摘要

安全事件追蹤

豐田3。1停產事件

緊追行業熱點，融安網路作為一家專注於工業網際網路安全的科技創新型安全廠商，可為製造企業的MES、PLC和SCADA、DCS等工業控制系統提供全生命週期網路安全解決方案，日前跟蹤到豐田安全事件。以下為融安網路對整個事件的分析和拓展，同時提出了針對行業相關企業的須重點關注部分，併為應對當前日益嚴峻的網路安全形勢，提出了一些安全建議和應對舉措，僅供參考。

事件回顧

豐田汽車公司在其官網上釋出通知稱，由於供應商小島工業（KOJIMA INDUSTRIES CORPORATION）的系統出現故障，決定於3月1暫停日本14家工廠的28條生產線。

（截圖：豐田汽車公司官網）

據媒體報道，豐田汽車停產事件原因是樹脂零部件供應商小島衝壓工業公司出現了系統故障，疑似受到了網路攻擊。本次停產預計將影響約13000輛汽車的生產，相當於豐田國內月產能的4～5％。此次豐田也是首次因供應商遭遇網路攻擊而讓所有工廠停工。3月2日上午，豐田恢復了其在日本的所有工廠的運營。

事件拓展分析

工業控制系統一旦遭受網路攻擊將影響巨大，安全生產是製造型企業的命脈，工業控制系統的安全執行承載著製造型企業的日常安全生產。在該事件中，駭客透過勒索病毒攻擊破壞豐田汽車公司的供應商、零部件生產商小島衝壓工業公司的生產控制系統網路，從而導致豐田公司生產業務陷入停滯，帶來巨大財務損失，是一起典型工業控制系統遭受攻擊破壞影響企業日常安全生產的事件。由此可見，工業控制系統的安全防護異常重要。

在此次事件中，結合我公司情報分析，造成此次事件中的勒索病毒主要為WannaCry、GandCrab和Hive勒索病毒等。

有關本次攻擊的更多細節仍在調查中，雖然還不完全明確具體的攻擊方式與路徑，但這是典型的“

供應鏈攻擊

”。這也不是豐田汽車第一次遭受大規模網路攻擊，此前，豐田也曾多次因供應鏈問題而停產。

汽車製造作為典型的

離散製造行業

，供應商關係管理是業務流程中的關鍵節點，是連結生產製造的核心業務，一旦遭受網路攻擊，將嚴重影響正常業務的開展。下圖為汽車行業的典型業務流程。

圖1。汽車行業的典型業務流程

由上圖可以看出，供應商是汽車生產業務的源頭，也是汽車製造過程中質量控制和追溯的根源，因此，供應商若出現質量或供應問題，對汽車製造商會產生牽一髮而動全身的後果。

企業數字化轉型過程中，網路安全建設顯得尤為重要。

不管這起供應鏈事件的起因是什麼，種種問題產生背後都將指向豐田其目前的生產方式下自身供應商的網路安全生產管理水平仍處在較低位置。

也不難推測出，豐田後續或將供應鏈廠商的網路安全建設及防護水平以及應急響應水平納入日常考核，以提升對抗網路安全風險的能力，保障持續穩定的生產流。讓整體供應商的網路安全水平上一個臺階，才能比較有效地應對未來可能發生的網路攻擊或者破壞。

目前，結合此次事件分析，製造業企業應重點關注以下幾點：

1）製造企業遭受新型的勒索病毒攻擊方式

近年來，勒索軟體的攻擊模式呈現多樣化，傳統勒索軟體的攻擊模式也將演變為包括基於滲出資訊的資料敲詐、雙重勒索到多重勒索的轉變，甚至會出現勒索病毒和供應鏈攻擊的結合，勒索方式將變得更加複雜。

例如，在該事件中，駭客透過勒索病毒和供應鏈攻擊的相結合手段，破壞豐田汽車公司的供應商、零部件生產商小島衝壓工業公司的生產系統網路，導致豐田汽車公司的日常生產運營陷入停滯，從而達到敲詐勒索的目的。

