産方式不同,進而使基于供應鍊的“間接”攻擊逐漸成為大型裝備制造企業面臨的主要業務和安全風險之一。
3. 規劃建議
面對日益複雜的工業控制系統網絡安全問題,需從企業自身安全防護、供應鍊安全、外部安全協作等三個方面開展規劃建設。
1) 企業自身安全防護:基于工控系統帶“洞”運作的常态,開展各項安全營運活動。
2) 供應鍊安全:通過制定供需雙方安全基本要求、制定供方行為準則,并持續對供應鍊進行風險評估,保障供應鍊完整性、可用性、可控性、安全性。
3) 第三方安全協作:與安全廠商以及政府部門加強聯系與協作,實作能力互補和安全責任共擔。
3.1. 企業自身安全防護
企業自身安全防護體系規劃和安全項目建設,可采用“立足自身需求、滿足行業合規、充分考慮未來”的原則,進行場景化方案分析制定,通過安全場景à安全分項à綜合內建à拓展應用等建設路線,實作符合自身管理和業務特點的工業安全管理與技術體系,并通過安全路線的持續更新,持續保持安全體系的先進性和可操作性。
以下,以本次事件中涉及的勒索病毒等惡意代碼安全防護場景為例,進行安全規劃與設計論述。
3.1.1. 勒索病毒傳播與攻擊路徑分析
目前勒索病毒典型傳播方式:
1) 利用安全漏洞傳播
2) 利用釣魚郵件傳播
3) 利用網站挂馬傳播
4) 利用移動媒體傳播
5) 利用軟體供應鍊傳播
6) 利用遠端桌面入侵傳播等。
其中,利用安全漏洞傳播、利用移動媒體傳播、利用軟體供應鍊傳播、利用遠端桌面傳播是目前工業網絡中勒索病毒的主要傳播手段。
目前勒索病毒典型攻擊階段:
1) 探測偵查階段
- 收集基礎資訊
- 攻擊入口
2) 攻擊入侵階段
- 部署攻擊資源
- 擷取通路權限
3) 病毒植入階段
- 植入惡意代碼
- 擴大感染範圍
4) 實施勒索階段
- 加密竊取資料
- 加載勒索資訊
3.1.2. 攻擊防護規劃建議
在充分了解勒索病毒傳播和攻擊路徑基礎上,在事前、事中、事後三個階段,對病毒進行免疫、發現、攔截和響應。
事前階段:實作對病毒傳播方式和傳播路徑的發現與攔截,并通過主動可信等技術實作正常病毒免疫。事前階段的核心目标是盡可能消除系統和管理脆弱性,攔截安全威脅,減少攻擊面,并做好網絡被攻擊後的應急處置預案管理工作。
事中階段:根據勒索病毒攻擊方式和傳播特點,加強安全監測,降低病毒駐留時間。事中階段的核心目标是最大程度降低攻擊在工業網絡中的駐留時間,快速應急響應,進而減少影響面。
事後階段:恢複系統業務,對攻擊事件進行複盤整理,并對安全體系進行優化。事後階段的核心目标是恢複業務系統,并對安全體系進行優化改善。
3.1.2.1. 事前:摸清家底、夯實基礎
- 進行工控系統資産摸查
摸清網絡架構、摸清資産資訊,實作“挂圖作戰”和精細化管理,并與病毒傳播和攻擊路徑結合分析,掌握傳播或攻擊風險點。
- 制定網絡安全應急預案
明确職責、分工、流程、措施以及安全保障資源等。
- 加強網絡安全管理
采用網絡隔離、通路控制、資産管理、漏洞排查、身份鑒别、軟體管理、供應鍊管理等措施加強網絡健壯性和縱深性,為攻擊發現和響應争取主動時間。
- 建立主動型、縱深型安全技術體系
充分考慮終端側、網絡側、服務側、中心側、裝置側等次元安全防護。
- 加強網絡安全意識教育訓練
通過安全教育訓練、定期演練、突發推演等方式,從思想和行動兩個方面入手,保障教育訓練的有效性。
- 做好資料備份工作
基于“三 二 一”原則,根據檔案或資料重要程度,進行分類分級分時存儲和備份,建構勒索防護的最後防線,并對敏感資料、關鍵資料進行加密保護。
“三二一”原則:
三:至少準備三份副本;
二:兩種不同形式,将資料備份在兩種不同的存儲類型,如伺服器/移動硬碟/雲端/CD光牒/錄音帶等;
一:至少一份異地(脫機)備份,勒索病毒将聯機的備份系統加密的事件發生的太多了。
3.1.2.2. 事中:持續監測、持續響應
- 實戰化持續監測
由“網絡比較安全、網絡不會被攻擊”的“性本善”網絡管理思路,向“網絡已經被攻陷、網絡一直被探測”的“性本惡”網絡管理思想轉變,加強網絡安全持續監測,縮短網絡攻擊發現時間,保持網絡安全實戰化營運。
- 隔離感染裝置
采用實體隔離、修改密碼等方式,對失陷裝置進行快速響應。
- 排查勒索病毒感染範圍
