【編者按】制造業面臨的網絡風險在逐年增加，主要表現為影響工業過程的破壞性網絡攻擊、信息收集和過程信息竊取以及針對工業控制系統（ICS）的新型攻擊。以網絡攻擊為驅動的制造業生產過程破壞越來越普遍。近日工業網絡安全公司Dragos發布了《制造業網絡威脅展望》，詳細梳理了造成信息收集和處理信息竊取的入侵行為，以及針對工業控制系統（ICS）和工業物聯網（IIoT）設備的攻擊；針對制造組織的ICS威脅最新觀察結果及詳盡的分析，并提出了實用的防御建議。

　　一、主要發現

　　制造業面臨的網絡風險正在增加，主要原因是破壞性的網絡攻擊影響工業過程，入侵導致信息收集和過程信息盜竊，以及針對工業控制系統（ICS）的新活動。Dragos目前公開跟蹤了五個以制造業為攻擊目標的組織：CHRYSENE、PARISITE、MAGNALLIUM、WASSONITE和XENOTIME，以及各種能夠實施破壞的勒索軟件活動。

　　制造業依靠ICS來實現規模化、功能化，并確保一致的質量控制和產品安全。制造行業作為國家關鍵基礎設施，生產關鍵材料、制成品和藥品，是事關國計民生的重要領域。由于設施和操作的相互關聯性，對制造行業的攻擊可能會對整個供應鏈產生連鎖反應，而供應鏈依賴于及時和精確的生產來保障產品、健康和安全以及國家安全。

　　勒索軟件運營商正在采用具有ICS感知的功能，能夠停止與工業相關的過程，并造成潛在破壞性影響。Dragos還沒有觀察到規模或復雜程度與針對沙特阿拉伯和烏克蘭的能源運營的破壞性惡意軟件攻擊TRISIS和CRASHOVERRIDE中使用的規模或復雜程度相同的針對制造業運營商的ICS特定惡意軟件。然而，已知的和持續存在的制造業威脅可能會對運營產生直接或間接的影響。對截至2020年10月的威脅情況以及未來隨著對手及其行為的可能演變，報告總結了以下特點：

　　 具有破壞工業過程能力的勒索軟件是對制造運營的最大威脅。攻擊者越來越多地在勒索軟件中采用ICS感知機制，這可能會中斷運營；

　　 Dragos公開跟蹤了五個針對制造業的活動組織；

　　 制造業過程中斷對供應鏈的影響會波及企業以及其他地方的運營；

　　 知識產權盜竊對于制造商而言仍然是高風險；

　　 相互連接的企業、運營和過程控制網絡日益融合，導致了日益嚴重的威脅。

　　二、以制造業實體為攻擊目標的組織

　　（ 一 ） CHRYSENE圖片

　　CHRYSENE的攻擊目標為制造業、石化、石油和天然氣以及發電行業。攻擊目標已超出該組織最初對波斯灣地區的關注，而且該組織在多個地區仍然保持活躍。

　　相關組織：APT 34、GREENBUG、OilRig

　　（ 二 ） MAGNALLIUM圖片

　　Magnalium至少從2013年就開始攻擊能源、航空航天等行業。盡管Magnalium沒有專門針對制造業，但化學制造過程屬于該組織的攻擊目標范疇。該活動組織最初的攻擊目標是設在沙特阿拉伯的公司，但后來將目標擴大到包括歐洲和北美的實體，包括美國電力公司。MAGNALLIUM缺乏專門針對ICS開展攻擊的實力，但該組織仍專注于最初的IT入侵。

　　相關組織：PARISITE、APT 33、Elfin

　　（ 三 ） PARISITE圖片

　　Parisite自2017年開始運營，面向制造業、電力公用事業、航空航天、石油和天然氣行業以及政府和非政府組織，攻擊北美、歐洲和中東等地區目標。

　　相關組織：MAGNALLIUM, Fox Kitten, Pioneer Kitten

　　（ 四 ） WASSONITE圖片

　　WASSONITE的攻擊目標是印度（以及可能的韓國和日本）的制造業、發電、核能和研究機構。該組織的運營依賴于DTrack惡意軟件、憑據捕獲工具，利用系統工具進行橫向移動。WASSONITE至少從2018年開始運營。

