網路犯罪分子將注意力從消費者轉移到了更大更肥的是魚上——有錢、缺人、承受迅速恢復產能的巨大壓力的製造業公司。然而,許多製造商都沒有準備好與世界上最致命的惡意軟體作鬥爭,即使遭受攻擊,要麼輕描淡寫,要麼諱莫如深。
儘管勒索軟體通常會帶來巨大的成本,浪費時間和資源,給公司的聲譽和品牌帶來巨大的風險,並且會影響整個行業的看法,但是,隨著製造商向工業4.0過渡,面對網路威脅,他們比其他行業更準備不足。
比如,只有不到三分之二的製造商擁有網路安全計劃,但計劃位於部門響應計劃最底層。越來越多的製造業企業也沒有計劃投資於改進網路安全措施或資料保護工作,儘管自動化和物聯網裝置在工業環境中的實施正給管理帶來新的風險,也給駭客帶來更多攻擊機會。
長期以來,製造業一直是全球經濟的基礎部分,也是技術創新的領導者。在工業4.0為主導的世界中,製造商越來越多地採用機器人技術,人工智慧,機器學習和高階分析。在考慮工業4.0的當前和未來觀點時,人們的注意力需要逐漸轉向「連線一切」的未來意味著什麼。
在工業4.0的規劃過程中,解決安全問題不是後續任務, 而是第一要務。
撰文 | 吳昕
兩年前,挪威首都奧斯陸的一個晴朗的夜晚,哈爾沃·莫蘭(Halvor Molland)正在熟睡,電話在凌晨3點左右響了起來。莫蘭是全球最大鋁製造商之一挪威海德魯(Norsk Hydro)負責通訊事務的高階副總裁。
兩小時前,公司電腦突然開始加密檔案並集體離線,匈牙利分公司的一名工作人員意識到大事不妙。他按照預設的安保程式關閉整個公司網路,包括公司網站、電子郵件系統、工資單系統等,但為時已晚。
海德魯 500 臺伺服器和 2,700 臺個人電腦已經無法正常運轉,員工電腦的螢幕上閃現著勒索留言,示意受害者電子郵件聯絡解密工具價格。
「我的感覺是:你真的不相信,」莫蘭在最近的一次採訪中回憶說。「當時決定將整個網路關閉,因為某種程度上已經沒有什麼可以隔離的了。」
攻擊始於海德魯位於美國的工廠。在肯塔基州和德克薩斯州,公司都有鋁重熔設施,但位於賓夕法尼亞州克雷索納的最大鋁廠損失最為嚴重。這座工廠是美國政府在二戰期間為生產武器用鋁而建造的。
這家市值120億美元、全球擁有約200家工廠的巨頭供應中斷可能會引發全球鋁業恐慌,因為世界上只有少數公司能夠提供符合戴姆勒和福特汽車公司要求的產品,他們的客戶還包括特斯拉。
海德魯並沒有支付贖金。他們關閉了幾條自動化生產線,並將挪威、卡達和巴西等國家的工廠運營模式改為「手動」模式。由於目前大部分勒索病毒加密後的檔案都無法解密,海德魯面臨的艱鉅任務之一是人工找到具體訂單,並完成他們。
生產在大約一個月內恢復了正常。由於部分工廠停產數週,此次勒索軟體攻擊使公司不得不僱用3.5萬名員工、損失9000萬至1.1億美元,這個數字遠遠超過保險單賠付的 360萬美元。
這是挪威歷史上最嚴重的網路攻擊事件。諷刺的是,沒人知道是誰攻擊了海德魯,雖然種種跡象指向了一個有組織的東歐網路犯罪集團,但他們仍逍遙法外。
一 暗流湧動
不過,莫蘭和他的團隊做了一件非比尋常的事情:他們向公眾詳細講述了發生的事情,併發布了採訪影片。
但這只是孤例。許多製造商都沒有準備好與世界上最致命的惡意軟體作鬥爭,即使遭受攻擊,要麼輕描淡寫,要麼諱莫如深。
