本文来自微信公众号“中国信息安全”,【作者】张格 孙娅苹 高莹莹 张哲宇,国家工业信息安全发展研究中心。
当前,我国新型工业化不断深入推进,新一代信息技术与制造业的深度融合加速发展,推动了制造业数字化转型的步伐。然而,网络安全风险也随之从虚拟网络空间向现实世界快速蔓延,全面渗透到工业研发、设计、生产、运行、管理、服务等各个环节和领域。制造业是国家经济命脉所系,是立国之本、强国之基,一旦遭受网络勒索等重大网络攻击,轻则可导致企业数据泄漏、设备运转异常,重则可能造成生产停摆、业务瘫痪,甚至引发安全事故。与此同时,随着全球网络空间战略博弈和对抗加剧,使得工业领域的网络勒索攻击事件频发,安全形势变得严峻复杂,引发了行业的广泛关注。因此,我们亟需深入剖析工业领域中网络勒索防范应对的问题和挑战,研究并谋划相应的防范应对思路和举措。同时,加快构建工业领域网络勒索攻击防范治理体系及其能力,以应对日益严峻的网络安全形势。
一、工业领域网络勒索攻击威胁态势严峻
当前,全球网络安全形势错综复杂,随着数字化转型加速推进,工业领域正面临日益严峻的网络勒索攻击威胁,勒索攻击事件层出不穷,且造成的攻击后果及影响严重。与此同时,网络勒索攻击技术手段仍在不断演进升级,向智能化、融合化、精准化转变,企业面临前所未有的安全挑战。
(一)工业领域已成网络勒索重灾区
近年来,网络勒索攻击事件频发且呈高发态势,已成为全球网络安全领域增长势头猛、破坏性强、处置难度高的网络攻击手段之一。勒索团伙通过针对企业信息基础设施或系统发起网络攻击,以加密数据、锁定系统等方式为要挟,进而索取高额赎金。据国际网络安全公司Rapid的统计数据,2023年全球仅公开披露的网络勒索攻击事件已超过5000起,较2022年增长近一倍。其中,制造业是受害最为严重的领域。
从受勒索对象来看,那些运营经济效益好、数据价值高、社会影响广的重点企业和关键信息基础设施已成为网络勒索攻击的焦点目标。以2024年上半年的数据为例,多个重要行业如半导体生产、汽车制造、钢铁和能源等的企业及设施遭受到了严重的网络勒索攻击。1月,全球能源管理和自动化巨头施耐德电气遭受Cactus勒索软件攻击,导致TB级机密数据泄漏。2月,能源公司瓦皮蒂、汽车制造商英菲尼迪、现代汽车欧洲公司相继遭受勒索攻击,导致生产业务受到影响。3月,世界钢铁巨头蒂森克虏伯因勒索攻击导致多个关键业务系统关闭,工厂停产。4月,芯片制造商安世半导体遭受勒索攻击,超过1TB的芯片设计研发高敏感数据被窃取,导致苹果、SpaceX等多家客户公司受到影响。同月,军工造船厂芬坎蒂尼集团下属公司也遭遇勒索攻击,导致数控机床停机数天,大量生产业务中断。5月,全球能源巨头壳牌再次遭受勒索攻击,导致该公司在美国、英国、澳大利亚、法国、加拿大和荷兰等多个国家的近8万名客户的敏感数据被勒索组织窃取。
从经济损失来看,勒索攻击不仅会造成赎金的支出损失,更可能引发包括敏感数据被窃取并公开售卖在内的多重勒索行为。此外,这类攻击还可能造成企业声誉受损、生产系统停摆以及业务中断等更为严重的后果。据区块链分析公司Chainalysis的调查结果显示,2023年勒索组织的赎金收益已接近4.5亿美元。以全球最大芯片代工企业台积电遭受勒索事件为例,单笔勒索赎金高达7000万美元,这还不包括因企业业务中断和系统修复等造成的其他经济损失。