　　相關組織：Lazarus Group，COVELLITE

　　（ 五 ） XENOTIME圖片

　　XENOTIME對多家ICS供應商和制造商造成了威脅，構成了潛在的供應鏈威脅。XENOTIME以TRISIS攻擊而聞名，該攻擊導致2017年8月在沙特阿拉伯的一家石油和天然氣設施遭到破壞。2018年，XENOTIME的業務范圍擴大到北美和亞太地區的電力公司，歐洲、美國、澳大利亞和中東的石油和天然氣公司。攻擊目標還包括控制系統設備，超越了2017年事件所針對的Triconex控制器。

　　相關組織：Temp.Veles

　　三、工業控制系統（ICS）惡意軟件

　　目前，有兩個攻擊組織XENOTIME和ELECTRUM被證明有能力利用專門針對ICS進程的惡意軟件（TRISIS和CRASHOVERRIDE），并破壞ICS進程。盡管Dragos尚未觀察到有惡意軟件家族會擾亂制造運營，但這些攻擊者可能會在開發此類惡意軟件的過程中將目標鎖定在制造公司，即使它們不是最終目標。

　　例如，2016年惡意軟件CRASHOVERRIDE在烏克蘭的一個輸變電站中專門針對西門子SIPROTEC保護繼電器和ABB設備進行破壞。Dragos觀察到，一些大型制造公司可能會在現場有自己的電力運營部門，其中包含相同的設備。從理論上講，如果使用相同的設備，攻擊者可以將制造業作為針對關鍵基礎設施（如電力公司）的破壞性攻擊的“試驗場”。Dragos估計，由于總體上較復雜的網絡安全基礎設施和較少的政府監督，制造業可能成為攻擊者更具吸引力的目標。

　　最臭名昭著的ICS惡意軟件Stuxnet也針對制造業。2010年首次發現該蠕蟲病毒的攻擊目標是伊朗擁有的負責控制鈾濃縮離心機的可編程邏輯控制器（PLC）。這種網絡攻擊在當時是史無前例的，它是第一次對計算機系統造成物理破壞的攻擊。

　　四、針對制造業的威脅

　　（ 一 ） 勒索軟件

　　制造業最常見的威脅是勒索軟件。Dragos觀察到，在過去兩年中，影響ICS環境和操作的非公開和公共勒索軟件事件數量顯著增加。今年，Dragos確定了采用ICS感知功能的多種勒索軟件，包括能夠在環境中停止工業過程的能力，其活動可以追溯到2019年。EKANS、Megacortex和Clop只是包含這類代碼的少數勒索病毒軟件。EKANS和其他關注ICS的勒索軟件對工業操作構成了一種獨特的、特定的風險，此前在勒索軟件操作中沒有觀察到這種風險。

　　（ 二 ） 暴露于互聯網上的資產

　　暴露于互聯網上的工業和網絡資產對制造業來說是高風險，因為這些資產有助于攻擊者進入受害環境。針對ICS的威脅組織，包括PARISITE、MAGNALLIUM、ALLANITE和XENOTIME，以前或目前都試圖利用遠程訪問技術或登錄基礎設施。

　　根據《2019年Dragos年度回顧報告》，66%的事件響應案例涉及對手直接從互聯網訪問ICS網絡，100%的組織都有可路由的網絡連接到其操作環境中。最近以色列針對水基礎設施的網絡入侵是可編程邏輯控制器（PLC）暴露在開放互聯網上的結果。Dragos還響應了工業實體的勒索軟件事件，這些企業利用互聯網連接的遠程訪問門戶滲透到運營網絡并部署勒索軟件。