襲擊海德魯的勒索軟體 LockerGoga 是2019年1月新出現的病毒。造成海德魯關閉網路之後僅僅幾天,它又被發現疑似入侵另外兩家美國化學公司瀚森(Hexion Inc.)和邁圖(Momentive Performance Materials Inc.)。雖然邁圖承認遭遇勒索攻擊,公司不得不緊急更換數百臺計算機,但瀚森公司沒有披露任何襲擊細節。
幾乎在同一時期,遭遇勒索軟體襲擊的比利時飛機零部件製造巨頭ASCO已經停產一個多星期,而且還沒有結束的跡象。在公司努力恢復被惡意軟體攻擊凍結的關鍵系統的同時,近1000名員工被送回家休帶薪假。
ASCO是世界上最重要的飛機零部件和零部件設計供應商之一。該公司的客戶包括空客、波音、龐巴迪和洛克希德·馬丁。與海德魯不同,ASCO對此事件一直保持沉默。
製造商不斷出現在勒索軟體受害者清單中。德國腳踏車廠商Canyon 內部檔案遭勒索加密,訂單下達與交付被迫延遲;美國核武器承包商遭Maze勒索軟體攻擊,敏感資料被洩露;特斯拉、波音、SpaceX供應商Visser Precision拒付贖金,遭機密洩露。
最轟動的當屬本田集團遭受SNAKE勒索團伙攻擊,導致日本總部以外多國工廠生產停頓。與官方宣告輕描淡寫不同,外媒報導下的情況可謂慘烈:
「勒索軟體已經傳播到本田的整個網路,影響了本田的計算機伺服器、電子郵件以及其他內網功能,目前本田正在努力將影響降到最低,並恢復生產、銷售和開發活動的全部功能。」
IBM 2020年釋出的威脅情報稱,第一季度,勒索軟體攻擊在所有行業增長了25%,但針對製造業的攻擊增加了156%,是風險最高的行業。全球網路安全軟體公司趨勢科技(Trend Micro Incorporated)資料顯示,2020年第三季度有150家制造企業牽涉勒索軟體,多於任何其他行業。
2021年3月,製造商霍尼韋爾(Honeywell)成為最新一家在網路攻擊中受害的製造巨頭。這一事件也再次提醒世人制造業所面臨的威脅。
霍尼韋爾發言人斯科特·塞雷斯(Scott Sayres)在3月25日的一封電子郵件中表示,「惡意軟體入侵」對「我們的生產造成的影響微乎其微」。他拒絕詳細說明,也拒絕回答有關是否涉及勒索軟體的問題。
據兩名不願透露姓名的霍尼韋爾員工透露,儘管霍尼韋爾在3月23日發表宣告稱公司已「恢復服務」,但數天後公司仍存在揮之不去的IT困難。這些技術問題已經逐漸得到解決,包括連線到該公司的虛擬專用網路和內部資料共享驅動器的困難。
今年3月,趨勢科技委託獨立研究專家Vanson Bourne對美國,德國和日本的500名IT和OT專業人員進行的調查結果顯示,61%的製造商在其智慧工廠經歷過網路安全事件,75%的製造商因此遭受系統中斷,其中43%持續了4天以上。
外媒CyberScoop曾要求採訪十幾家歐洲和美國的製造商,據報導,這些製造商在過去兩年半的時間裡因勒索軟體事件而中斷了生產。幾乎所有公司要麼拒絕置評,要麼沒有回應,要麼表示截止發稿時無法聯絡到一位高管。
故事還在繼續,每天都有新的受害者。著名工業網路安全公司 Dragos 預測明年製造業面臨的威脅將繼續增加。
二 為何青睞製造業?