从攻击影响来看,勒索攻击不仅可能对企业的正常生产业务造成巨大影响,还可能引发规模化的关键生产和生活物资供应中断,进而威胁到国家产业和战略资源安全,甚至可能威及国家安全。例如,2017年,黑客利用“永恒之蓝”漏洞发起的WannaCry勒索攻击事件,造成全球至少150个国家、30万名用户的Windows系统计算机受到感染,直接影响了金融、能源、医疗等多个行业的正常业务运行。2021年,美国最大的成品油管道运营商科洛尼尔管道运输公司遭到DarkSide勒索团伙攻击,导致其被迫关闭燃料管道运输系统,引发美国东海岸进入区域紧急状态。该事件影响了美国东海岸长达5500英里(约合8900公里)的管道,导致覆盖5000万客户的成品油供应中断,同时也对美国东部和南部沿岸的17个州以及华盛顿特区的汽油、柴油、航空煤油和其他成品油的供应造成影响,并引发国际油价的剧烈波动。在俄乌冲突中,CryWiper、WhisperGate等多个勒索组织选边站队,多个国家级黑客组织伪装成勒索团伙,对敌对国家的重要工业企业发动勒索攻击,实施对电力、油田、核电站、铁路系统等的重要数据恶意擦除和关键设施破坏等网络打击。
(二)网络勒索攻防能力不对称“鸿沟”日益扩大
勒索攻击的黑色产业链已经发展得相当成熟,攻击的门槛和成本大幅降低。以LockBit、BlackCat等为代表的勒索组织通过暗网和虚拟货币技术,对外公开出租或售卖勒索软件产品服务,并有偿共享攻击资源和技能。从病毒制作、传播、勒索激活到获利的黑产分销模式已经发展完善,即使攻击者不具备编码和网络渗透技术,只需购买勒索攻击服务,也能执行具有一定复杂度的勒索攻击。目前,市面上最便宜的勒索软件售价已低至20美元。
勒索攻击的潜伏隐藏能力日益增强,难以有效追踪溯源。在病毒制作、攻击植入、规模化感染到成功实施勒索的攻击全过程中,主流的勒索家族普遍采用攻击隐形、免杀和病毒反检测等技术,使得攻击的隐蔽性极强。同时,勒索软件大多使用比特币等高匿名、易变现、难追踪的全球化支付方式,现有的网络攻击追踪和溯源技术手段难以有效应对。
勒索攻击的手段迭代迅速、变种层出不穷,呈现智能化、融合化和精准化的特征。例如,GandCrab病毒仅在半年内就已出现六个变种,而LockBit勒索病毒已升级至新版本4.0,且3.0版本仍在迅速迭代和产生多个变种。这些因素往往导致企业现有的网络安全防护措施失效,防御难度急剧攀升。此外,勒索组织还会根据攻击目标及其所属行业的特点,结合漏洞利用、高级持续性威胁(APT)攻击、供应链攻击和人工智能手段等,实施多维度的定向精准打击,进一步加剧了攻防不对等的态势。
二、工业领域网络勒索攻击防范应对面临的问题挑战
当前,我国工业领域面临的网络勒索攻击威胁形势严峻复杂,防范和应对工作面临以下三方面的困难和挑战。
(一)企业网络勒索防范应对认知不足
工业企业“重发展、轻安全”的现象仍然普遍存在,网络安全建设总体上滞后于企业发展。据国家工业信息安全发展研究中心抽样调研数据显示,超过半数的工业企业对网络勒索防护措施和手段知之甚少,防御意识较为淡薄,存在“不知道有没有风险、不知道风险在哪”的问题。同时,工业企业的网络安全建设往往以事件驱动为主,采取“被动式”补救的应对方式。此外,工业企业在网络勒索攻击防御处置的机制策略和具体应对措施上缺乏明确的指导,实操性的勒索防范应对指引规范尚未普及。
(二)企业网络安全顽疾隐患短期难以根除