　　2020年7月，美國國土安全部網絡安全和基礎設施安全局（CISA）和國家安全局（NSA）發布了一份警告，鼓勵資產所有者和運營商立即采取行動，限制OT資產接入互聯網。根據該警報，最近在發布前觀察到的行為包括：在轉向操作技術（OT）之前，通過魚叉釣魚獲得對信息技術（IT）的初始訪問，部署商用勒索軟件來影響IT和OT環境，連接到不需要驗證的可訪問互聯網的可編程邏輯控制器（PLC），使用常用端口和標準應用層協議與控制器通信并下載修改后的控制邏輯，使用供應商工程軟件和程序下載、修改可編程邏輯控制器上的控制邏輯和參數。

　　攻擊者很快就可以將面向互聯網的服務（包括遠程桌面協議（RDP）和VPN服務）中的漏洞進行武器化和利用。2020年夏季發現的新漏洞會影響關鍵網絡基礎設施服務，包括F5、Palo Alto Networks、Citrix和Juniper網絡設備，可能會被針對ICS的攻擊者利用，這些漏洞可使對手獲得對企業運營的初始訪問權，之后可能轉向工業運營。

　　（ 三 ） ICS漏洞

　　ICS專用設備和服務中的漏洞可能給制造環境帶來風險。截至2020年10月，Dragos的研究人員評估并驗證了108個安全建議，其中包含262個漏洞，這些漏洞會影響制造環境中的工業設備。Dragos發現，幾乎有一半的通報都描述了一個漏洞，該漏洞可能導致受到破壞的環境中可視性丟失和/或失去控制。

　　在Dragos評估的影響制造業工業設備的漏洞中，70%需要訪問受害者網絡才能利用，26%要求攻擊者能夠訪問易受攻擊的設備本身，8%的要求攻擊者在局域網上以便于攻擊。鼓勵資產所有者和運營商注意這些漏洞對制造操作的威脅。例如，可視化或控制裝置丟失會引起安全隱患，并可能使工人的生命或環境面臨風險。

　　（ 四 ） 知識產權盜竊

　　Dragos高度自信地認為，知識產權盜竊和工業間諜活動是制造實體的主要威脅，尤其是來自國家支持的攻擊者和惡意內部人士的威脅。與過程和自動化功能相關的知識產權和商業秘密的竊取，可使工業組織以及感興趣的政府快速發展關鍵基礎設施，包括制造業。它還可以支持國家資助的間諜活動，以進行政治或國家安全工作。獲得產品的材料規格可能不足以復制它們，企業依賴工程和工業設計原理圖以及基因自動化測序詳細信息。根據Dragos研究人員稱，攻擊者可能會竊取算法、工程設計和編程規范，以復制整個生產過程，而不僅僅是物質產品和服務的輸出。

　　（ 五 ） 第三方/供應鏈

　　自2017年以來，作為威脅受害者的第一步，多種威脅已轉移到危害供應商、托管服務提供商（MSP）和外部網絡服務。攻擊者可以濫用現有的信任關系和互聯性，以獲得對敏感資源的訪問權，在某些情況下還包括ICS系統，幾乎都不可能被發現。

　　此類活動的最新案例包括：DYMALLOY和ALLANITE組織針對幾個原始設備制造商和供應商進行了攻擊，針對電力部門實施了后續網絡釣魚攻擊；針對幾家原始設備制造商和供應商的XENOTIME；APT10進行了一場廣泛的黑客攻擊，劫持了MSP及其客戶之間的連接，其中包括制造企業。

　　承包商、供應商和其他第三方人員通常可以直接訪問操作環境進行更新、檢查或新設備安裝等活動。攻擊者有可能將這些個人使用的設備作為進入其最終目標的接入點。企業資源規劃（ERP）供應商還提供了潛在的感染媒介，如果沒有適當的隔離和安全控制，這些媒介可以彌合IT和OT之間的鴻溝。ERP服務需要訪問操作資產以監視和存儲與生產、供應鏈、庫存和安全相關的信息。它們應該集成到企業功能中，如合規或財務。最近的漏洞暴露突出了這些系統的威脅和潛在的利用。2020年7月，主要的ERP供應商SAP發布了影響SAP NetWeaver Application Server（AS）Java組件的嚴重漏洞的詳細信息和修補程序，該漏洞影響了眾多SAP業務解決方案，包括ERP。攻擊者可以利用該漏洞控制受信任的SAP連接。

