工业企业数字化转型必须面对的八大网络安全威胁及先进防护建议（一）

2023年，全球网络安全领域面临着前所未有的挑战。在地缘政治和经济竞争的复杂背景下，具有政府或组织背景的先进持续性威胁（APT）组织在网络空间中的活动日益频繁。同时，随着新兴技术的广泛应用，新型网络攻击者纷纷涌现，他们利用先进技术进行攻击，令网络安全威胁的形势愈发严峻。新型攻击者的出现，以及既有威胁者对攻击方法和策略的不断优化，共同推动了全球网络安全形势的恶化。

随着数字化转型和新兴技术在工业企业的广泛应用，对工业企业的业务运营和生产活动造成了日益深远的影响。今天的网络攻击者们不断改进和创新攻击技术，以逃避传统安全防御措施，导致网络安全威胁呈现更复杂的态势。本文梳理总结了阻碍工业企业数字化发展的八种最常见网络安全威胁，并给出了防护建议。

本期主要针对勒索攻击、数据泄露、APT攻击和内部威胁攻击进行威胁分析和防护建议。

勒索病毒对数据的加密导致无法访问，引发显著的财务损失，业务运营中断，以及对企业或个人信誉的严重损害等问题。然而，尽管其危害显而易见，勒索软件攻击事件仍在全球范围内频繁发生，本文盘点了近六年来全球范围内十大勒索软件攻击事件。

图1 勒索软件攻击事件

当前勒索病毒如此“猖獗”，那么威努特主机防勒索系统如何解决当前的勒索病毒问题？首先，分析勒索病毒遵从的Cyber-Kill-Chain杀伤链模型，分别从“行为监测、勒索诱捕、系统防护、进程防护、数据保护、备份恢复”等6大技术机制支撑检测、防护、恢复能力落地，如下图：

勒索行为监测提供全局恶意行为检测的广度覆盖，勒索病毒诱捕实现勒索病毒的精准识别，两者结合共同支撑勒索病毒检测能力。

关键业务保护阻断勒索软件对业务进程的中断，核心数据保护确保应用数据被安全的读写，两者结合共同支撑勒索病毒防护能力。

数据智能备份实时备份系统中关键数据，支撑勒索攻击事后的恢复能力。

勒索攻击具有APT属性，决定了单一技术手段存在被绕过的风险，以多种技术手段组合应用、层层递进、相互交叉的方式对勒索病毒进行防范最为有效，威努特防勒索系统六大核心功能相互叠加形成了多层次的纵深防范能力，覆盖了行为检测（全局、精准）、身份识别、权限控制、数据安全等多种安全机制，可极大降低被勒索的风险。

威努特防勒索系统诞生一年时间内，已为医疗、金融、制造、市政、基础信息、能源、交通、化工等行业提供防勒索安全服务，并获得2022年网络安全优秀成果创新大赛三等奖，同时在赛迪顾问评为2022-2023年度新一代信息技术创新产品。

近日，专注于推动网络与安全融合的权威机构，发布《2023上半年全球威胁态势研究报告》。报告显示，2023年上半年高级持续性威胁（APT）团体活跃度显著增加以及攻击者使用的MITRE ATT&CK 技术呈现飞速转变等威胁发展趋势。而APT组织发起的APT攻击在相当长的一段时间内产生了重大的国际影响，例如：疑似由APT28组织实施，针对乌克兰的IOT设备，影响了全球54个国家和地区约50万设备。下图为APT攻击线路图：

我国在今年4月，由中国信息安全测评中心牵头编写的《全球高级持续性威胁（APT）研究报告》主要围绕2022年全球APT态势图景、我国受APT攻击情况、典型手法、重点组织、趋势研判等进行研究，分析现实威胁，探讨主要风险点，把握总体趋势。报告主要内容如下：

我国面临APT攻击是全方位的，而APT攻击又存在针对性强、组织严密、持续时间长、高隐蔽性、攻击手段多样和攻击目的明确等特点，导致依赖特征检测的传统防护措施失效，那么作为工业企业在数字化转型的大环境下，如何做好对应的防护方案？

第一步：数据采集

通过旁路镜像，将采集到的网络流量进行协议解析后并以元数据的形式存储，为后续异常数据挖掘、分析、取证建立牢靠的基础。

第二步：文件还原

支持对2-7层协议进行识别和元数据提取，可解析还原DNS、FTP、HTTP、IMAP、POP3、SMB、SMTP、ICMP、DHCP、KRB、MySQL、RDP、SSH、SSL、Oracle、Telnet、TCP、UDP、CVS、IEC-SV、IDAP、IEC-MMS、IEC-104、IEC-GOOSE、MSSQL、NNTP、OSTGRESQL、RLOGIN、TACACS等协议并以元数据形式存储，用于威胁的溯源取证。