关键设备系统自主创新能力较弱。近年来,尽管我国持续强化工业自动化领域的技术创新,并且以中控技术、和利时等为代表的本土品牌迅速崛起,但总体来看,我国在工业控制系统、核心设备等关键设备系统方面的市场份额仍然较低,整体技术水平和市场地位与国际品牌相比仍存在一定差距。同时,国外主流控制设备供应商基本建立了覆盖硬件、固件、软件、协议等完整的垂直生态系统,而企业的安全分析及防护措施多采用“黑盒”、外挂等操作,这可能面临较大的安全风险隐患。
工业控制系统长期“带病带毒”。工业控制系统在设计之初主要考虑的是系统的实时性、可靠性和稳定性,而未充分考虑安全功能,导致工业控制设备、工业软件及工业协议等普遍缺乏身份认证、授权、加密等基础防护能力。同时,我国的工业设备及系统运行周期往往长达数十年,尤其是流程工业对业务连续性的要求极高,在非维修周期下,多数生产线无法中断,导致生产网下业务系统和设备无法进行补丁更新、漏洞修复等关键操作,即便发现了安全风险隐患,也难以及时有效地查处置,因此,“带病带毒”运行成为常态。
(三)工业勒索防御供给创新和协同保障不足
供给创新能力不足。现阶段,工业领域的勒索防御思路和技术发展仍基于传统网络安全模式,尚未形成具有创新性且符合工业特点的“量体裁衣”式安全防御机制。目前,工业领域的勒索检测识别、智能阻断、自动化处置恢复等关键技术尚不成熟,工业终端隔离、病毒跨域横移控制等能力较弱,难以适配当前勒索攻击严峻复杂的形势。
行业协同保障不足。企业在遭受网络勒索攻击后,出于保护企业声誉、形象和利益的考虑,往往倾向于“交钱了事”,并对外进行消息封锁,这使得工业企业难以寻求有效的处置资源和支持。以安全企业为代表的供给侧,在工业领域的网络安全产品和服务体系方面存在明显的同质化问题,产业界尚未形成合力。供需两侧缺乏有效的产业协作应对机制及合作沟通渠道和手段,难以满足技术和产业发展的需要。
三、加强工业领域网络勒索防御能力的对策建议
在新时期新形势下,我们要高度重视网络勒索防范工作,围绕标准规范、攻防演练、技术创新等方面,促进提升工业领域网络勒索攻击的防御应对能力,进一步完善企业网络安全防护手段,以高水平安全护航新型工业化的高质量发展。
一是建立勒索防护应对标准指引,提升安全防范意识。网络安全相关研究机构、行业企业等应持续跟踪勒索攻击态势情况和技术进展,加快研究制定符合工业领域实际需求的、可落地的勒索防护和能力评价等相关标准规范,强化实操性的工作引导。同时,结合政策宣贯、专题研讨培训等形式,强化工业企业网络勒索防护意识,提升勒索防范意识和应对处置技能。
二是深入开展安全攻防及应急演练,提升实战应对能力。相关部门、企业等应持续开展攻防演练活动,将网络勒索攻防应对作为演练的重要内容,检验企业对于网络勒索事件处置全周期全流程的工作机制,完善企业网络安全事件应急预案,加快提升行业在网络勒索攻击下的防御应对及处置恢复水平。
三是加快完善勒索攻击应对技术研究,提升产业供给水平。推动产学研用相关方联合开展网络勒索防范和应对技术研究,完善包括勒索攻击检测与事件研判、勒索病毒感染设备隔离、勒索病毒样本破解、备份数据恢复、隐患修复加固等相关环节的勒索事件应对处置技术能力。同时,结合典型工业场景,强化边界安全、流量监控、终端安全加固、移动介质管控及其高级威胁检测等能力的升级,梳理总结可落地的行业最佳实践,在重点行业企业进行示范应用和推广,协同提升工业领域勒索防范应对水平。
(本文刊登于《中国信息安全》杂志2024年第8期)