　　制造業實體是全球供應鏈的一部分，支持多個其他行業，這使得它們成為對手攻擊電力公用事業或制藥等行業的跳板。一些制造業公司的活動延伸到多個垂直行業。汽車制造商大眾汽車于2019年成為可再生能源供應商，旨在與能源公司在電池儲能和管理方面展開競爭。

　　利用第三方連接可使攻擊者進行間諜活動、偵察和數據竊取操作，以預先做好準備以展開破壞性OT攻擊。由于制造業公司在各個行業垂直領域的相互關聯關系，資產所有者和運營商應意識到所有ICS實體面臨的威脅，并將ICS特定威脅情報納入安全運營和風險管理。

　　五、IT/OT融合

　　（ 一 ） 網絡隔離

　　制造商的網絡安全成熟度取決于行業、監管要求、地理位置和各種其他因素。然而，在制造環境中存在“扁平網絡”并不罕見。這是因為企業和運營部門之間共享網絡連接。這使得攻擊者更容易跨越IT和OT邊界，并從IT接入點進入后攻擊制造業務。

　　如果企業和運營部門之間確實存在隔離，利用跳轉主機和訪問限制，那么制造工廠通常利用所有制造工廠的相同廣域網（WAN）連接。如果攻擊者能夠進入一個設施的運營，則可能會危及整個公司的運營。

　　扁平網絡結構的危險在2017年得到了廣泛證明。那一年，WannaCry和NotPetya蠕蟲勒索軟件和惡意軟件攻擊全球，破壞了眾多制造商的運營。這些蠕蟲利用舊版本的Microsoft服務器消息塊（SMB）協議中的漏洞和連續的憑據竊取和重用進行傳播。由于IT和OT之間存在較弱的隔離、環境之間的維護互連以及缺乏訪問限制進行互連，惡意軟件在工業運營中緩慢蔓延，造成了數十億美元的損失。盡管WannaCry和NotPetya事件給全球制造商敲響了警鐘，但三年后，不當的網絡隔離仍然是一個問題。

　　（ 二 ） Wi-Fi連接

　　除了與互聯網連接的過程自動化和其他“智能”制造過程外，運營商還采用了支持Wi-Fi的機床和診斷設備。互聯網連接工具連接到歷史數據庫，用于質量保證、監管和物流等目的。通常，這些工具連接到企業或運營資源，可以用作網絡接入點，或在旨在破壞生產和阻礙運營的攻擊中成為攻擊目標。物流應用程序和服務使制造資產的移動部件（如車輛、司機和貨物）能夠與倉庫或人力資源等靜態資產進行通信和交互。員工和承包商使用帶有Wi-Fi連接的移動和桌面硬件來使用應用程序和服務，并定期訪問企業網絡，有時還訪問運營網絡。

　　物流技術可以確保供應鏈的及時、精簡，但對任何中斷都非常敏感。如果物流網絡中的一臺設備受到威脅，則惡意軟件或對手可能會散布到該設備所連接的所有網段。時間敏感的小事故可能意味著制造業運營的嚴重破壞，并影響客戶、產品和服務。

　　（ 三 ） 缺乏可見性

　　隨著制造業務的聯系日益緊密，這些環境中仍然缺乏對過程、資產和連接的可見性。很難抵御運營商看不到的威脅。

　　根據Dragos 2019年度回顧報告，81%的Dragos服務團隊合作的組織對ICS/OT網絡的可見性極為有限或根本沒有。從事件響應活動中觀察發現，沒有用于事件分析的安全性和過程數據聚合實例，而需要手動檢索日志和分布式分析。

