來(lái)源：深信服官網

原文(wén)鏈接：http://www.sangfor.com.cn/δ™ ↕about/source-news-prod✘₹uct-news/1076.html

小(xiǎo)安全問(wèn)題引發大(dà)生(shēng)産事(₽♠shì)故。制(zhì)造業(yè)安全建設不(bù←π♥λ)容忽視(shì)！

8月(yuè)3日(rì)，台灣一(yī)✘ ★₽知(zhī)名芯片代工(gōng)廠(chǎng)三φ↓β大(dà)核心基地(dì)遭遇勒索病毒攻擊，導緻生(shēng)産線全線↕✘♣‌停擺，預估損失78億元，損失極其慘重，一(yī)時(shí)間(jiā≥ >$n)震驚整個(gè)制(zhì)造業(yè)！

不(bù)僅如(rú)此，不(bù)久前《紐約時(shí)報(bàπφ££o)》剛報(bào)道(dào)了(le)"®一(yī)起重大(dà)的(de)制(z☆♥hì)造業(yè)數(shù)據洩漏事(shì)件(jiàn)，100多(du ™ō)家(jiā)廠(chǎng)商的(de)← ↑近(jìn)4.7萬件(jiàn)敏感文≤ ✔(wén)件(jiàn)洩漏。文(wén)件'¥"‌(jiàn)共計(jì)157GB，包含裝配線∞≈≠‌和(hé)工(gōng)廠(chǎng)原理(lǐ)圖、員(yu↓∏✘γán)工(gōng)個(gè)人(rén)隐私信息、保♠±♦★密協議(yì)和(hé)機(jī)器(qì)人€≈(rén)的(de)配置、規格、演示動畫 φ§ (huà)等。

為(wèi)什(shén)麽近(jìn•↑π)期制(zhì)造業(yè)安全事(shì)件(β↓φjiàn)頻(pín)發？

一(yī)方面，制(zhì)造業(yè)正成為(wèi)黑(§★hēi)客攻擊的(de)新重點目标。

天下(xià)熙熙皆為(wèi)利來(lái)。制(zhì)造業(yè)業φ¶•γ(yè)務系統承載著(zhe)相(xiàng)當高(gāo)的(de)價值。攻βε‌擊者發起網絡攻擊可(kě)以直接影(yǐng)響控制(zhì)系±δ統的(de)正常運行(xíng)，例如(rú)可(kě) ∞γ以直接對(duì)某些(xiē)工(gōng)控設備發送指令導緻設備關機(jīΩ​​€)或參數(shù)修改，能(néng)夠直接造成重大(dà☆♦↑)生(shēng)産事(shì)故。不(bù)僅如(γ‍​₹rú)此，随著(zhe)智能(néng)制(zhì)造、工(gōng)業(×↔™yè)互聯網的(de)發展，越來(lái)越多(duō)的(±&α±de)企業(yè)使用(yòng)ERP、M≠☆ES等系統來(lái)提高(gāo)生(shēng)₽ φ産效率，制(zhì)造業(yè)早已離(lí)不(bù)開(kφ​≈γāi)數(shù)據，在黑(hēi)客眼裡(lǐ)，數(shù)據就♦♣(jiù)是(shì)金(jīn)錢(qián)，因此，≠>病毒勒索、數(shù)據洩露等安全問(wèn)題成為(wèi)制(z®"Ω hì)造業(yè)安全面臨的(de)新挑戰​↑>¥。

此外(wài)，随著(zhe)智能(néng)制(zhì)造和(h​$"±é)工(gōng)業(yè)互聯網的(de)發展，信息化(huà)和(h↑ •₩é)自(zì)動化(huà)不(bù)斷打通(tōng)，攻擊面越來(×>‌lái)越大(dà)，制(zhì)造業(yè)的(®λ•de)攻擊成本正在不(bù)斷地(dì)下(xi∑♦εà)降。

另一(yī)方面，目前制(zhì)造業(yè)§♥信息安全建設普遍存在問(wèn)題。

1、自(zì)動化(huà)系統帶&l©©" dquo;洞”運行(xíng)

自(zì)動化(huà)系統設計(jì)✔÷±₩人(rén)員(yuán)安全意識相(xiàng)對(¥λduì)薄弱，工(gōng)控協議(yì)、設備、系統在設計(jì)α≥β之初就(jiù)重視(shì)可(kě)用(yòng)性、忽視(shì)安全"↓'$性。并且系統一(yī)旦投入使用(yòng)之後，更新升>₽∞ 級周期非常長(cháng)，許多(duō)PC還(hái ¶∑)是(shì)十幾年(nián)前的(de)xp系統和(hé)512m內(©$nèi)存，這(zhè)使得(de)智能(néng)制(z∑₹hì)造時(shí)代IT、OT兩網融合的(de)情✔±±況下(xià)，脆弱性不(bù)斷暴露，讓攻擊者有(★‌πyǒu)機(jī)可(kě)乘。

2、工(gōng)控安全投鼠忌器(qì)

自(zì)動化(huà)系統本身(shēn)↔♣φ比較“脆弱”，不(¶♥✔§bù)能(néng)像傳統IT系統那(nà)樣進行(xíng)漏ε↔掃、殺毒，因為(wèi)這(zhè)些(xiē)&ldq₽↓≈uo;重”的(de)安全措施容易造成生✔∑≥←(shēng)産故障，即便用(yòng)防€®火(huǒ)牆也(yě)不(bù)敢開(kāi)啓阻斷模式，§•α←因此，工(gōng)控安全大(dà)都(dōu)以黑(h↑>↕ēi)白(bái)應用(yòng)名單為(wèi∑βσ)核心構建“輕”安全。這(Ω÷✘zhè)種安全措施在面對(duì)WannaCry等新≥§±∞型病毒時(shí)就(jiù)像用(yòng ♥Ω)冷(lěng)兵(bīng)器(qì)時(shí)代的(de)盾牌來(€‌≠♥lái)應對(duì)火(huǒ)藥時(s<>hí)代的(de)槍炮。

