【格物實驗室】製造業常見攻擊型別介紹

語言: CN / TW / HK
時間 2020-11-06 00:02:00

閱讀: 0

以製造業為核心的實體經濟才是保持國家競爭力和經濟健康發展的基礎,也正是由於世界各國對於這一理念的普遍認可,才有了德國的工業4.0戰略、美國的先進製造業國家戰略、印度的國家制造業政策等國家層面的戰略規劃,我國也提出了中國製造2025計劃,並將“以推動資訊化和工業化深度融合為主線,大力發展智慧製造,構建資訊化條件下的產業生態體系和新型製造模式”作為戰略任務,來推進工業2.0、工業3.0和工業4.0並行發展。

在以上背景下,全球製造企業面臨的網路風險也越來越大。昔日的“孤島執行”已不復存在,IT和OT邊界已經消失,新技術的應用逐步將網路的邊界變得模糊。大量工業物聯網裝置的部署,在增加系統功能、提高生產效率的同時,也帶來了諸多漏洞,致使暴露的攻擊面逐步擴大。同時伴隨著勒索軟體的肆虐,各大製造廠商也遭受了不同程度的損失,就在2020年6月本田遭到Snake勒索軟體攻擊,被迫關停了在美國和土耳其的汽車工廠以及在印度和南美洲的摩托車生產工廠。

本文立足製造業,梳理總結針對製造業的常見攻擊型別,最終給出防護的建議。

網路釣魚攻擊

網路釣魚攻擊仍然是最受歡迎的網路攻擊工具。為了進行更具有危害性的攻擊或者行動,通常需要開啟進入目標企業的“大門”,一般情況下都使用釣魚郵件。比如在2016年,全球太陽能電池板製造商旭樂公司內一名員工收到了自稱是CEO的郵件,郵件中提及需要公司內部員工的詳細資訊,該員工未鑑別真偽便將內部員工的詳細資訊傳送給這位CEO,可這個CEO卻是網路犯罪分子,該員工也成了網路釣魚攻擊的受害者,造成了公司機密資訊的洩露,也許後續犯罪分子還會有更加瘋狂的滲透與攻擊行為。

類似於此的網路釣魚攻擊也出現在2015年的烏克蘭停電事件中,黑客通過網路釣魚郵件釋放BlackEnergy 3惡意軟體並在後續攻擊行為中成功取得電力公司工控網路的登入許可權,登入SCADA系統後,一個接一個的啟動斷路器截斷電力,同時啟用KillDisk惡意軟體刪除重要日誌檔案與主引導記錄,讓電廠員工無法快速恢復電力並進行後期的分析。同時黑客還進行了電話網路的DDoS攻擊,讓客戶及其電廠員工之間難以溝通,因而不易瞭解狀況,找出對策重啟電力。釣魚郵件如下:

網路釣魚攻擊的常見特徵:

  • 帶有惡意附件的郵件;
  • 帶有與已知網站不同、拼寫錯誤的超連結;
  • 引人入勝的標題或者內容;
  • 異常的電子郵件發件人;
  • 緊急的命令或者待辦事項類檔案。

供應鏈攻擊

對於製造業而言,不是一個廠商就能完成成品的生產,必須依賴於不同廠商的零部件才能完成整個產品的生產和組裝,因此在製造過程中需要多個合作商協同共享才能實現高效運營,在這個過程中便引入了供應鏈攻擊的風險。

供應鏈攻擊是許多犯罪分子的攻擊手法,通過該類攻擊可竊取製造廠商的敏感資料、智慧財產權等。惡意攻擊者如果獲得了合作伙伴訪問製造廠商網路的許可權,通過該許可權,犯罪分子就可以進入製造廠商的網路,竊取敏感資訊或資料、甚至是核心的工藝製造檔案等,對公司將造成重大傷害。

除此之外製造廠商使用的外部軟體或者硬體存在安全風險,在裝置及系統供應鏈上同樣存在被攻擊的可能性。大多數產品開發使用了公共開源或者閉源元件,但這些元件或多或少存在安全漏洞,將有缺陷的元件嵌入產品中,可能會導致更多的安全問題,例如2020年6月份暴露出的Ripple20漏洞,Ripple20漏洞存在於由Treck公司開發的TCP/IP協議棧中,在過去的20多年間,該協議棧已經被廣泛使用並整合到無數企業和個人消費者裝置中,該系列漏洞將影響全球數億個物聯網(IoT)和工業控制裝置。