2）警惕將會出現“雙重勒索”

“雙重勒索”是指駭客首先會竊取製造企業的生產系統機密資料，然後對企業的生產系統資料進行加密，如果被攻擊企業拒絕支付贖金，駭客就會公開企業敏感的生產系統資料，該種方式也稱為“

勒索軟體2.0

”。

“雙重勒索”使得企業單位不僅要面臨生產系統停滯及破壞性的資料洩露，還有相關的法規、財務和聲譽影響，間接增加被攻擊企業單位滿足駭客非法要求的壓力。

3）精心設計的APT攻擊

根據情報分析，造成此次安全事件的將是駭客針對製造行業領域工業控制系統一次精心設計的APT攻擊行為，致使小島衝壓工業公司難以短時間內恢復正常的生產。

APT攻擊，稱為

高階可持續威脅攻擊

，特指某個駭客組織對特定物件展開的持續有效的攻擊活動，這種攻擊活動具有極強的隱蔽性和針對性。APT攻擊過程中，可能經歷多個階段的嘗試，最終達到想要的目的，如透過初始訪問開啟進入企業內部的入口，透過橫向移動轉移到目標主機，透過命令與控制持續地控制目標，最後竊取資料或造成影響。以下為APT攻擊流程圖。

圖2。APT攻擊流程

整個過程中，初始訪問的入侵點、命令與控制、造成影響的主機可能為不同的主機。因此在短時間內很難找到攻擊者在何時，以及透過何種方式來入侵到公司內部網路中，甚至經過時間的推移，最初的入侵痕跡可能被徹底清除。由此，針對製造行業企業單位生產系統網路的APT攻擊防護，更應提上企業日常網路安全工作日程。

4）需緊急徹查供應鏈網路安全問題

為了減少和消除勒索病毒造成的攻擊影響，應啟動應急預案，迫切全面開展針對供應鏈安全的安全檢查工作，終止供應鏈網路業務的接入，徹查造成此次勒索病毒攻擊的原因，全面梳理供應鏈存在的安全問題和隱患，立即進行安全整改和加固，提升供應鏈以及企業主體自身整體網路安全防護水平。

安全應急響應“五步法”

那麼，針對供應鏈中的工業安全事件，企業應如何進行應急響應？作為一家專注於工業網際網路安全的科技創新型安全廠商，融安網路建議在應急響應方面，需嚴格遵循網路安全法、等級保護等相關法規標準規範要求，可從“

確認—抑制—根除—恢復—跟蹤

”

五步法

進行安全應急響應。

製造行業企業單位應結合《中華人民共和國網路安全法》、等級保護標準和工業網際網路企業網路安全分類分級指南等法規標準規範檔案，加強企業單位的的工業控制系統網路安全應急管理工作，建立應急響應技術儲備，完善應急預案，定期開展工業控制系統網路安全應急演練。針對本次事件，若製造行業企業單位感染勒索病毒攻擊，應根據應急預案採取如下措施開展應急響應，如下圖：

圖3 應急響應階段迴圈圖

確認（現場保護

）

提取現場證據，抓取網路流量資料，重啟作業系統、應用系統，停止無關係統服務、刪除或停用系統多餘無關賬戶、開啟系統自帶防火牆功能封鎖高危埠、使用防毒工具進行快速掃描。

抑制（隔離和報備）

斷開被病毒感染伺服器和終端的網路鏈路，進行重要資料備份，根據應急預案流程開展處理和上報。

抑制（應急恢復）

啟用備用系統，聯絡系統設計單位，評估透過新增伺服器和工作站代替故障伺服器的形式，重新部署系統應用的可行性和時間。安裝最新版本的作業系統和應用軟體，並安裝更新最新的系統補丁和軟體補丁，啟用作業系統防火牆、啟用安全加固策略，封閉高危埠，安裝防毒軟體並進行查殺，且部署對應的系統應用。

