下一批网络安全漏洞受害者——工厂与车间

在大洋彼岸和中东地区，一个名为“Triton”的恶意软件渗透了一家装有安全关闭系统的工厂，该软件利用了一个以前从未被发现的漏洞，迫使工厂陷入停产[3]。

在另一个案例中，黑客利用3名员工的信息凭据和电子邮件账户进入了一家在线商店的公司网络，由此窃取了该公司1.45亿用户的个人信息和加密密码。在近230天的时间里，这个漏洞一直没有被检测出来[4]。

今年2月，美国联邦调查局(FBI)特工逮捕了一家美国制造工厂内一名心怀不满的前雇员，此人曾通过雇主网络的开放式VPN后门潜入公司网络，造成110万美元的巨大损失[5]。

鉴于媒体对安全漏洞的曝光频繁见诸报端，人们对于安全问题的心态已从“我没遇到过”转变为“不是可能会发生，而是何时会发生”。然而尽管媒体高度关注、网络攻击持续上升，但是各企业在主动实施安全战略方面的表现却不尽如人意。事实上，制造业已明显成为第三大易受攻击的行业，仅次于银行业和零售业[6]。电子、半导体和高科技制造业更加容易受到威胁，尤其是在“工业4.0”大潮促使这些行业将工厂生产与信息技术网络相连接的情况下。而这些工厂很可能正在使用老旧的机器和已经停止支持的SQL服务器，为其安全架构留下了巨大漏洞。

那么，为什么我们会在近期频繁看到媒体大肆宣传制造业发生的网络安全事件?又是什么促使这些黑客将目标和目标受害者从其他备受关注的行业转移到制造业?

让我们更深入地研究这些威胁案例，了解这些安全事件如何发生、为什么发生，以及制造商应怎样避免成为下一个网络安全受害者。

威胁案例1：安全性滞后于物联网发展

大多数终端用户物联网设备都设计得很轻薄，它们的处理能力有限，安全性几乎为零。就像智能冰箱和水族馆联网恒温器的例子一样，黑客们轻易就能利用这些物联网设备渗透进工厂网络内部。他们可以轻易地接管或控制支持IP的设备，提取数据或植入恶意代码，这些代码可以悄无声息地打开系统后门。

值得警惕的是，菜鸟水平的攻击者只要花25美元就能购买到委托网络黑客的服务。最近的研究报告表明，到2020年，家庭或商业用途连接设备的数量将从目前的84亿上升至500亿，连接设备或物联网激增意味着这一“预警”正在变成“警铃大作”[7]。

不幸的是，发现安全问题后，任何公司都几乎不可能从市场完全召回产品，也不可能通过事后固件升级或软件补丁彻底解决安全问题。解决安全性问题需要物联网用户与制造商的共同努力。下次再收到更新提示时，物联网消费者在按“提醒我”(Remind me later)或“强制退出”(Force quit)按钮前应该三思。同样地，制造商需要对安全问题采取积极的态度。例如，制造商可以使用云网络作为防御层，在终端用户设备和它的源服务器之间创建一个安全且经认证的连接，在不影响用户体验的情况下，阻止后门漏洞，同时确保完成补丁。

威胁案例2：工厂自动化成为勒索漏洞

对于制造业企业而言，最大的威胁是失去知识产权和工厂停产。虽然科技使制造商能够转型为智能工厂，但它也能成为致命弱点。例如，一个竞争对手或一位高水平雇员就可以轻松地扫描你的网络，找到下一个弱点，窃取你的新产品源代码。

根据被窃取的宝贵信息的类型，该公司很可能需要支付巨额赎金，然后保持沉默，或在上头条时蒙受重大声誉损失。事实是，制造商很少公开披露此类事件，这一趋势值得我们警醒——因为黑客投机分子会针对这些行业继续采用已经证明成功的攻击手法已经证明成功的攻击手法。截止2016年，仅在中国，中国国家漏洞数据库(CNVD)就记录了1036个工业控制系统漏洞[8]。行业调查还发现，高达40%的制造商没有正规的安全政策，而60%的受访者承认，他们没有适当的人员专门负责安全监控[9]。

威胁案例3：在“撞库”泛滥的当下，不要轻信任何人

我们一再听闻黑客侵入公司网络窃取客户数据库、定价单或直接拦截销售订单，甚至利用客户的合法凭据进行未经授权的电汇这样的事件发生。例如，在中间人攻击(man-in-the-middle attacks)中，攻击者主动窃听受害者之间的通信，然后模拟其中一方输入新信息。更令人担忧的是，30%的黑客攻击尚未被检测到[10]，在美国，检测到网络攻击的平均时间长达206天[11]，而在一些亚洲国家，这一数字更是令人吃惊地多达1.6年[12]!