勒索軟體攻擊

勒索軟體是一種感染計算機伺服器、桌上型電腦、膝上型電腦、平板電腦和智慧手機的惡意軟體,通過各種機制滲透,並經常從一臺機器橫向擴散到另一臺機器。一旦感染系統,病毒會悄悄加密資料、視訊、文字等檔案,然後向用戶索要贖金。敲詐勒索從數百到數千美元(通常以難以追蹤的加密貨幣如比特幣等形式)進行線上支付,然後換取恢復使用者鎖定檔案所需的解密金鑰。勒索需求通常包括一系列的付款截止日期,每錯過一個截止日期都會提高贖金金額,並可能導致一些檔案的破壞。如果受害者不付錢,攻擊者會丟棄解密金鑰,從而永久無法訪問資料。

2017年WannaCry爆發,汽車製造商被襲擊就是一個臭名昭著的勒索軟體攻擊的例子。該病毒感染了150多個國家,超過20萬臺的電腦。法國雷諾及其聯盟合作伙伴日產Nissan因其許多系統被攻擊癱瘓而被迫暫時停用歐洲的一些工廠。法國、斯洛維尼亞和羅馬尼亞的設施遭受重創,雷諾被迫暫時關閉了工業生產線。

製造廠商遭受到這種勒索軟體攻擊後,面臨著重大的損失,一方面被加密的檔案通常為製造生產或者其他重要資料檔案,缺失這類檔案生產線將會被迫關停,而後面臨的是來自合作商的各種壓力及其經濟損失;另一方面遭遇攻擊後無法恢復被感染的檔案,通過查殺病毒或者安全防護、更換新的辦公裝置的週期及其工作量是製造廠商無法接受的,因此製造廠商有時不得不支付贖金以期望快速恢復生產,步入正軌,而在這期間耽誤的工時及其生產任務又是一筆巨大的經濟損失,因此該類攻擊是目前製造廠商最為懼怕的。

物聯網攻擊

隨著製造業智慧化轉型的逐漸深入,物聯網在推動智慧製造轉型過程中所扮演的角色正變得越來越重要。有了各種各樣的物聯網裝置,製造廠商能夠更有效、更準確地優化其生產工藝及流程。例如,公司正在使用放置在裝置中的物聯網感測器跟蹤資產、收集資料和執行分析。這些感測器監測裝置的各類執行引數及關鍵資料,以實現自動恢復,並縮短維修停機時間。

隨著製造工廠中各種型別物聯網裝置的增加,無形中帶來了更多的安全風險,物聯網裝置有聯網屬性,極易暴露在網路環境中。製造廠商的物聯網、工控網、辦公網通常情況下未做有效隔離,通過物聯網裝置的公開漏洞或者0Day即可滲透進入工控網,對生產的關鍵裝置進行惡意攻擊,影響生產並造成停機、加工事故等事件。

有詳細報道物聯網裝置攻擊的工控安全事件如下所述。在2008年8月5日,土耳其境內跨國石油管道發生爆炸,破壞了石油運輸管道,中斷了該管道的石油運輸。這條管道內安裝了探測器和攝像頭,然而在管道被破壞前,卻沒有收到任何報警訊號,攝像頭也未能捕獲爆炸事件發生的畫面。後經調查發現,引發事故的緣由是監控攝像頭本身。黑客利用網路攝像頭的軟體漏洞,攻入內部系統,並在一臺負責報警管理的電腦上安裝了一個惡意程式,然後滲透到管道操作控制系統,在不觸動警報的情況下加大管道內壓力,石油管道內的超高壓力導致了這次爆炸的發生,並且黑客刪除了長達60個小時的監控錄影以“毀屍滅跡”,沒有留下任何線索。雖然該事件發生在油氣行業,但黑客的攻擊手法與使用技術往往可以被平移至其他行業,被黑客瞄準的製造企業極有可能發生製造產品不良率上升、加工關鍵裝置損毀、員工傷亡等事件。

複雜工業裝置攻擊

製造廠商的核心資產有別於其餘行業,除了常見的PLC、HMI等裝置外,還有特有的數控機床、工業機器人、光學測量系統等,這些資產通常具有系統構成複雜、技術點眾多、程式設計環境專有等特點,比如工業機器人由控制系統、驅動系統、執行關節等組成,它是根據任務程式執行相應的製造任務,這些任務程式在控制系統中解析後分解為多個執行步驟(例如,“向右移動”、“鉗子開啟”、“向下移動”、“撿拾件”)來完成產品的對應生產過程。每一個機器供應商都有自己的專用語言來編寫任務程式,如ABB的Rapid、Comau的PDL2、Fanuc的Karel、川崎的AS、Kuka機器人語言(KRL)、三菱的Melfa Basic、安川的Inform。這些工業機器人程式語言(IRPLs)都是專有的,而且每種語言都有一套獨特的功能。

