工业互联网安全 | 台积电之后，下一个“中毒”的会是谁？

2018 年 8 月份，知名芯片代工厂台积电遭遇 WannaCry 病毒入侵，导致三大工厂生产线停摆，预估损失高达约 17 亿人民币。由于台积电肩负英特尔、华为、高通、苹果等品牌芯片的代工生产，且苹果即将推出新品，人们纷纷揣测此事造成的严重影响，整个制造业和舆论界都受到了震动。而七月初，外媒《纽约时报》也报道了一起重大数据泄露事件，包含企业蓝图、工厂原理图、客户材料、员工信息等将近 47000 份、共 157 GB 的文件，影响一百多家汽车制造厂商。

从2010 年引起全球关注的震网病毒开始，整个工业互联网的安全问题一直敲打着各大企业的神经。但多年过去，工业互联网的安全防线依然较弱，这与整个行业本身的特点有关，也表明工业互联网的安全建设并不容易。

一、工业互联网

工业互联网的概念在国内早已存在，在近几年开始受到政策的推动。按照定义：“工业互联网是指全球工业系统与高级计算、分析、感应技术以及互联网连接融合的结果。它通过智能机器 间的连接并最终将人机连接，结合软件和大数据分析，重构全球工业、激发生产力，让世界更美好、更快速、更安全、更清洁且更经济。”

2015 年，我国发布《国务院关于积极推进“互联网 +”行动的指导意见》，提出推动互联网与制造业融合，提升制造业数字化、网络化、智能化水平，加强产业链协作，发展基于互联网的协同制造新模式。2018年7月，工业和信息化部印发了《工业互联网平台建设及推广指南》和《工业互联网平台评价方法》，则进一步加快了国内工业互联网建设。但是，工业互联网在稳步发展的同时，也逐渐凸显出大量安全问题。

二、工业互联网面临的几大安全痛点

1. 工业网络自身安全性低，易于从企业内网系统渗透

2018 年 5 月份，Positive Technologies 发布的《2018 工业企业攻击向量报告》显示，73%的企业网络没有做好安全防护，容易遭受来自外部的黑客攻击。而在大量针对工业系统的攻击中，黑客正是利用企业网络(办公网络)作为跳板，进入工业系统的控制层并实施进一步入侵。企业员工所使用的企业信息系统(Corporate Information Systems，CIS)成为黑客攻击的一个重要突破口，因为这些CIS系统普遍存在安全漏洞。

其中，外部攻击者可用的管理接口(SSH、TELNET、RDP)、特权用户的字典密码、外部攻击者可用的 DBMS 连接接口、易受攻击的软件版本、不安全协议的使用、任意文件上传、SNMP 社区字符串配置、远程代码执行、用户和软件权限过大以及在明文或公众中存储敏感数据都是导致工业企业容易遭遇入侵的原因。研究表明，43%的工业企业信息系统边界的 Web 应用程序安全级别都很差。

此外，调查结果显示，82% 的案例都显示内部攻击者已经存在于企业的信息系统中，可以轻易入侵工业网络。而自 2018 年以来，我国工业安全中心也已经发现装备制造、交通、能源、智能楼宇等重要工业领域的数百个漏洞。

2. 大多数攻击易于部署，攻击难度低

调查报告显示，67% 的攻击向量难度都比较低;且大多攻击向量只需利用设备和网络中现存的配置漏洞或系统漏洞就可以部署。而各类黑客大会、开源社区乃至地下论坛等大量涌现，让工控系统软硬件设备的漏洞及利用方式都能轻易获取，大量工控设备的弱口令信息及工控系统的扫描、探测、渗透方法都公之于众。

3. 人为因素

大多数可以通过企业信息系统进入工业网络的企业网络配置或流量提取都存在漏洞。64% 的案例都显示漏洞是由管理员创建远程管理机制时造成的;甚至还有 18% 的企业根本没有将工控组件完全物理隔离。也就是说，大多数工业互联网企业的员工网络安全意识依然不强。在台积电“中毒”事件中，也是由于工作人员新加入一台电脑设备却没有提前杀毒直接联网，导致病毒传播，造成后续一系列的停摆。

事实上，工业互联网中负责管理网络安全的人员大多是自动化工程师和生产工程师。由于时间精力有限，他们往往只会更关注保持系统运行，而不会把安全问题放在首位。

4. 词典密码和老旧软件影响

大多数工业企业所使用的密码都是词典密码，很容易查询。此外，许多工业协议、设备、系统在设计之初并没有考虑到在复杂网络环境中的安全性，而且这些系统的生命周期长、升级维护少，结果就是大量工业企业所使用的软件变成了老旧软件，存在很多已知的漏洞且难以修复。带病运行”的设备和系统很容易被入侵。而攻击者正是利用这些漏洞实施攻击，获取大量特权并接管整个企业基础设施。

5. 工业互联网数据安全刻不容缓

在大数据的环境下，数据也当仁不让成为工业互联网的核心，工业互联网连接了人与机器、机器与机器、机器与产品，将汇聚大量的数据，通过数据分析和学习，用于提高生产效率、服务质量，争抢企业的竞争力。因此，在工业互联网飞速发展的当下，一旦出现数据泄露等数据相关的安全问题，也将为企业带来致命性打击。

此外，企业的工业资产不清、工业网络连接混乱、移动介质疏于管理等都是目前工业互联网所面临的主要安全问题。

三、工业互联网中常见的攻击模式

调查显示：配置错误;源代码漏洞以及常见高危漏洞都容易导致工业互联网安全事件。攻击者可以通过企业局域网或者被入侵的工业流程渗透进工业网络，典型的攻击分为三个阶段：

1. 使用网络插口、Wi-Fi 访客联网或其他联网攻击获取企业信息系统主机上的操作系统权限;一旦获取权限，攻击者就会提升服务器或员工工作站的本地权限，并搜集网络拓扑、设备以及软件的相关信息;

2. 获取企业信息系统上一台或多台主机的最大权限后，进一步利用软件、操作系统、web应用、网络配件、用户认证等流程的漏洞，获取更多端点的控制权;

3. 获得对关键系统的访问权并攻击工业网络

（编辑：ASP站长网）