製造業已經成為勒索軟體匪幫的熱門目標。一個很重要的原因是成本與收益的巨大反差,畢竟也是一門生意。
勒索軟體作為一種勒索手段之所以能持續成功,部分原因在於它使用起來很容易。犯罪分子可以在暗網上購買和租賃各種勒索軟體產品,然後透過釣魚郵件和其他手段迅速、廉價地開始傳播這些產品。
這些勒索軟體即服務的功能包括24/7線上聊天,幫助獲取比特幣支付贖金,訪問支付服務,以及幫助犯罪經銷商監控其運營進度和利潤的控制檯。
低成本的另一邊是收益非常可觀。針對製造業的大多數攻擊都是出於經濟動機,包括錢和智慧財產權。生產商最忌諱生產線停工,面對業務中斷、生產損失、難以交付產品和開票的困境,企業往往需要耗費大量資金才能重回正軌。高昂成本迫使企業迅速支付贖金以恢復業務。
但這還不包括難以計算的隱形損失。莫蘭說,他並不後悔公開詳細說明勒索軟體給海德魯他的公司帶來多大的痛苦,因為,「它太大了,我們無論如何也掩蓋不了。」
2020年12月,McAfee最新調查報告 The Hidden Costs of Cybercrime 指出,對於大多陣列織來說,勒索攻擊事件發生後,平均需要安排8個人、耗時19 小時對IT系統或服務進行恢復補救。這不僅增加了被攻擊方的風險處理成本,還或因外部援助和風險保險等方面需求的激增,衍生出新的成本增長點。
比如,所謂新藍領問題。瑞士製造商邁耶·託布勒(Meier Tobler)遭到勒索軟體攻擊,導致該公司直接成本超過500萬美元,生產損失超過1060萬美元。對於一些員工(尤其是物流部門),只能安排帶薪休假;ASCO停產期間,近1000名員工被送回家休帶薪假;海德魯甚至新僱傭了大量勞動力。
長遠來看,業務中斷也通常會不同程度影響客戶體驗,波及企業及機構的品牌信任度和聲譽。
一次資料洩露可能會使製造商損失數年的專有資訊價值,並導致客戶信任度的永久喪失。這也是為什麼絕大多數製造業「肉票」會對惡意軟體入侵守口如瓶。他們擔心失去客戶,或者承認自己為了恢復資料而付錢給了犯罪分子。
2020年6月,美國國際資料管理公司Veritas Technologies最新調查研究顯示,44%的消費者表示會停止從遭受過勒索軟體攻擊的公司購買商品。
另外,一些製造業公司活動延伸到多個垂直行業,這也使得它們成為對手攻擊電力公用事業或製藥等行業的跳板;作為全球供應鏈的一部分,製造商也日益受到來自地緣政治衝突性質的網路風險挑戰。
可以預期,網路犯罪分子將繼續使用勒索軟體攻擊包括製造業,在這些部門中,停機會給利潤,股票價格,人命或政治聲譽帶來高昂成本。注意力從消費者轉移到了更大更肥的魚上:手頭有錢,而且承受著迅速恢復的巨大壓力的公司。
三 「肉票」為何破綻百出?