對攻擊造成的資訊洩露進行排查,通過“挂圖作戰”對攻擊影響範圍進行排查,同時對業務系統和資料備份影響進行詳細排查。
- 研判勒索攻擊事件
聯合服務機構對病毒種類、入侵手段進行研判,并保留原始日志和樣本。
3.1.2.3. 事後:安全加強、優化體系
- 利用備份資料進行恢複
根據攻擊影響評估,利用本地資料、異地資料或雲端資料對相關裝置進行資料恢複和業務恢複。
- 優化網絡安全管理體系
完善管理制度、更新應急方案并更新知識庫,防止同類事件再次發生。
3.2. 供應鍊安全
通過供應鍊安全保障工作,制定供需雙方安全基本要求、制定供方行為準則,并對供應鍊進行持續風險評估,保障供應鍊完整性、可用性、可控性、安全性。
完整性:保障供應鍊各環節中産品和服務及其所包含的元件、部件、元器件、資料等不被植入、篡改、替換和僞造。
保密性:保障供應鍊各環節中傳遞的關鍵資訊不被洩露給未授權者。
可用性:保障需方對供應鍊的使用。一方面,確定供應鍊按照與需方簽訂的協定能夠正常供應,不易被人為或自然因素中斷,即可供應性;另一方面,即使在供應鍊部分失效時,仍能保持連續供應且快速恢複到正常供應狀态的能力,即彈性。
可控性:保障需方對産品和服務或供應鍊的控制能力。
此次豐田事件的原因,即為網絡安全問題導緻的供應鍊可用性被破壞所導緻。為整體保障供應鍊安全,供應鍊安全建設應涵蓋以下四個方面:
(1) 産品和服務自身安全風險,以及被非法控制、幹擾和中斷運作的風險;
(2) 産品或關鍵部件在生産、測試、傳遞、技術支援、廢棄全生命周期過程中的供應鍊安全風險;
(3) 産品和服務提供者利用提供産品和服務的便利條件非法收集、存儲、處理、使用使用者相關資訊的風險;
(4) 産品和服務提供者利用使用者對産品和服務的依賴,損害網絡安全和使用者利益的風險。
通過供應鍊安全保障工作,加強工業網絡關鍵人員的安全管理,加強業務生産基礎設施各類産品、服務機構、人員的安全管理,評估系統生産、測試、傳遞、運維、廢棄等全生命周期過程中可能存在的安全風險,并采取相應的管控措施,切斷網絡威脅在供應鍊中的傳播途徑。同時,降低由于供應鍊完整性、可用性、可控性破壞帶來的生産連續性和生産安全性風險,有效保障工業業務安全、連續、可靠運作。
3.3. 外部安全協作
通過對過往工控安全事件應急響應的總結分析,并結合安全實踐,建立網絡安全協作模型,如下圖所示。
網絡安全協作模型
以勒索病毒等惡意軟體攻擊為例,網絡安全攻擊一般涉及惡意攻擊者(病毒作者、傳播管道),以及勒索病毒、受害者、安全組織、政府網信監管部門等五部分。惡意攻擊者基于利益、破壞及其他目的制作和傳播勒索病毒;受害者由于自身安全脆弱性或供應鍊受到勒索攻擊,導緻業務停産或系統破壞;安全組織通過安全分析和安全監測發現勒索病毒及其作者和傳播管道,并向監管機構和受害者提供解決方案和安全協助;政府網信監管部門對網絡攻擊行為進行打擊,并制定行業規範與政策。
受害者作為網絡攻擊中的目标對象和風險承擔者,存在業務損失和行業合規雙重壓力,需持續加強同安全組織和政府網信監管部門的安全協作,不斷提升自身安全防範能力和合規能力。
加強與監管機構協作,可在發生安全事件時及時與監管機構進行溝通,尋求監管機構的協助。并建立和工業網絡安全權威機構(如公安部門的計算機安全部門、政府的保密、機要部門)的聯系,及時報告資訊安全事件,取得指導和支援,規避由網絡安全事件導緻的法律與合規風險。加強與安全組織協作,在事前可實時擷取網絡安全情報,對網絡安全政策進行有效性驗證和調整,并通過安全教育訓練、應急演練等措施,保障安全措施的有效性。在事中可借助安全組織應急處置經驗,對安全事件進行快速處置,并對安全事件進行分析預判,降低安全事件影響面。在事後可對安全事件進行複盤分析和追蹤溯源,并對全網資産進行安全分析,防止同類事件的再次發生。
通過安全協作,實作各類安全資訊和監管資訊的快速流動,并将安全組織安全界面前移,解決目前安全組織"聽不見炮火聲"或"聲音滞後"等問題,共同促進網絡環境的安全、清朗、有序發展。
![vulnhub DC-4靶機實戰0X01 環境部署[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)