在5G+工業網際網路大會期間,工業控制系統安全國家地方聯合工程實驗室、奇安信行業安全中心共同釋出了《2022中國工業資料勒索形勢分析報告》(簡稱《報告》)。《報告》顯示, 資料勒索是工業網絡攻擊最大來源。
本報告中将因為勒索病毒攻擊導緻工業企業資料被加密、竊取等事件定義為工業資料勒索事件。《報告》顯示,擁有豐富資料、資料勒索損失巨大的工業企業生産系統成為被勒索攻擊的首要目标。
最近頻繁曝出針對大型工業企業的勒索事件,根據國家工信安全中心統計,2021年公開釋出的工業領域勒索事件比2020年增長約51.5%。資料勒索成為數量排名第一的工業網絡攻擊威脅源。
例如,2022年1-9月,奇安信集團安全服務中心共參與和處置了全國範圍内174起工業網絡安全應急響應事件,其中與工業資料勒索相關的安全事件72起,占到工業安全應急響應事件的41.4%。
圖檔來源看水印
據了解,弱密碼、曆史漏洞是導緻資料勒索的最大因素。《報告》資料顯示,在2022年1-9月工業資料勒索應急響應事件中,弱密碼是工業企業遭受資料勒索失陷的重要原因,占比55.6%;通過對2022年1-9月工業資料勒索安全事件攻擊類型進行分析,漏洞利用攻擊手段占比最高,達到43.1%。
其中,攻擊者通過盜取弱密碼賬号以橫向滲透獲得特權賬号,進而破壞或洩露重要資料資源,給資料安全管理帶來了很大挑戰。另外,在所有攻擊者利用的漏洞中,多以曆史漏洞為主,僅有少數是未公開的0day漏洞,曆史漏洞基本都是由于沒有及時更新、更新應用造成的。
圖檔來源看水印
《報告》資料還顯示,從2022年1-9月,工業企業遭受資料勒索攻擊産生的影響來看,攻擊者對系統的攻擊所産生的影響主要表現為資料丢失和系統/網絡不可用等。
與此同時,卡巴斯基近日釋出了《2023年ICS網絡威脅趨勢展望》,對2023年的網絡威脅趨勢進行的預測。
2022年,網絡安全事件層出不窮,給工業基礎設施所有者和營運商都帶來了不同程度的困擾。根據預測,未來的一年的形勢會更加複雜。在對2022年的各種網絡威脅事件進行分析評斷時,各種事件表明,目前已經邁入了一個新時代:地緣政治趨勢和相關的宏觀經濟因素會是影響工業企業和營運技術(OT)基礎設施陷入網絡威脅的主要影響因素。
其中,未來APT活動會主要針對代表實體經濟的以下行業的攻擊:農業、化肥、農業機械和食品的制造;物流和運輸(包括能源資源的運輸);能源部門、礦産資源的開采和加工、有色金屬和黑色金屬冶金、化學工業、造船、儀器和機床制造;高科技、制藥和醫療裝置生産商。而上述絕大多數行業都與工業制造業相關。
而且由于數字化程序加快,工業物聯網(IIoT)、數字孿生等數字技術在工業行業的應用落地,将導緻攻擊面大大增加。那麼,工業領域企業如何保護好資料安全?
首先,企業要通過資料分類分級識别敏感資料、重點資料。
由于工業企業應用場景豐富、業務環節複雜,産生了多樣複雜、體量龐大的工業資料。若是企業都無差别的投入人力物力去加強保護,既不現實也不科學。而資料分類分級是做好資料安全工作最基礎也是最重要的一項工作,更是一項工作量和實施難度都較大的工作,需要熟悉具體業務流程和資料使用的相關人員,按照标準規範進行科學分類、準确定級。
對于到底擁有哪些資料類型、哪些資料需要重點保護等,企業要做到“心中有數”,識别出重要資料和核心資料,形成資料目錄清單,真正掌握資料保護的重點對象有哪些、在哪兒、誰在用等情況。當資料分類分級尚未成為正常動作,才能對資料進行精細化安全管理和防護。
資料分級的方法與國内網絡安全等級保護定級、關鍵資訊基礎設施識别認定等相關思路一脈相承,都是從遭破壞後造成的最大後果影響來界定。
對于工業資料分級,尤其還要關注資料對各類生産業務、工業經濟、工業生産等方面造成的影響。例如,研發、生産、管理等各業務部門,應切實承擔各自産生和收集的資料安全保護責任,同時研發域、生産域、管理域等資料各自歸類,也能更好地實施分區分域和邊界防護。
其次,加強資料全生命周期安全防護。
在數字經濟、數字技術驅動下,工業企業資料的使用逐漸從内網中延伸向企業外網、雲平台等處流通應用,資料的流向、流動路徑、存儲位置、使用方式等都在發生新的變化,導緻資料違規傳輸、非授權通路、雲端資料大規模洩露等風險愈發嚴重。
與此同時,勒索攻擊、撞庫攻擊等專門針對資料層面的攻擊威脅愈演愈烈,資料非法收集、明文傳輸、惡意挖掘、濫采濫用、黑産交易、資料資産暴露等風險事件時有發生,因弱密碼、漏洞、SQL 注入等網絡安全問題導緻的資料安全風險廣泛存在。
是以,強化工業領域資料安全防護刻不容緩。例如,結合業務場景,積極建立完善資料安全風險監測、技術檢測等技術手段,開展針對性的工業領域資料安全監測預警、風險資訊報送等工作,加強事前防護;
重視提防外部竊取、攻擊等風險,避免被黑客入侵攻擊造成資料洩露等風險;
針對資料收集、存儲、傳輸、提供等全生命周期各環節面臨的風險隐患進行“對症下藥”,秉持“技管結合、動靜相宜、分級防護”的原則綜合施策,建立資料安全管理體系和防護政策。
對于工業領域資料,還應重點注意防護措施與其實時性、穩定性等需求相比對,與業務安全進行緊耦合,并充分平衡資料安全、網絡安全、功能安全、生産安全等關系。
再次,建構多方關聯的資料安全應急處置機制。
工業領域資料安全事件的應急處置,涉及主管部門、工業資料處理者、科研機構、安全企業等多個相關方,既需要建構主管部門與工業資料處理者的縱向應急管理機制,也需要建立各相關方橫向協同處置的工作機制,還需要形成從風險發現到研判分析再到響應處置的閉環流程體系。
例如,通過應急演練等方式,不斷提升企業資料安全事件應急處置能力,建立完善感覺快、研判快、處置快、消減快的工業企業資料安全事件快速反應體系,不斷強化資料安全事件應急隊伍的整體工作水準。
最後,由于政策向嚴,企業要做好資料安全評估。
如資料安全風險評估、出境評估、合規評估等,這一類評估工作往往會由主管部門組織制定評估制度和标準規範,明确評估要點。企業跟着政策走就可以了。
例如,企業按照行業監管要求,定期開展資料安全風險評估,做好風險隐患排查,加強整改和安全加強:
有工業領域重要資料和核心資料出境,應嚴格依法依規履行資料出境安全評估等責任和義務;
工業企業等工業資料處理者應積極主動開展資料安全治理能力評估、資料安全能力成熟度評估等工作,準确認識自身能力的短闆弱項,及時查漏補缺,不斷提升資料安全能力水準;
突出評估實效,建立完善“以評促防、以評促建”的長效工作機制,推動建構以資料為中心的安全防護體系,促進資料安全保護水準螺旋式上升。