弔詭的是,「在網路安全方面,製造商很馬虎。」人工智慧平臺 C3.ai CEO Thomas Siebel 曾直言不諱地說。
隨著製造商向工業4.0過渡,面對網路威脅,他們比其他行業更準備不足。《華爾街日報》去年的一篇報告中指出,只有不到三分之二的製造商有網路安全專案,排名墊底。
此外,更大比例的製造業企業表示,它們不計劃在未來12個月的任何時候在重要領域實施改進。例如,63%的製造商目前沒有網路保險,37%的製造商在未來12個月內沒有購買網路保險的計劃。
網路安全培訓也不在製造商來年的計劃之內:22%的公司不打算實施員工培訓,26%的公司表示不會進行高管培訓。還有15%的人沒有計劃在明年識別出值得保護的關鍵資料。
事實上,現代化大型製造工廠也非常困難。許多設施使用的遺留裝置或工業物聯網(IoT)裝置,在最初設計時考慮了效率和合規問題,沒有考慮網路安全和資料隱私風險。生產線和工業流程通常執行在作業系統或工業控制系統上,由於軟體的年代久遠,這些系統不再接受安全更新。
比如,許多食品工廠中,用於執行機器的硬體和軟體多半是在1990年代和2000年代開發和實施的,尤其是食品加工和製造中常用的較舊的工業控制系統(ICS),這些舊系統的問題在於它們與當前的網路安全最佳實踐不相容,從而使其極易受到攻擊。
如果製造商不讓裝置離線以更新安全,那麼就有可能被勒索軟體攻擊,導致產線癱瘓,但系統離線維護可能會導致高昂成本或者對操作造成破壞。
而且,由於製造商每種設施在IT基礎架構,使用的系統和要保護的資料方面都是不同的,很複雜。也沒有統一方法可以在一夜之間確保每個製造工廠的安全。
從認知層面來看,目前許多製造業管理層對網路安全的認識不足,不願意將資源用於升級舊系統。當然,除了問題本身的負責和技術化,對人才的需求大於供給,也導致解決方案的昂貴。據估計,到2020年,全球安全專業人員缺口將高達200萬人。由於工業企業通常支付的薪水要低得多,因此,高階人才不太可能去OT公司尋求職業發展。
尤其值得注意的是,從企業規模來看,儘管媒體報導主要關注大型製造商的網路攻擊事件,但最常見的威脅來源是中小企業。由於小型企業通常沒有財力或人力資源來進行強大的網路評估和風險量化流程,安全防範往往落後於大公司。
上述《華爾街日報》報告顯示,在收入低於5,000萬美元的公司中,只有63%的公司有網路安全計劃,而在收入超過10億美元的公司中,有81%的公司有網路安全計劃。令人擔憂的是,15%的小公司沒有實施網路安全計劃。
問題在於,中小型企業缺乏網路安全防範可能會透過複雜供應鏈將風險傳導給其他企業。他們自己首先成了那塊最短的木桶板,可能被用作破壞客戶網路的跳板,就像2013年攻擊目標公司(Target Corp.)的事件一樣,駭客透過一家暖通空調供應商進入了該公司網路。
2020年初,安全專家曾調查針對歐洲、英國太空與國防業的系列攻擊活動時發現,攻擊組織直接使用供應商與合作伙伴之間的合法遠端連線或協作方案,繞過防護嚴密的邊界防護,成功進入攻擊目標的網路。
四 「綁匪」畫像
在製造企業所遭受的勒索攻擊中,有一點趨勢是清楚的:製造業依靠工控系統(ICS)實現規模化、功能化,並確保一致的質量控制和產品安全,但針對工業控制系統的攻擊越來越嚴重。
Dragos公司發現,過去兩年工控系統成為了攻擊者的重要目標,採用工控系統感知功能的勒索軟體顯著增加。
Ekans/Snake勒索軟體和 「最強」工控惡意軟體 Trisis 是兩個比較突出的「綁匪」代表。
2020年6月,Ekans勒索軟體針對本田的攻擊,導致其暫停美國和土耳其汽車工廠、以及印度和南美洲摩托車工廠的生產。這款勒索軟體旨在終止受害計算機上的64種不同軟體程式,包括許多特定於工業控制系統的軟體程式。
其中,針對擁有工業控制和SCADA系統組織的「目標運動」,這是前所未有的。它可以破壞用於監控基礎設施的軟體,例如石油公司的管道或工廠的機器人。這可能會帶來潛在的危險後果,例如阻止員工遠端監視或控制裝置的執行。
除了本田汽車,Ekans 攻擊目標已經覆蓋了能源(巴林石油、ENEL能源)、醫療裝置經銷等多個工業行業,打擊工業控制系統已成為其重要目的。
