工业企业数字化转型必须面对的八大网络安全威胁及先进防护建议（二）

在前一期中，详细分析了勒索软件、高级持续性威胁（APT）、内部威胁攻击以及数据泄露四种攻击类型，从其危害、影响及防护策略等多个维度进行了全面讨论。然而，随着物联网（IoT）、云计算和人工智能（AI）等新兴技术的广泛应用，新的安全漏洞和攻击面持续出现，这一现象要求网络安全策略和技术必须不断进行创新，以适应技术环境的快速变化。本文接下来将从社会工程/网络钓鱼、边缘设备攻击、供应链漏洞利用攻击以及工业协议和控制逻辑攻击等几个热点攻击方式进行介绍，旨在为读者提供对这些新兴威胁的深入分析和应对策略。

以网络钓鱼攻击为代表的社会工程攻击是指利用人们的社交工作方式和心理弱点，通过欺骗和欺诈手段获取信息或实施恶意行为的攻击方式。在2023年，社会工程和网络钓鱼攻击呈现高度个性化和定制化、社交媒体广泛利用和多渠道攻击等发展特点，是威胁现代工业企业数字化系统和网络的主要风险挑战之一。

2023年EasyDMARC数据表明，网络钓鱼威胁从2022年1月至2023年11月显著增长，DMARC拦截邮件比例提高7.5%。2022年上半年，2.5亿/25亿电子邮件（占10.21%）被判定为钓鱼邮件。到2023年，这一比例上升至7.69亿/43.4亿（17.73%），增长75%。预计2023年底，比例将达到20%。

同时，Cloudflare基于2022年5月至2023年5月期间处理的大约130亿封电子邮件中收集数据点，结合对北美、欧洲、中东和非洲地区以及亚太地区316位安全决策者进行的调查，发布《2023年网络钓鱼威胁报告》。其中汇总了多组数据如下图：

从上述汇总的案例和数据，已证明钓鱼攻击行为成为影响面最广、增长率最快和最容易实现攻击目标的威胁行为，那如何对其进行有效防护？

钓鱼攻击和社会工程攻击通过利用人的行为习惯、社交特征和心理弱点进行，乌克兰的停电事件就是因为钓鱼邮件引发，影响了百万人的电力供应。这类攻击已成为对工业企业网络攻击的一种简单而有效的方法。如何进行有效防护成为了关键问题。

首先，学习识别和应对社会工程和网络钓鱼攻击的技巧。提高人员安全意识和网络安全知识是必要前提，是网络安全建设的必要前提。

其次，持续监控端点设备（包括移动设备）以及网络流量，以及使用先进的恶意软件检测技术，可以及早发现和阻止潜在攻击。实时监控可以帮助识别异常活动和恶意行为，并采取相应的响应措施，从而降低潜在威胁对组织和个人造成的风险。

威努特高级威胁检测系统，通过先进的人工智能检测技术捕获钓鱼邮件，实时进行安全告警，弥补由于办公人员安全意识薄弱所导致的安全事故，发现潜在的安全威胁。

然后，尽管电子邮件使用如此普遍，许多组织却仍然遵循“城堡+护城河”的安全模型，这种模型默认信任来自特定个人和系统的消息。“零信任”默认不信任任何人和任何事物。没有用户或设备能够完全无限制地受到信任并访问所有应用（包括电子邮件）或网络资源。

威努特零信任安全访问控制系统符合零信任安全访问模型，对用户访问内网基于以下原则，进行最小权限授权：

1. 不自动信任网络的安全性（内网≠可信）；
2. 对任何接入系统的人和设备都进行验证；
3. 每次访问都要进行身份验证和行为审计；
4. 细粒度访问控制策略最小权限原则。

最后，采用多因素身份验证提供额外的安全层，确保只有经过授权的用户能够访问敏感系统和数据。

威努特零信任产品，通过结合密码、物理令牌、生物识别、短信、第三方app等多种身份验证因素，可以大大降低攻击者获取未经授权访问的可能性。

近年来，网络安全威胁形势正在悄然发生根本性变化，其焦点逐渐转移至经常被忽视的边缘设备领域。特别是针对网络边缘基础设施组件如防火墙、路由器、虚拟私人网络（VPN）、交换机、多路复用器和网关等。这些组件，虽然在传统网络安全策略中往往被视为次要元素，但现在正成为高级持续威胁（APT）组织的新目标。

随着边缘计算的普及，企业需设法在专业人员现场支持受到限制的位置，保护其基础架构和工作负载。边缘计算通常涉及难以管理和维护的异构软件和硬件，从而增加落实最新安全策略和流程的复杂性。 

企业需要持续分析其边缘环境，以跟踪边缘设备、预测安全风险并提出操作建议。保护边缘安全的关键挑战在于：

• 有限或间歇性的网络访问：无法畅通联网会导致难以更新边缘设备，并且设备在离线时缺乏安全可见性。 
• 篡改和攻击：边缘环境本身地处偏远，不能始终保证边缘设备免受威胁，数据传输被窃取或篡改的攻击风险也更高。
• 攻击面扩大：边缘设备的物理分布非常广，也意味着安全问题更加难以监管，同时也暴露给攻击者更多攻击面。
• 大规模边缘设备管理：对于需要确保整个企业强大安全态势的团队，很难从容管理成千上万台设备，确保系统处于最新状态并安装所需的安全补丁。