第三步：威胁检测、威胁分析、溯源取证和威胁态势

高级威胁检测系统基于资产、攻击者、威胁事件、协议元数据、威胁情报等多源数据进行基于攻击链和场景的关联，还原攻击事件，及时告警，溯源威胁，对检测及防御APT攻击起到关键作用。

在工业领域，数据是贯穿工业互联网的“血液”，在工业企业数字化转型期间，更是降本增效的关键。工业数据增长迅速、种类繁多、体量庞大，数据安全已成为保障工业发展，保障社会稳定的要点。

同时，工业互联网的快速发展，数据安全问题日益突出，对工业领城的数据安全建设提出了更高的要求。

企业在数字化转型的过程中，大量的数据被电子化，存储在数据库、个人PC中，电子化的数据传递效率更高，有助于提高企业的生产效率。数据不再是在孤岛上存储，而是随时需要被使用的，在数据使用流动的过程中，自然而然地存在管理困难、数据泄漏等问题。

下图列举工业企业数据泄露会带来的影响和危害：

威努特数据安全防护从数据分级、终端数据防护、数据传输防护和平台数据态势分析等多维度完成整体方案建设。

• 敏感数据资产自动盘点，确认数据风险监测及防护对象

要做好数据泄露防护，首先要做好数据资产盘点和数据分类分级工作，需要知道组织内有哪些类型的敏感数据、这些数据的分布情况以及面临的数据安全风险，为敏感数据使用合规及安全防护提供完整的敏感数据资产清单及存储风险评估。

在敏感数据资产盘点上，通过数据安全统一管理平台产品具备远程敏感数据扫描引擎，能够对数据库进行远程扫描，自动建立数据库中敏感数据的资产目录。

终端DLP产品能够对主机或终端上的数据资产进行发现，对于存储在服务器和终端上的敏感数据，也能够做到敏感数据自动梳理。

完成快速摸清全网要保护的敏感数据资产，构建跨存储、应用及终端的全网敏感数据资产地图及目录清单，确保敏感数据资产存储合规，并对敏感数据资产存储环境进行数据泄露点检查。

• 终端数据传输途径监测管控

在终端设备中的敏感数据面临着多种外泄风险，包括但不限于文件备份、打印、通过网络传输、使用移动存储设备进行复制、剪贴板操作、以及截图和录屏等方式。为此，监控这些潜在的数据传输途径并记录相关的审计日志至关重要。对于特别敏感的信息，如财务和知识产权相关数据，采取更严格的措施，禁止其通过任何手段被外传是必要的。这要求切断那些可能的数据传输通道，以建立一个强大的终端数据保护机制。

• 对外数据服务传输风险、跨境风险等持续监测告警

部分数据在传输过程中不会被存储在物理介质上，而是通过在线业务系统直接传输，例如从数据库到各类业务系统的数据流动。对于这些数据库中的敏感信息，关键在于监控其在不同业务系统中的使用情况，包括哪些敏感数据被哪些系统访问。此外，还需关注敏感数据是否在传输前进行了适当的脱敏处理，以及数据传输是否超出了正常的使用范围等方面。

对于业务系统对外提供服务的情况，其实面临的风险会更多一些，包括数据过量获取、一个合法帐号因为密码泄漏被多地访问、一些明文密码的传输等等，都是被网络DLP的产品进行感知。

所有在网络上进行的数据传输活动都将被汇总到一个统一的数据安全管理平台。这样做不仅有助于识别安全风险，而且能为用户提供业务系统的详细概览。许多用户可能对多年来部署的各种业务系统及其相关的数据接口缺乏清晰的认识。通过这个平台，可以帮助客户对这些系统和接口进行详细的分析和梳理，进而促进更好的理解和管理。

• 核心数据智能加密保护

为确保数据安全，我们采用基于数据内容感知的加密策略，只对敏感数据如PLM/PDM源数据、设计文档和图纸进行加密，而非全量加密。从像OA系统或NAS存储下载的数据，根据内容感知区分敏感与非敏感信息，仅对敏感数据加密并对非敏感数据进行审计跟踪。在与外部合作伙伴共享数据时，我们提供安全的数据外发机制，包括设置文件使用限制、密码或Ukey授权，以保障数据在内部管理和外部共享时的安全。

• 关键业务系统及重要数据保护

在研发和数据分析部门，由于涉及大量知识产权和原始分析数据，存在从业务系统提取数据并在处理后返回数据的需求。为此，建议在终端设备上建立数据安全沙箱，这是一个基于操作系统的干净计算环境，用于防止敏感数据在终端设备上存储。在沙箱内，可执行源代码编译、图纸修改等操作，但禁止数据外传，确保数据只能返回业务系统。这一措施可有效保护多场景下的重要数据。

