对制造业的攻击可能会导致影响深远的供应链中断,包括制药公司、食品和饮料、汽车和医疗设备。这些垂直领域的业务中断可能会造成商品短缺,从而产生大规模影响,即使不是立即产生影响,也会随着时间的推移而产生影响。
自从2017年爆发的WannaCry勒索软件攻击开创了历史先河,过去5年时间网络敲诈勒索活动迅速蔓延,企业担忧也逐渐加剧,例如NotPetya、REvil、Conti、DarkSide 等团伙正在针对各个行业的机构实施精心策划、目的明确的攻击。特别是对于制造业而言,由于无法承受停机和中断风险,最终会支付赎金以减少对运营或向客户交付产品的干扰或许成为了制造商的无奈之选。根据Akamai最近的调查结果表明,全球最大的勒索软件团伙Conti发起的全球勒索软件攻击中有近30%以制造业为目标。其次是商业服务和零售行业,分别为 13.37% 和 11.14%。
虽然关于勒索软件的报道常常是大型公司,但勒索软件犯罪实施的是无差别攻击,各种规模的企业都可能成为他们的下一个目标。从Akamai最近发布的勒索软件攻击报告中,绝大多数Conti受害者是收入在1000 万美元至2.5 亿美元之间的企业。对于制造企业而言,需要进一步了解如今勒索软件的肆虐之路,以及如何在不断变化的威胁环境中部署多层次的安全防护策略,保护自身免受勒索软件困扰。
来势汹汹,制造企业面临勒索风险加剧
据估计,到2030年,亚太地区制造业每年可产生高达 6000 亿美元的额外制造业产出。这也是为何Akamai亚太及日本地区安全技术和战略总监Dean Houari认为制造业一直都被攻击者认为是最有价值的行业之一。就在今年3月,丰田汽车零部件供应商因受到了勒索软件攻击,从而导致系统瘫痪。受此影响,丰田在日本14家工厂总共28条生产线3月1日都暂停运营,汽车减产数量约为1.3万辆,这相当于丰田在日本单月产量的4%至5%。
勒索软件对制造业的攻击可能会导致影响深远的供应链中断,包括制药公司、食品和饮料、汽车和医疗设备。这些垂直领域的业务中断可能会造成商品短缺,从而产生大规模影响,而即使不是立即产生影响,也会随着时间的推移而产生影响。
可以看出一方面,生产企业最忌讳生产线停工,面对业务中断、生产损失、难以交付产品和开票的困境,企业往往需要耗费大量资金才能重回正轨。为了满足生产,制造需要大量的正常运行时间,任何导致停机的攻击都可能造成大量的成本。因此,他们可能更倾向于付钱给攻击者。
例如2019年,全球最大的铝制造商之一挪威海德鲁位于美国的工厂被勒索软件攻击,部分工厂停产数周,给公司带来9000万至1.1亿美元损失,远远超过保险公司赔付的360万美元。
另一方面,随着制造企业开始实施智能工厂并采用工业物联网 (IIoT),越来越多的机器正在联网到互联网。制造企业IT环境所面临的安全风险与威胁也加速向OT环境渗透,导致OT系统面临的安全风险与问题也与日俱增。
据德勤的一项调查显示,48%的受访制造商将包括网络安全在内的运营风险视为智能工厂计划的最大危险。许多制造公司发现与用于管理工业运营的控制系统相关的网络相关事件有所增加。这些系统的范围可以从可编程逻辑控制器和分布式控制系统到嵌入式系统和工业物联网设备。这些控制系统共同构成了允许设施运行的运营技术 (OT)。
值得一提的是,Akamai勒索软件攻击报告还指出与其他行业相比,制造业企业防范相对薄弱。制造设备在最初设计时考虑了效率和合规问题,但没有考虑网络安全和数据隐私风险。生产线和工业流程通常运行在操作系统或工业控制系统上,由于软件的年代久远,与当前的勒索病毒防范最佳实践不兼容,从而使其极易受到攻击。如果制造商不让设备离线以更新安全,那么就有可能被勒索软件攻击,导致产线瘫痪,但系统脱机维护可能会导致高昂成本或者旧系统出现问题。