至於「最強」工控惡意軟體 Trisis,是首款專門針對安全儀表系統(SIS)的惡意軟體,也首款能遠端讓民用基礎設施進入不安全狀態的惡意軟體。
安全儀表系統作為硬體和軟體控制系統,其主要作用是保護核、油氣或製造等工廠的工業程式和裝置。SIS 是工廠企業自動控制中的重要組成部分。目前全球有為數不多的幾家公司在開發並管理 SIS 系統,包括但不限於艾默生(Emerson)、霍尼韋爾(Honeywell)和日本的橫河電機(Yokogawa)。
Trisis包含的指令可能導致生產中斷、或使 SIS 控制的機器在可能引發爆炸的不安全狀態下工作,對人類操作者的生命造成了巨大的威脅。2017年12月,Trisis背後駭客組織 XENOTIME 利用施耐德 Triconex安全儀表控制系統零日漏洞,攻擊中東一家石油天然氣工廠,差點造成工廠爆炸。
Dragos目前公開跟蹤了五個以製造業為攻擊目標的組織:CHRYSENE、PARISITE、MAGNALLIUM、WASSONITE和XENOTIME,以前或目前都試圖利用遠端訪問技術或登入基礎設施。不難發現,能源網路特別容易受到網路攻擊。
作為最早將機器人整合到裝配線的行業之一,製造業也將先進的自動化納入到行業中。特別是金屬和採礦業,技術和自動化是關鍵點。海德魯公司於2015年投資於自動化超聲波檢測系統,以精確掃描產品雜質,滿足運輸行業客戶的嚴格需求。如果沒有自動認證,汽車製造商將無法使用這些零部件。
然而,無論是聯網機器人、移動機器人、監控和資料採集(SCADA)系統甚至AI整合,雖然帶了了極大的效率提升,如果沒有在前端嵌入網路安全,這些都可能增加製造業的高階網路風險。
許多新型連線裝置已引入企業網路,但物聯網裝置的嵌入式作業系統並不是為輕鬆修補而設計的,這會造成普遍的網路風險問題。
受新冠疫情大流行和全球數字化程式加快的驅動,數以百萬計遠端辦公場景的快速激增一定程度上因網路開放度的提升和介面的增多,無形之中,又給勒索病毒造就了新的攻擊面。
五 工業4.0第一要務是安全
長期以來,製造業一直是全球經濟的基礎部分,也是技術創新的領導者。在工業4.0為主導的世界中,製造商越來越多地採用機器人技術,人工智慧,機器學習和高階分析。
在考慮工業4.0的當前和未來觀點時,人們的注意力需要逐漸轉向「連線一切」的未來意味著什麼。
除了轟轟烈烈的資料討論,安全也是在工業4.0過程中一個揮之不去的重要課題。對舊系統進行新工 業4.0應用改造可能增加安全風險, 舊系統並不適用於此種方式的連線。
與此同時,高度互聯的系統和供應鏈在產生巨大收益同時,企業也無法全面瞭解其風險暴露面和攻擊面的問題,尤其是在涉及其他互相連線系統、網路和供應鏈之時。
在工業4.0的規劃過程中,解決安全問題不是後續任務, 而是第一要務。
如今,Norsk Hydro正在開發一種AI工具,以檢測駭客試圖訪問其工業裝置的過程。該工具會尋找可能暗示駭客入侵的異常活動,例如裝置上頻繁更改密碼。然後,它將向Norsk Hydro的網路安全團隊觸發警報。
事實證明,機器學習和人工智慧在這一特定方面是有用的新技術,使端點防禦在識別和響應新的勒索軟體變體時更加敏捷和自適應。
自2015年以來,製造業一直是受網路安全攻擊最嚴重的五個行業之一。未來,製造業只會變得越來越重要。面對失去的贖金、丟失的資料甚至智慧財產權和各種巨大風險,再「龜毛的」製造商也不得不在妥協中推動第一要務的落地。
參考連結:
https://www.wsj.com/articles/the-industries-most-vulnerable-to-cyberattacksand-why-11592786160?
mod=searchresults&page=1&pos=
15https://www.mimecast.com/blog/why-manufacturers-are-under-prepared-for-cyber-resilience/
https://www.cyberscoop.com/honeywell-hack-ransomware-manufacturing-norsk-hydro/
https://resources.trendmicro.com/Industrial-Cybersecurity-WP.html