新基建浪潮奔涌而来,数字激活百行百业。在上周举办的2020合肥网络安全大会上,来自中国工程院、新华三、中国电信、IDC等不同领域的行业专家们共聚一堂,充分讨论了新基建大潮下的网络安全。在这个技术高度融合,平台深度协同的大背景下,中国工程院院士李培根分享了5G、AI、大数据共享、智能制造等重大议题为人类的生活带来的便利:
在智能维修场景,AR可以带来更加沉浸的体验,并且对获得的工业大数据进行采集、分析等一系列处理。在远程会诊场景,5G+MR可以实现数百公里之间的异地实时专家手术指导。
然而,李培根院士也提到,看似平凡的时代,隐忧藏在水面之下。与新技术伴生而来的,是前所未有的挑战。
一辆网联车被黑,可能导致发生严重交通事故;关键基础设施遭到攻击,其危害甚至将上升到国家安全高度。数字化技术把人和物都变成了线上元素,新基建为智能时代编织了一张巨大的生存基础网络。此时,网络上的任何一个节点都很难独善其身,所以,任何的安全问题都不止是影响个体,而是会引发大面积“感染”。
价值上亿美元的安全漏洞
连上厕所都要刷识别卡,台积电的安全意识已经是处于高水位,但是还是难免一次损失惨重的病毒攻击。
2018年。因新机台在“安装软件的过程中操作失误”,导致病毒在新机台连接到公司内部电脑网路时发生病毒扩散,台积电的生产线全数停摆,最重要的三大生产基地相继崩溃,时间长达三天。相应,产线上的客户产品也受到影响。此时的台积电正在全力为苹果计划今年秋季发售的新款iPhone生产芯片,显然产线崩溃问题如果不能尽快解决,或将导致iPhone的推迟发布。
一个不起眼的网络安全缺口不仅给台积电带来上亿美元的严重损失,同时通过蝴蝶效应还可能点燃更大的风险隐患。
无独有偶,2019年,挪威铝生产商Norsk Hydro也遭受了严重的勒索软件攻击。攻击影响了其挤压业务,导致其开发和销售铝门窗及外立面产品的部门持续停滞,最后,总损失已达到4000万美元。
一件件安全事件诠释了赤裸裸的事:网络攻击就是这样无孔不入、防不胜防。而且,有迹象表明,这项巨大的威胁正在瞄准制造业。
制造业成为网络犯罪的“香饽饽”
在NTT Security推出的《2017年全球威胁情报报告》中,就有提到制造业(13%)已经和金融(14%)、政府(14%)成为最容易受到攻击的三大行业。Vectra的2018年行业聚焦报告显示,制造业网络内部监视和横向移动攻击活动的发生率高于正常水平。在最新的《2020全球威胁情报报告》中,再次确认,在去年物联网持续受攻击,制造业成为风险最大的行业。
制造业为什么会成为网络犯罪者眼中的“香饽饽”?