威努特数据安全防护方案，具备以下优势：

最坚固的堡垒往往是从内部被攻破的。内部威胁早已不是什么鲜为人知的安全隐患，其普遍性已经成为几乎所有企业都需要担心和考虑的问题。在近两年公开披露的大型网络安全事件中，因内部威胁而造成的，其比例之高、类型之多、行业覆盖之广，令人触目惊心。

Cybersecurity近期发布的《2023年内部威胁报告》中数据揭示了一些关键的趋势和挑战，报告显示，有74%的企业或组织内部攻击的发生频率正在增加，且它们在防御内部威胁方面表现不佳。超过50%的企业和组织在过去一年中遭遇了内部威胁，其中8%的组织遭受的攻击次数超过20次。

报告还对内部威胁的影响进行了优先级排序。数据显示，关键数据的丢失仍然是最主要的问题，其影响的企业比例为45%，这一数字较2021年的40%有所上升。品牌损害的影响紧随其后，其比例从2021年的26%上升至43%，几乎翻了一番。此外，运营中断或停机的问题也在增加，从2021年的33%上升到41%。这些数据突显了内部威胁对企业安全构成的严峻挑战。

那么造成内部威胁的危害如此之大，比例提升如此之快的根本原因主要在于内部威胁其特有的特征。

内部威胁因为攻击者具备内部知识，因此可以直接访问核心信息资产，对企业造成严重危害；同时，透明性与隐蔽性却使得这种威胁难以检测发现，难以防范，因此我们说内部威胁要比外部威胁更需要重视，采取切实有效地应对方法。

既然内部威胁已然成为当前工业企业不可避开的严重威胁，其自身的特性就决定了依靠传统防护产品根本无法实现针对内部威胁的发现和阻断。我司结合已发生内部威胁事件和在多行业所积累的安全建设经验，给出以下防护建议：

首先，完善网络安全管理制度和提高人员网络安全意识是所有安全建设和应对安全风险的必要前提。

其次，对所有人员进行最小授权，明确各个人员所负责运维的资产，责任到人，同时将用户和员工的权限限制在最低程度，只提供其正常工作所需的权限。这可以减少内部威胁的范围和风险，防止员工滥用权限或误操作导致的安全问题。通过我司“零信任”产品，可以实现身份认证智能管理。

通过零信任客户端设备绑定功能，确保用户在正确的设备上使用正确的账号登录，同时可以对账户的登录时间、登录设备及IP地址进行严格控制，以防止非法人员非法接入业务系统。

零信任安全访问控制系统支持智能身份认证，可根据客户自有认证能力、接入安全性需求、威胁检测、行为检测结果，动态智能选取认证方式组合，无需人工设置认证方式。

零信任安全访问控制系统可以远程强制用户下线，锁定或停用账号，有效保障企业员工认证信息在泄露、设备遗失等异常情况下的企业数据安全。

再次，通过“零信任”原则，对所有人员的进行持续监测、动态身份认证和权限判定，提供持续可信的网络环境，基于用户行为和业务数据流转的全生命周期检测评估结果，来智能精细动态的调整策略，提供最小权限管控。

传统的基于RBAC授权模型进行的访问控制，存在远程访问的安全漏洞多的问题。一旦授权，权限便是持续不变的，缺乏基于终端计算环境安全情况的权限动态管控手段，合法用户的安全威胁问题无法解决。

零信任安全访问控制系统在使用传统RBAC授权模型的之上，结合ABAC授权模型对用户的访问行为进行持续监测、动态身份认证和权限判定，提供持续的、可信的网络访问环境。零信任系统授权模型的核心要素，相比传统模型，扩展为用户身份属性、设备身份属性、应用和安全策略四个模块，利用设备身份属性实时采集、UEBA、动态访问控制引擎等能力，可实现业务全生命周期的检测和评估，将数据安全事件实时处理，控制影响在最小范围。

最后，零信任系统所收集和分析的各种安全相关的关键数据，在平台上都以图形化的方式呈现，方便管理员时时掌握系统最新信息和处理各种告警事件。在出现问题时，协助管理员精确定位关键人员。

本期深入剖析了网络安全领域中的四大关键威胁：勒索病毒、高级持续性威胁（APT）、内部威胁攻击和数据泄露。不仅揭示了这些威胁的复杂性和对企业安全架构的挑战，也提供了精细的防护策略。通过结合技术创新和战略性安全管理，本文强调了构建一个多层次、动态适应的防御体系的重要性，同时提出了对人员培训和网络安全意识的强化需求。

下期会从社会工程/钓鱼邮件、供应链攻击、边缘设备攻击、工业协议和控制逻辑攻击等方面深入分析对个人、企业和社会安全的深远影响及安全防护建议。