概述

以制造業(yè)為核心的實體經(jīng)濟才是保持國家競爭力和經(jīng)濟健康發(fā)展的基礎，也正是由于世界各國對于這一理念的普遍認可，才有了德國的工業(yè)4.0戰(zhàn)略、美國的先進制造業(yè)國家戰(zhàn)略、印度的國家制造業(yè)政策等國家層面的戰(zhàn)略規(guī)劃，我國也提出了中國制造2025計劃，并將“以推動信息化和工業(yè)化深度融合為主線，大力發(fā)展智能制造，構建信息化條件下的產(chǎn)業(yè)生態(tài)體系和新型制造模式”作為戰(zhàn)略任務，來推進工業(yè)2.0、工業(yè)3.0和工業(yè)4.0并行發(fā)展。

在以上背景下，全球制造企業(yè)面臨的網(wǎng)絡風險也越來越大。昔日的“孤島運行”已不復存在，IT和OT邊界已經(jīng)消失，新技術的應用逐步將網(wǎng)絡的邊界變得模糊。大量工業(yè)物聯(lián)網(wǎng)設備的部署，在增加系統(tǒng)功能、提高生產(chǎn)效率的同時，也帶來了諸多漏洞，致使暴露的攻擊面逐步擴大。同時伴隨著勒索軟件的肆虐，各大制造廠商也遭受了不同程度的損失，就在2020年6月本田遭到Snake勒索軟件攻擊，被迫關停了在美國和土耳其的汽車工廠以及在印度和南美洲的摩托車生產(chǎn)工廠。

本文立足制造業(yè)，梳理總結針對制造業(yè)的常見攻擊類型，最終給出防護的建議。

網(wǎng)絡釣魚攻擊

網(wǎng)絡釣魚攻擊仍然是最受歡迎的網(wǎng)絡攻擊工具。為了進行更具有危害性的攻擊或者行動，通常需要打開進入目標企業(yè)的“大門”，一般情況下都使用釣魚郵件。比如在2016年，全球太陽能電池板制造商旭樂公司內一名員工收到了自稱是CEO的郵件，郵件中提及需要公司內部員工的詳細信息，該員工未鑒別真?zhèn)伪銓炔繂T工的詳細信息發(fā)送給這位CEO，可這個CEO卻是網(wǎng)絡犯罪分子，該員工也成了網(wǎng)絡釣魚攻擊的受害者，造成了公司機密信息的泄露，也許后續(xù)犯罪分子還會有更加瘋狂的滲透與攻擊行為。

類似于此的網(wǎng)絡釣魚攻擊也出現(xiàn)在2015年的烏克蘭停電事件中，黑客通過網(wǎng)絡釣魚郵件釋放BlackEnergy 3惡意軟件并在后續(xù)攻擊行為中成功取得電力公司工控網(wǎng)絡的登入權限，登入SCADA系統(tǒng)后，一個接一個的啟動斷路器截斷電力，同時啟用KillDisk惡意軟件刪除重要日志文件與主引導記錄，讓電廠員工無法快速恢復電力并進行后期的分析。同時黑客還進行了電話網(wǎng)絡的DDoS攻擊，讓客戶及其電廠員工之間難以溝通，因而不易了解狀況，找出對策重啟電力。釣魚郵件如下：

網(wǎng)絡釣魚攻擊的常見特征：

• 帶有惡意附件的郵件;
• 帶有與已知網(wǎng)站不同、拼寫錯誤的超鏈接;
• 引人入勝的標題或者內容;
• 異常的電子郵件發(fā)件人;
• 緊急的命令或者待辦事項類文件。

供應鏈攻擊

對于制造業(yè)而言，不是一個廠商就能完成成品的生產(chǎn)，必須依賴于不同廠商的零部件才能完成整個產(chǎn)品的生產(chǎn)和組裝，因此在制造過程中需要多個合作商協(xié)同共享才能實現(xiàn)高效運營，在這個過程中便引入了供應鏈攻擊的風險。