　　至關重要的是，在未來，所有制造部門和運營部門（包括工程、裝配和物流）的資產所有者和運營商改善網絡和主機可見性，以識別和抵御日益增長的威脅。

　　六、防御建議

　　制造企業都是不同的，并且網絡安全機制、網絡體系結構以及它們愿意接受的風險也會因行業而異。例如，在食品和制藥行業，已經制定了監管條例，以監測生產和銷售給公眾的產品的安全性。但是，為了提高環境的整體安全性，所有制造企業都應執行以下建議：

　　 進行架構檢查，以確定IT和OT網絡之間的所有資產、連接和通信。確定非軍事區（DMZ）以限制飛地之間的流量。嚴格檢查并限制公司網絡和ICS網絡之間的連接，并將其限制為僅已知的、需要的流量。

　　 確保理解網絡的相互依賴關系，并進行核心分析，以識別可能破壞業務連續性的潛在弱點。

　　 盡可能實施多因素身份驗證（MFA），尤其是在外圍設備和登錄門戶。重點關注與集成商、維護人員、供應商人員以及諸如安全設備之類連接。如果無法在內部設備上實現MFA，請確保對所有憑證使用強且難以猜測的口令。

　　 確保維護企業網絡系統的備份，并在災難恢復模擬期間測試備份。制定ICS特定事件響應計劃，并演練如何處理不同的事件。

　　 被動識別和監視ICS網絡資產，以識別網絡中的關鍵資產、阻塞點和外部通信。

　　 尋找針對制造的對手所使用的威脅行為和已知的戰術、技術和程序（TTPs），比如那些映射到ICS的ATT&CK。

　　 監控來自ICS網絡的出站通信，以檢測惡意威脅行為、指標和異常情況。了解惡意活動組織表現出的惡意行為，對于防范至關重要。

　　 監測和標記關鍵資產。Dragos資產識別允許通過檢測針對資產類型的惡意行為來進行特定分析。

　　 利用特定于行業的威脅檢測機制來識別OT中的惡意軟件，并在網絡級別加強縱深防御策略，從而使防御者和分析員具有更強大的調查能力。

　　 確保公司網絡已修補，以防止惡意軟件感染進入環境并防止后續傳播。

　　 確保關鍵的網絡服務，如Active Directory（AD）和托管它的服務器都受到很好的保護，并盡可能最大程度地限制對托管設備的管理訪問。

　　 盡可能評估和限制IT和ICS網絡之間的共享。在共享AD環境中為OT系統創建專用安全組，并將部署組策略對象（GPO）或其他更改的權限限制為僅對管理員，以減少攻擊面。

　　 確保最大程度地將網絡隔離。如果無法進行隔離，請確保應急響應計劃有良好的文檔記錄，以詳細說明緊急情況下，如惡意軟件感染時的隔離工作。例如，實施防火墻規則，將關鍵的ICS組件從網絡中分離出來，這些組件可以根據環境的信息安全和功能安全以及任何潛在的惡意活動進行激活和停用。

　　不需要進行實時通信或直接訪問操作的服務和設備應進行虛擬化。這可以改進漏洞管理，并為相互依賴提供更好的安全性。例如，工程工作站（EWS）和人機界面（HMI）操作可以虛擬化。

　　 隔離用于建筑物出入控制（BAC）和供暖、通風和空調（HVAC）的設備和服務。這些服務可被視為二級或支持系統，對維持安全、可靠的制造運營至關重要，并且可以作為試圖破壞制造生產的對手的潛在目標。

　　七、結論

　　針對制造企業、導致運營中斷的勒索軟件呈現上升趨勢。互聯網暴露的資產、供應鏈和第三方危害風險，以及互聯企業和運營網絡的日益融合，導致了威脅態勢的不斷惡化。Dragos繼續監測重點的攻擊組織和針對制造業務的威脅，包括涉及能夠破壞運營的ICS勒索軟件。此外，如Dragos所述，攻擊者無需專門針對工業過程，就可實現跨工廠、車隊或自動化過程的廣泛危害破壞。可以肯定的是，明年制造業面臨的威脅還將繼續增加。