“撞库”(credential abuse)导致的漏洞很少被发现的原因在于这种攻击的设计方式。不同于对相同账户进行多次登录尝试的“暴力破解”(brute force)攻击，“撞库”一般会利用已泄露的用户名和密码，因此只使用一个账户登录一次。更糟糕的是，普通用户往往在不同的网站和设备上使用相同的登录凭据，包括公司应用程序和社交媒体网站。

随着“撞库”攻击增多、攻击者受到财务利益驱动，制造商不应只装置单一硬件式的安全解决方案或执行基本安全检查，他们应该寻找一种多层次的安全方法，主动监测和阻止潜在威胁。

威胁案例4：间谍不仅来自外部，也存在于内部

近期，我们还发现了什么?你知道内部员工可能是第二大黑客吗?无论雇员是出于有意还是无意，包括心怀不满的前雇员，都可能是安全事故的源头(26%)。专业黑客和竞争对手(43%)通常是首要犯罪嫌疑人，而另一种不太受到怀疑的攻击者实际上是第三方用户，例如，供应链生态系统中的合作伙伴(19%)[13]。

为什么会存在这种情况?最主要的是，超过半数的员工承认自己曾使用公司的笔记本电脑进行个人活动，包括网上购物、下载电影或进行网上银行服务[14]。他们几乎没有意识到，黑客可能在偷偷监视他们，向他们的公司网络注入恶意代码。其次，认证和加密功能薄弱，对承包商和供应商的远程访问控制和密码管理不善，在公司防火墙和VPN中打开后门，导致数百万的经济损失。

随着制造商将云技术作为“工业4.0”的一部分，各企业应考虑采用一种结构性安全方法。实施健全的访问管理，保护你的数据，获得所有设备和用户的可见性，随时积极地评估风险。更重要的是，积极避免攻击!

不是可能会发生，而是何时会发生

以下是一个简短的问题清单，想要率先制定主动安全策略的制造商可以从这些正确的方向着手：

· 你最近何时曾对你的网络进行正式的安全评价和评估?

· 你如何、以及在何处处理、存储和分发知识产权和研发数据?

· 你如何管理生态系统中的承包商、远程员工和供应商的访问控制和密码?

请记住，当成为下一个网络安全攻击的目标时，制造业公司与其他行业的公司没有任何区别。

最后提醒：不是可能会发生，而是何时会发生。

关于作者

Anna Chan现任Akamai媒体事业部战略总监，负责市场趋势观察与分析，并透过客户应用案例，针对OTT/传播产业、游戏产业、高科技产业、物联网与社交媒体，研究企业如何利用云端解决方案提升公司获利与运营效率。

Anna拥有资深营销工作资历，在营销领域拥有超过20年的专业经验，擅长市场与渠道营销、刺激需求、产业营销、以及日本暨亚太地区公共关系事务，专精于营销策略拟定、规划与执行、发展并加速新客户开发与维护。

Anna曾服务过多家信息科技与网络安全公司以及初创企业，包括Infoblox、Cisco Systems、Juniper Networks、与NetScreen Technologies。

Anna擅长公开演讲，曾获邀至Akamai内部活动或国外产业活动发表演说。Anna拥有香港大学(University of Hong Kong)社会科学学位，主修商业及产业心理学，目前正在香港城市大学(City University of Hong Kong)进修，攻读博士学位课程。

[1] https://www.cnet.com/news/fridge-caught-sending-spam-emails-in-botnet-attack/

[2] https://thehackernews.com/2018/04/iot-hacking-thermometer.html

[3] https://www.reuters.com/article/us-schneider-cyber-attack/schneider-electric-says-bug-in-its-technology-exploited-in-hack-idUSKBN1F7228

[4] https://www.csoonline.com/article/2130877/data-breach/the-biggest-data-breaches-of-the-21st-century.html

[5] https://www.bleepingcomputer.com/news/security/revenge-hacks-cost-former-employee-34-months-in-prison-1-1-million-in-damages/

[6] https://ciso.economictimes.indiatimes.com/ciso-speak/rise-of-cyberattacks-on-manufacturing/2598

[7] https://www.huffingtonpost.com/entry/cisco-enterprises-are-leading-the-internet-of-things_us_59a41fcee4b0a62d0987b0c6

[8] https://www.opengovasia.com/articles/7544-report-by-china-cert-highlights-cybersecurity-risks-associated-with-iot-devices-and-networked-industrial-systems

[9] https://www.designnews.com/electronics-test/40-manufacturing-security-professionals-have-no-formal-security-strategy/115121990957373

[10] https://www.akamai.com/uk/en/solutions/bot-management-and-credential-stuffing.jsp

[11] https://www.itgovernanceusa.com/blog/how-long-does-it-take-to-detect-a-cyber-attack/

[12] https://ctee.com.tw/News/ViewCateNews.aspx?newsid=160699

[13] https://money.udn.com/money/story/5641/2782492

[14]https://www.careerbuilder.com/share/aboutus/pressreleasesdetail.aspx?sd=11%2F22%2F2016&id=pr978&ed=12%2F31%2F2016