3、APT攻擊大(dà)都(dōu)從(cóng)信息化(huà)系統£$入手

例如(rú)BlackEnergy烏克蘭電(diàn)力系統事(s≈•hì)件(jiàn)，黑(hēi)客就(jiù)是(shì)先通(tōng¶¶)過辦公網進行(xíng)突破，然後跳(tiào)闆進入控制(z‍>hì)層。ICS-CERT新一(yī)期報(bào)₩"φ₽告的(de)290起工(gōng)業(yè)安全事(shì₽¥)件(jiàn)當中，有(yǒu)77起來(lái)λ±Ω自(zì)魚叉式釣魚、43起來(lái)自(zì)弱身(shēnγ©)份認證、35起來(lái)自(zì)嗅探​α攻擊。很(hěn)多(duō)時(shí)候，工(gōng)控安全事(shì↕♠↓)件(jiàn)是(shì)從(cóng)IT✔♠系統開(kāi)始，工(gōng)控系統安全防禦體(tǐ)系難以在短(α'duǎn)期內(nèi)大(dà)幅提升是(shì)由♥↑✔其固有(yǒu)特性決定的(de)，但(d£♦♥àn)通(tōng)過整體(tǐ)IT系統的(de)安£∞'全加固，在攻擊進入OT層之前就(jiù)将其扼殺掉，是(shì)有(yǒu π" )效提升制(zhì)造業(yè)整體(tǐ)安全性的(de§÷Ω)手段之一(yī)。

制(zhì)造企業(yè)應如(rú)何應對(duì)安γεγ全新形勢？

制(zhì)造業(yè)遭受僵木(mù)蠕、黑(hēi)客÷ •φ的(de)攻擊無外(wài)乎兩種情況，第一(yī)≈‌≈‌種是(shì)從(cóng)互聯網、辦公網跳(tiào)闆進入生&&(shēng)産網，第二種是(shì)通(tōng)過USB、↑φ流氓設備等方式從(cóng)生(shēng)産網內(nèi)部感染。因此，建σ¶<&議(yì)的(de)安全整改措施有(yǒu)← →α： 

提前識别資産與風(fēng)險，消除安全短(&→ duǎn)闆

通(tōng)過資産識别、漏洞分(fēn)析、策略自(zìΩ♥)檢等技(jì)術(shù)主動發現(xiàn)網絡中所有(y ÷₹ǒu)被保護的(de)資産對(duì)象及其風©♠€(fēng)險狀況，确保安全防護策略的(de)有(yǒu)效‌••α性，提前解決諸如(rú)開(kāi)放(fàng)端口、​↕λ高(gāo)危漏洞、弱密碼等安全風(fēng)險。

此外(wài)，做(zuò)好(hǎo)隔離(lí)與US≥∞←±B管控。通(tōng)過構建微(wēi)隔離(lí)體(tǐ)系，在病毒爆發★♣ 時(shí)盡早将失陷主機(jī)隔離(lí)開(kāi)☆± 來(lái)，防止其他(tā)主機(jī)→↑被感染，縮小(xiǎo)感染面積。比如(rú)将不(bù)同的(de)車(ch¶¶ē)間(jiān)進行(xíng)安全隔離(lí)，同時(shí)利用(≈≠ yòng)軟件(jiàn)、物(wù)理(lǐ)等方式做(zuò)好(h•Ωǎo)生(shēng)産網PC USB權限的(∑Ω→♠de)管控，避免通(tōng)過USB感染。

除OT安全投入外(wài)，加強IT層安全建設

許多(duō)制(zhì)造企業(yè)在上(shàng)ME®α↑λS的(de)過程中，需要(yào)将OT ←與IT打通(tōng)，使得(de)工(gōn‍≈g)控的(de)脆弱性暴露出來(lái)。因此，在進行(xíng)Oα§☆T安全建設的(de)同時(shí)，應同步加強IT層的(©λde)安全建設，将威脅隔絕在生(shēn£ Ωg)産網之外(wài)。

一(yī)方面構建态勢感知(zhī)的(d←>₹¶e)能(néng)力。感染病毒之後，重裝工σβ(gōng)控PC系統雖然能(néng)一(yī)定程度緩→∑解威脅形勢，但(dàn)難以定位病毒的(✘ φ≠de)根源，因此，重新接入網絡一(yī)段時(shí)間(jiān)後，新系γ←ε∞統仍然會(huì)遭到(dào)重複感染，無法從©‍(cóng)根源上(shàng)消除威脅。依托安全态勢感知(zεδhī)，收集全網流量，利用(yòng)人(rén)工(gō÷ ng)智能(néng)、大(dà)數(shù$∑$)據分(fēn)析等技(jì)術(shù)進行(™÷ &xíng)持續分(fēn)析，對(duì)威脅進行(xíng)溯源和(h♦&✔é)定位，找到(dào)威脅的(de)源頭，進而根除威脅。

另一(yī)方面，構建安全動态閉環，而非靜(j​σ♣♣ìng)态的(de)縱深防禦。通(tōng§$‍)過形成一(yī)套集預防、檢測、防禦、響應于一(yī)體(tǐ)的(deλ‌)動态安全體(tǐ)系，提升制(zhì)造企業(yè)整體(tǐ •)安全能(néng)力，持續對(duì)制(zhì)造≥↓↓業(yè)進行(xíng)閉環的(de)安' π∑全保護。