报告解读,供应链风险首当其冲
从勒索软件攻击方式上可以看到,许多勒索病毒如LockerGoga、Maze和EKANS,都可以通过Windows活动目录对整个组织计算机域内的主机系统进行加密,攻击者因此通常也能够访问网络内的知识产权和敏感数据,新型病毒EKANS甚至已经具备破坏工控设备的能力。
对此,Akamai重点关注执行这些攻击的组织及其运作方式。勒索软件即服务 (RaaS) 团体已经成长为企业,其结构模仿了他们试图勒索的公司——客户服务代表、新员工培训等。Akamai 研究人员一直在分析和研究 RaaS 提供商,以揭示促成其成功的一些潜在机制。结果提供了关于攻击趋势、工具和必须遵循的缓解措施的全面报告。
图 Akamai勒索软件攻击报告中的行业攻击占比
例如Conti是世界上最多产的RaaS提供商之一,最近泄露的一份文件揭示了它的一些内部运作,其中针对制造业的重点发现包括:
• 制造业在Conti 受害者名单中名列前茅,凸显了供应链中断的风险。
• 关键基础设施占受害者总数的 16%。
• 13% 的商业服务强调供应链网络攻击的可能性。
• 受害者收入趋势表明,在中小型企业中,潜在的“金发姑娘”范围内的成功受害者可以支付巨额赎金,但安全实践尚未成熟。
• 攻击场景是多方面的和注重细节的,重点关注“手按键盘”的网络传播。
可以看出对于制造企业而言,由于勒索软件而导致供应链中断的可能性很大,关键基础设施的受害者数量众多,以及通过第三方的脆弱性进行供应链网络攻击的可能性。
由此可知,对制造业的攻击可能会导致影响深远的供应链中断,包括制药公司、食品和饮料、汽车和医疗设备。这些垂直领域的业务中断可能会造成商品短缺,从而产生大规模影响,即使不是立即产生影响,也会随着时间的推移而产生影响。在2017年对制药公司默克的勒索软件攻击中可以看到这种影响的一个小例子,这使得该公司需要从美国疾病控制和预防中心维持的库存中借用疫苗以满足需求。
策略部署,在不断变化的威胁环境中布局未来
从产业规模而言,我国现代工业规模为世界之最,具备完整的现代工业体系,因此在工业化、智能化建设中,中国工业更具后发优势。从需求而言,当智能制造、工业互联网已成为企业转型升级的重要平台与助推器,保障工业生产安全,加强勒索软件病毒防范迫切性的日趋凸显。
特别是对于众多制造企业来说,知识产权和产品创新是企业的核心竞争力,将直接关乎制造业企业的发展命脉和市场空间,所以一旦企业的这些核心机密信息失窃,对应企业在行业的核心竞争力就很可能在瞬间化为乌有。
对此,Akamai勒索软件攻击报告指出企业在TTP方面需要强有力的保护以防止横向移动及其在防御勒索软件方面的关键作用。此外,尽管TTP非常有效,有助于揭示其他团体常用的工具。研究这些 TTP 可以让安全团队深入了解攻击者的作案手法,以便更好地防范他们。最后,例如Conti强调黑客攻击和手动传播,而不是加密,这样促使制造企业在构建防护策略时需关注杀伤链的这些部分,而不是关注加密阶段。
正如国内疫情的体系化建设一样,制造企业不仅需要加强安全风险的发现、管理与动态处置能力的建设,还需要加强深度防御,及安全事件的关联分析与安全预警机制的建设,形成安全事件的快速反应、快速处置。毕竟在数字化转型持续加速的今天,勒索软件威胁的数量只会增加,遭受攻击对于企业而言不是一种可能,而是迟早的必然。