IRPLs非常強大,因為它允許程式設計師編寫自動化程式,也可以從網路或檔案讀寫資料,訪問程序記憶體,執行從網路動態下載的程式碼等等。如果使用不當,沒有安全意識,強大的程式設計功能可能非常危險。比如可以編寫蠕蟲傳播程式,在網內的機器人中進行自我傳播。感染新機器人後,蠕蟲將開始掃描網路以尋找其他潛在目標,並利用網路進行傳播。該蠕蟲程式中包括了檔案收集功能,獲取受感染機器人中的敏感資料及檔案,下圖為蠕蟲惡意軟體的網路掃描示例:

除此之外工業機器人中還存在諸多漏洞,比如目錄穿越漏洞,可使攻擊者能夠竊取記錄目標機器人運動的日誌檔案,該日誌檔案包含諸如智慧財產權(如產品構建方式)之類的敏感資訊,然後,攻擊者可以訪問其他目錄中的其他檔案(包括身份驗證機密的檔案),並使用這些檔案最終訪問控制系統。下圖為未經驗證確認的連線訪問機密檔案示意。

以上僅是針對工業機器人系統舉例說明在製造業中存在對複雜工業裝置攻擊的可能性,其餘的關鍵裝置如數控機床系統、鐳射測量系統等均因為其功能強大與複雜性可能存在漏洞或者正常功能被惡意使用情況。

防護建議

以上分析針對製造業最常見的攻擊型別,製造廠商需要提前做出防護措施以應對可能發生的攻擊。以下提出幾點建議:

  • 加強員工的安全意識,組織相關培訓教授員工如何識別網路釣魚、如何防範等知識,並不定期進行網路釣魚測試。
  • 引入裝置供應鏈安全性評估和管理機制。對於工廠日常使用的各種操作機臺、IOT裝置,移動裝置,採購或使用前自行或者尋找專業安全廠商協助評估安全性,嘗試和供應商共同建設漏洞修復機制,設定產品安全准入門檻。
  • 對合作的上下游廠商進行合規管控,從業務、資料、檔案等多個維度建立不同的許可權級別,並針對外部的網路訪問做詳細記錄以便溯源查詢。
  • 積極梳理現有資產,根據重要度等指標進行分割槽分域,部署全網安全管理類產品,形成具備快速反應能力的縱深型防禦體系。優秀的安全管理類產品可以通過監測網路流量等,及時發現病毒感染源並進行隔離處理,有效阻斷病毒傳播。分割槽分域後也可避免勒索類軟體在全廠擴散。
  • 建立嚴格有效的資料備份方案,在本地、異地和私有云等處儲存關鍵業務資料及檔案,避免因勒索軟體感染關鍵檔案而導致停產停工。
  • 加強主機等端點安全防護能力。可以考慮部署合適的終端安全管理軟體,對不具備部署條件的機器,在做好相容性測試的基礎上,儘可能的安裝系統補丁;如無需使用3389,445等敏感埠則儘量關閉。
  • 對IOT裝置進行定期安全檢查,聯絡廠家獲取最新版本韌體實時更新,防止攻擊者利用已知漏洞發起攻擊。
  • 對製造廠區內的無線連線進行管理,並定期更換密碼(使用強密碼),管控私接AP,關閉不必要的印表機等裝置的無線功能。
  • 外部人員訪問製造廠區內網路時,採用VPN或者其餘加密連線方案,並做好行為記錄備案。
  • 對數控機床、工業機器人等裝置的程式檔案做安全性掃描處理,確保程式檔案不攜帶已知病毒。
  • 如有可能需對數控機床、工業機器人等裝置的程式做自動或定期的原始碼審查,如發現異常函式使用及時反饋程式設計人員進行修改、備案、記錄、分享經驗等。
  • 建立與整合商公用的程式檔案安全性審查庫,並建立准入和身份驗證機制,只有經過認證的程式設計人員才有許可權讀取和存放程式設計程式。

參考連結:

https://www.executech.com/insight/top-5-manufacturing-cybersecurity-threats/

https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/unveiling-the-hidden-risks-of-industrial-automation-programming

https://www.trendmicro.com/vinfo/us/security/news/internet-of-things/threats-and-consequences-a-security-analysis-of-smart-manufacturing-systems