供應鏈攻擊是許多犯罪分子的攻擊手法，通過該類攻擊可竊取制造廠商的敏感數(shù)據(jù)、知識產(chǎn)權等。惡意攻擊者如果獲得了合作伙伴訪問制造廠商網(wǎng)絡的權限，通過該權限，犯罪分子就可以進入制造廠商的網(wǎng)絡，竊取敏感信息或數(shù)據(jù)、甚至是核心的工藝制造文件等，對公司將造成重大傷害。

除此之外制造廠商使用的外部軟件或者硬件存在安全風險，在設備及系統(tǒng)供應鏈上同樣存在被攻擊的可能性。大多數(shù)產(chǎn)品開發(fā)使用了公共開源或者閉源組件，但這些組件或多或少存在安全漏洞，將有缺陷的組件嵌入產(chǎn)品中，可能會導致更多的安全問題，例如2020年6月份暴露出的Ripple20漏洞，Ripple20漏洞存在于由Treck公司開發(fā)的TCP/IP協(xié)議棧中，在過去的20多年間，該協(xié)議棧已經(jīng)被廣泛使用并集成到無數(shù)企業(yè)和個人消費者設備中，該系列漏洞將影響全球數(shù)億個物聯(lián)網(wǎng)(IoT)和工業(yè)控制設備。

勒索軟件攻擊

勒索軟件是一種感染計算機服務器、臺式機、筆記本電腦、平板電腦和智能手機的惡意軟件，通過各種機制滲透，并經(jīng)常從一臺機器橫向擴散到另一臺機器。一旦感染系統(tǒng)，病毒會悄悄加密數(shù)據(jù)、視頻、文本等文件，然后向用戶索要贖金。敲詐勒索從數(shù)百到數(shù)千美元(通常以難以追蹤的加密貨幣如比特幣等形式)進行在線支付，然后換取恢復用戶鎖定文件所需的解密密鑰。勒索需求通常包括一系列的付款截止日期，每錯過一個截止日期都會提高贖金金額，并可能導致一些文件的破壞。如果受害者不付錢，攻擊者會丟棄解密密鑰，從而永久無法訪問數(shù)據(jù)。

2017年WannaCry爆發(fā)，汽車制造商被襲擊就是一個臭名昭著的勒索軟件攻擊的例子。該病毒感染了150多個國家，超過20萬臺的電腦。法國雷諾及其聯(lián)盟合作伙伴日產(chǎn)Nissan因其許多系統(tǒng)被攻擊癱瘓而被迫暫時停用歐洲的一些工廠。法國、斯洛文尼亞和羅馬尼亞的設施遭受重創(chuàng)，雷諾被迫暫時關閉了工業(yè)生產(chǎn)線。

制造廠商遭受到這種勒索軟件攻擊后，面臨著重大的損失，一方面被加密的文件通常為制造生產(chǎn)或者其他重要數(shù)據(jù)文件，缺失這類文件生產(chǎn)線將會被迫關停，而后面臨的是來自合作商的各種壓力及其經(jīng)濟損失;另一方面遭遇攻擊后無法恢復被感染的文件，通過查殺病毒或者安全防護、更換新的辦公設備的周期及其工作量是制造廠商無法接受的，因此制造廠商有時不得不支付贖金以期望快速恢復生產(chǎn)，步入正軌，而在這期間耽誤的工時及其生產(chǎn)任務又是一筆巨大的經(jīng)濟損失，因此該類攻擊是目前制造廠商最為懼怕的。

物聯(lián)網(wǎng)攻擊

隨著制造業(yè)智能化轉型的逐漸深入，物聯(lián)網(wǎng)在推動智能制造轉型過程中所扮演的角色正變得越來越重要。有了各種各樣的物聯(lián)網(wǎng)設備，制造廠商能夠更有效、更準確地優(yōu)化其生產(chǎn)工藝及流程。例如，公司正在使用放置在設備中的物聯(lián)網(wǎng)傳感器跟蹤資產(chǎn)、收集數(shù)據(jù)和執(zhí)行分析。這些傳感器監(jiān)測設備的各類運行參數(shù)及關鍵數(shù)據(jù)，以實現(xiàn)自動恢復，并縮短維修停機時間。