根除（溯源和分析）

記錄和提取重要資料，找出系統網路拓撲圖和資產表（現有系統網路拓撲圖和資產清單），抓取現有的網路資料流量，全面排查分析。並分析各種勒索病毒感染後的特徵，確認勒索病毒的具體種類，結合公開勒索病毒解密庫資源，查詢解密工具。

恢復（處置和恢復）

對被病毒感染的伺服器和終端等進行格式化處理，徹底清除存在的惡意程式碼；重新安裝作業系統和業務應用系統，並對作業系統進行安全加固，對現有網路進行安全整改和加固，新增網路監控和防護類技術措施；部署業務應用，恢復系統功能。

跟蹤（持續監控）

定期更新應用或系統補丁，完善備用系統的建設、應急預案建設，加強人員安全培訓、最佳化內部管理流程，完善網路安全管理體系，加強網路安全應急演練，開展等級保護備案和測評工作。

全面構建企業生產控制系統安全防護體系

受此次安全事件影響，後續行業應如何加強網路安全建設工作，以應對當前日益嚴峻的安全態勢？融安網路建議將

從落實工控系統體系規範、技術支撐、安全監管等多方面構建企業生產控制系統安全防護體系

，全面提升使用者的網路安全建設水平，達到

“平穩、健康、持續”

的工控網路安全執行目標，從而實現保障企業生產控制系統網路安全，免受勒索病毒攻擊破壞。

（一）工控系統體系規範

落實汽車製造行業領域工控網路安全標準規範體系。

依據等級保護2。0的標準，結合《工業控制系統安全防護指南》、《工業網際網路企業網路安全分類分級管理指南》和《網路安全分類分級防護系統規範》等國家以及行業標準規範要求，融安網路建議業主單位應進行汽車製造行業領域工控系統網路安全標準規範設計服務，落實汽車製造行業領域工控網路安全標準規範細則。

加強人員安全培訓和認證服務。

建議業主單位加強工控網路安全知識推廣和教育，推進管理人員安全意識教育和惡意程式碼防護技能培訓，促進管理人員安全意識和技能提升，結合培訓和人員認證，實現安全管理人員“持證上崗”，降低和消除由於人員管理不當造成勒索病毒攻擊的安全風險。

強化工控網路安全攻防實驗環境。

建議業主單位強化汽車製造行業領域工業控制系統網路安全實驗平臺環境，搭建工控網路安全攻防實驗平臺環境，模擬衝壓、焊裝、塗裝和總裝等生產車間的工控系統網路，透過實驗環境，提供實訓操作和安全展示，提升企業人員工控網路安全認知和技術防護水平。

（二）強化工控系統技術支撐

完善工控網路安全技術服務。

建議業主單位建立工控網路安全技術服務體系，可諮詢和委託專業廠商進行相應的等保諮詢、安全檢查、安全運維和應急保障等各項技術服務，提升日常網路安全管理水平，降低和消除企業單位遭受勒索病毒攻擊的安全風險。

整體提升工控系統網路安全防護能力。

建議業主單位加強包括針對衝壓、焊裝、塗裝和總裝等生產車間的工控系統網路安全防護能力建設，為工控系統網路增添安全評估、安全防護和安全監測等技術措施，提升整體工控網路安全防護能力，降低和消除生產系統遭受勒索病毒攻擊的安全風險。

（三）工控系統安全監管

加強企業生產系統安全監管平臺建設

，

建立包括惡意程式碼監測、網路監控和安全事件預警等統一監管平臺，從整體上防禦勒索病毒的攻擊。在監管單位網路中心建立工控網路安全監測平臺，同時在下屬各企業或生產車間內部網路部署資料採集裝置，建立專用工控網路監測網路，可實現網路安全的資料資訊採集、及時掌控全域性工控安全狀況、實現企業安全事件的及時預警及追蹤溯源等能力，最終實現業主單位的企業生產系統安全運營，降低遭受免受勒索病毒攻擊破壞的風險，實現安全生產。