首先对于近年来猖獗的勒索攻击来说,制造业厂商是一个非常理想的目标。因为行业属性决定效率就是金钱,对于这类企业来说时间就是生产力。此外,制造业的生产线一般都是流水式,一个环节的问题很可能导致整盘僵局,损失巨大,这可以从台积电的案例中诠释。所以,面临这些勒索攻击,制造商可能会被迫向网络罪犯支付高额赎金,只求恢复产线。
此外,受攻击率在近几年有明显的上升,其最关键的原因是智能化的推动。有统计发现,科技程度越高的企业,越容易遭受恶意攻击和控制。
结合大背景来看,趋势层面,近年来,“ABCD”为代表的前沿技术迅速渗透至产业,开启了工业4.0的革命征程。政府推动层面,供给侧改革、新基建等不断推动 “制造大国”向“制造强国”再向“智造强国“转变。
智能制造的安全风险高地
最核心的是,智能制造将传统制造业的封闭环境打破,因为需要云计算、大数据、物联网,将生产制造环节与互联网信息系统连接起来,实现资源整合共享、生产智能化自动化。
环境开放迎来了高产能的同时,大量攻击隐患也鱼目混珠进入制造业。Vectra的2018年行业聚焦报告中就曾提及,制造业网络由许多与智能设备和机器通信的网关组成,网络攻击者可以利用点对点设备所使用的相同自我发现来映射制造网络以寻找窃取或损坏的关键资产。硬件设备、控制系统、网络层安全、人员管理、APT、工业云、数据都是智能制造环节中的安全警惕区。总结来看,风险高地主要分为四大类:
- 一是硬件设备层面的安全问题,如:芯片、嵌入式操作系统等是否存在漏洞。因为,如果一家制造企业购买的设备中被放了一个“后门”,可以控制产品参数,犯罪者只需要把参数做一些微调,设备加工出来的产品可能就会出现瑕疵,严重时甚至可以让生产崩溃。
- 二是网络及软件层面的安全风险,包括工业云平台的安全攻击、支撑工业互联网业务运行的应用软件及平台的安全,当然还有工业网络,包括5G时代面临的新威胁。如一些控制系统所使用的控制协议、控制平台、控制软件在设计之初缺乏完整性,存在输入验证,许可、授权与访问控制不严格,加密算法过时等问题。
- 三是数据层面的安全挑战。智能制造工厂拥有海量数据,包括内部的内部生产管理数据、以及外部用户的数据,这些数据在开放的环境中面临着更严峻的泄露、篡改等安全风险。李培根院士在演讲中提到:“社会5.0中,连接推动所有一切的并不是资本,而是数据。” 一语道出数据的无限价值。社会5.0是日本提出的新术语,也是“第四次工业革命”的全球运动和信息通信技术进一步发展的产物。当然,这也对制造业接下来的发展具有重要的指向意义。
- 四是人员管理层面的挑战。同样是在Vectra的报告中还曾发现,与其他垂直行业相比,制造业恶意内部行为通常更猖獗,攻击者已扎营其网络内部。智能化高度发展,这对于企业内部各岗位的人员素质都有一定的要求。但实际上很多厂商的工作人员并没有足够的安全意识,则很容易导致“无意识”的泄露。此外,常言道,日防也防,家贼难防。因智能制造网络复杂,也非常容易出现“内鬼”及 “有意识”的行为,如破坏工业系统、传播恶意软件、忽略工作异常。
关于“主动出击”的方法论
新基建下,智能制造正在驶向快车道,不能因为安全问题突然刹车,所以在可持续发展的基础上去应变、完善安全措施是当务之急。
其中,首先的方法论则是各企业严格落实相关法律法规,如《关于加强工业控制系统信息安全管理的通知》、《工业控制系统信息安全防护指南》等,对工业系统相关的管理与运维细节进行不断更新和完善。
此外,中国工程院院士、中国电子首席科学家方滨兴曾在公开演讲中从宏观上建议:智能制造安全应该从认识论、进化论、实践论、相对论、方法论、矛盾论6个角度去看待。新技术会伴随新安全问题,所以制造企业必须树立动态、综合的防护理念。同时,智能制造安全要从用户、企业、供应厂商、安全厂商、行业组织、测评认证、监管机构等各个层面,打造一个聚合式的安全服务平台,形成一个安全链。
企业建立安全运维中心,也是不错的主动出击方案。该中心旨在建立企业的安全数据库,用工业大数据进行工业生产故障的预防性维护,找出生产环节的异常。日积月累,这个中心渐渐成为一个虚拟“安全专家“。据Gartner的预测,工业企业建立的安全运维中心已成为一种趋势,预计到2020年将有40%的企业将建立安全运营中心。
总而言之,制造企业最重要的是迅速应变能力。纵观数字化和智能化对于各产业的渗透过程,制造业的升级都处于较慢的被动节奏。但是面临转型探索与新安全威胁并行的现状,制造行业需避免后知后觉,而是立于智能网络的全局,逐步建立主动防护的意识及措施。否则最后,一个小漏洞很可能会成为压死“骆驼”的那根稻草。