隨著制造工廠中各種類型物聯(lián)網(wǎng)設備的增加，無形中帶來了更多的安全風險，物聯(lián)網(wǎng)設備有聯(lián)網(wǎng)屬性，極易暴露在網(wǎng)絡環(huán)境中。制造廠商的物聯(lián)網(wǎng)、工控網(wǎng)、辦公網(wǎng)通常情況下未做有效隔離，通過物聯(lián)網(wǎng)設備的公開漏洞或者0Day即可滲透進入工控網(wǎng)，對生產(chǎn)的關鍵設備進行惡意攻擊，影響生產(chǎn)并造成停機、加工事故等事件。

有詳細報道物聯(lián)網(wǎng)設備攻擊的工控安全事件如下所述。在2008年8月5日，土耳其境內跨國石油管道發(fā)生爆炸，破壞了石油運輸管道，中斷了該管道的石油運輸。這條管道內安裝了探測器和攝像頭，然而在管道被破壞前，卻沒有收到任何報警信號，攝像頭也未能捕獲爆炸事件發(fā)生的畫面。后經(jīng)調查發(fā)現(xiàn)，引發(fā)事故的緣由是監(jiān)控攝像頭本身。黑客利用網(wǎng)絡攝像頭的軟件漏洞，攻入內部系統(tǒng)，并在一臺負責報警管理的電腦上安裝了一個惡意程序，然后滲透到管道操作控制系統(tǒng)，在不觸動警報的情況下加大管道內壓力，石油管道內的超高壓力導致了這次爆炸的發(fā)生，并且黑客刪除了長達60個小時的監(jiān)控錄像以“毀尸滅跡”，沒有留下任何線索。雖然該事件發(fā)生在油氣行業(yè)，但黑客的攻擊手法與使用技術往往可以被平移至其他行業(yè)，被黑客瞄準的制造企業(yè)極有可能發(fā)生制造產(chǎn)品不良率上升、加工關鍵設備損毀、員工傷亡等事件。

復雜工業(yè)設備攻擊

制造廠商的核心資產(chǎn)有別于其余行業(yè)，除了常見的PLC、HMI等設備外，還有特有的數(shù)控機床、工業(yè)機器人、光學測量系統(tǒng)等，這些資產(chǎn)通常具有系統(tǒng)構成復雜、技術點眾多、編程環(huán)境專有等特點，比如工業(yè)機器人由控制系統(tǒng)、驅動系統(tǒng)、執(zhí)行關節(jié)等組成，它是根據(jù)任務程序執(zhí)行相應的制造任務，這些任務程序在控制系統(tǒng)中解析后分解為多個執(zhí)行步驟(例如，“向右移動”、“鉗子打開”、“向下移動”、“撿拾件”)來完成產(chǎn)品的對應生產(chǎn)過程。每一個機器供應商都有自己的專用語言來編寫任務程序，如ABB的Rapid、Comau的PDL2、Fanuc的Karel、川崎的AS、Kuka機器人語言(KRL)、三菱的Melfa Basic、安川的Inform。這些工業(yè)機器人編程語言(IRPLs)都是專有的，而且每種語言都有一套獨特的功能。

IRPLs非常強大，因為它允許程序員編寫自動化程序，也可以從網(wǎng)絡或文件讀寫數(shù)據(jù)，訪問進程內存，執(zhí)行從網(wǎng)絡動態(tài)下載的代碼等等。如果使用不當，沒有安全意識，強大的編程功能可能非常危險。比如可以編寫蠕蟲傳播程序，在網(wǎng)內的機器人中進行自我傳播。感染新機器人后，蠕蟲將開始掃描網(wǎng)絡以尋找其他潛在目標，并利用網(wǎng)絡進行傳播。該蠕蟲程序中包括了文件收集功能，獲取受感染機器人中的敏感數(shù)據(jù)及文件，下圖為蠕蟲惡意軟件的網(wǎng)絡掃描示例:

除此之外工業(yè)機器人中還存在諸多漏洞，比如目錄穿越漏洞，可使攻擊者能夠竊取記錄目標機器人運動的日志文件，該日志文件包含諸如知識產(chǎn)權(如產(chǎn)品構建方式)之類的敏感信息，然后，攻擊者可以訪問其他目錄中的其他文件(包括身份驗證機密的文件)，并使用這些文件最終訪問控制系統(tǒng)。下圖為未經(jīng)驗證確認的連接訪問機密文件示意。

以上僅是針對工業(yè)機器人系統(tǒng)舉例說明在制造業(yè)中存在對復雜工業(yè)設備攻擊的可能性，其余的關鍵設備如數(shù)控機床系統(tǒng)、激光測量系統(tǒng)等均因為其功能強大與復雜性可能存在漏洞或者正常功能被惡意使用情況。

防護建議

以上分析針對制造業(yè)最常見的攻擊類型，制造廠商需要提前做出防護措施以應對可能發(fā)生的攻擊。以下提出幾點建議：

• 加強員工的安全意識，組織相關培訓教授員工如何識別網(wǎng)絡釣魚、如何防范等知識，并不定期進行網(wǎng)絡釣魚測試。
• 引入設備供應鏈安全性評估和管理機制。對于工廠日常使用的各種操作機臺、IOT設備，移動設備，采購或使用前自行或者尋找專業(yè)安全廠商協(xié)助評估安全性，嘗試和供應商共同建設漏洞修復機制，設定產(chǎn)品安全準入門檻。
• 對合作的上下游廠商進行合規(guī)管控，從業(yè)務、數(shù)據(jù)、文件等多個維度建立不同的權限級別，并針對外部的網(wǎng)絡訪問做詳細記錄以便溯源查詢。
• 積極梳理現(xiàn)有資產(chǎn)，根據(jù)重要度等指標進行分區(qū)分域，部署全網(wǎng)安全管理類產(chǎn)品，形成具備快速反應能力的縱深型防御體系。優(yōu)秀的安全管理類產(chǎn)品可以通過監(jiān)測網(wǎng)絡流量等，及時發(fā)現(xiàn)病毒感染源并進行隔離處理，有效阻斷病毒傳播。分區(qū)分域后也可避免勒索類軟件在全廠擴散。
• 建立嚴格有效的數(shù)據(jù)備份方案，在本地、異地和私有云等處保存關鍵業(yè)務數(shù)據(jù)及文件，避免因勒索軟件感染關鍵文件而導致停產(chǎn)停工。
• 加強主機等端點安全防護能力。可以考慮部署合適的終端安全管理軟件，對不具備部署條件的機器，在做好兼容性測試的基礎上，盡可能的安裝系統(tǒng)補丁;如無需使用3389，445等敏感端口則盡量關閉。
• 對IOT設備進行定期安全檢查，聯(lián)系廠家獲取最新版本固件實時更新，防止攻擊者利用已知漏洞發(fā)起攻擊。
• 對制造廠區(qū)內的無線連接進行管理，并定期更換密碼(使用強密碼)，管控私接AP，關閉不必要的打印機等設備的無線功能。
• 外部人員訪問制造廠區(qū)內網(wǎng)絡時，采用虛擬專用網(wǎng)或者其余加密連接方案，并做好行為記錄備案。
• 對數(shù)控機床、工業(yè)機器人等設備的程序文件做安全性掃描處理，確保程序文件不攜帶已知病毒。
• 如有可能需對數(shù)控機床、工業(yè)機器人等設備的程序做自動或定期的源代碼審查，如發(fā)現(xiàn)異常函數(shù)使用及時反饋編程人員進行修改、備案、記錄、分享經(jīng)驗等。
• 建立與集成商公用的程序文件安全性審查庫，并建立準入和身份驗證機制，只有經(jīng)過認證的編程人員才有權限讀取和存放編程程序。