因为边缘基础架构和工作负载不在受到保护的数据中心内，无法控制物理访问权限，所以更容易受到物理篡改和网络攻击漏洞的影响。

为应对边缘设备安全的核心痛点，威努特精准开发了一款物联网接入网关产品。该产品针对物理架构环境因素、安全防护要素、数据接入方式以及支持的协议类型等关键领域，实现了对边缘设备防护的有效适配。

边缘设备防护从攻击防护、接入访问控制、加密传输、无线有线切换和工业协议解析等完成全生命周期的安全防护。

• 接入访问控制

通过配置访问控制策略，对经过设备的数据流进行访问控制。根据实时数据包与ACL规则的匹配结果，对匹配到规则的报文执行通过或阻断动作，有效阻断不合规IP间的通信行为。

通过配置IP/MAC绑定策略，对经过网关的流量进行IP地址和MAC地址匹配校验，当外来设备接入网络时，物联网安全接入网关将拒绝外来设备向上通信，保障场站内接入设备的通信合法性。

• 工业控制指令合法性检测

自动学习网络中出现的合法工业控制指令，形成工业协议白名单，支持工业协议深度解析，有效防止网络中传输非法的工业控制指令。

• 无线通信

支持通过4G方式接入运营商网络，解决有线网络覆盖面不足的问题。

• 可靠传输

分布式网络节点数量较多，且可能处于无人值守状态，安全设备下端连接的业务设备存在网口意外掉落、人为将网口线缆拔出进行现场调试等问题，部署在PLC前端的安全设备，需具备PLC网口状态异常时，及时向调度中心告警的能力，第一时间提醒运维人员定位无人值守场站中的非法操作。

• 数据加密

在网络边界部署物联网网关，利用VPN技术，对传输通道加密，确保通信过程不被监听、劫持、篡改及破译，保证关键业务数据、控制指令传输的完整性、保密性，满足通信传输过程中数据的安全性。

• 分布式集中管理

通过统一安全管理平台对分布式节点上的安全设备做集中管控，并收集全网的安全事件，统一分析挖掘更深层次的脆弱性和威胁。

威努特物联网安全接入网关设计紧凑，造型小巧，且具备IP40、EMC 4级防护等级，部署场景广泛，产品支持有线、无线多种上行接入方式，支持通过4G建立VPN隧道，能够同时防护数百个分布式节点的网络安全问题，针对物联网场景，从接入控制、访问控制、攻击防护、加密传输、集中管理等多个方面设计功能，满足物联网场景下的使用和安全需求。

供应链攻击是指针对组织供应链中的弱点或第三方供应商的攻击行为。这种攻击利用供应链中的可信环节，通过操纵或感染供应链的一部分，使攻击者能够渗透到目标组织的系统中，从而获取敏感信息、破坏业务流程或实施其他恶意活动。

从2020年SolarWinds到2021年底Apache Log4j2漏洞事件，供应链安全漏洞频繁引发重大网络安全事件。Gartner预测，到2025年，约45%的企业将面临供应链攻击威胁，突显加强供应链安全的重要性。

2023年11月8日，勒索软件组织Lockbit利用Citrix Bleed漏洞攻击工商银行美国分行ICBCFS，导致部分系统中断。此事件导致ICBCFS暂时无法处理90亿美元的未结算交易，对纽约梅隆银行业务造成显著影响。

事实上，Citrix Bleed漏洞的受害者不止工商银行美国分行。Lockbit勒索软件组织利用Citrix Bleed漏洞连环攻击了包括波音、DP World等大型企业，给全球金融、货运和关键基础设施运营带来巨大威胁和损失。

由于供应链涉及范围较广，仅自身的网络安全建设无法满足供应链防护需求。威努特结合10年工控安全建设经验，给出相应的解决方案。

对供应链的审查和供应链评估等操作，需要客户侧职能部门在规章制度和供应链流程管理方面进行深耕。

通过威努特工控漏洞扫描可实现对国内外常见的SCADA、组态软件、HMI、PLC、DCS、应用系统等多种类型的系统或设备进行针对性扫描，准确定位其脆弱点和潜在威胁。

在面对未知漏洞的探测领域，威努特公司开发的工控漏洞挖掘平台，作为一种黑盒测试工具，专门设计用于识别工控设备中的未知漏洞并对其安全性进行验证。此平台已经成功获得了国际自动化协会安全合规学会（ISCI）的EDSA和SSA两项认证，标志着其在全球范围内仅有的六款产品之一，能够全面满足供应链安全中对未知漏洞发现的专业需求。

不同于传统的漏洞扫描产品，工控漏洞挖掘平台最核心技术是Fuzzing技术。威努特工控漏洞挖掘平台通过智能Fuzzing技术，针对不同工控设备通信协议（TCP/IP协议和Modbus/TCP、IEC 60870-5-104等各类工控协议）的特点发送精心构造的随机报文，并通过观察工控设备的各种异常响应情况来分析工控设备存在的可被利用的漏洞。

由于其基于设备缺陷注入技术的特点及对工控协议测试的针对性，可以对工控设备的各类已知（漏洞库收录）和未知安全漏洞进行全面深入的检测和挖掘，确保其漏洞检测和评估的全面性。

随着工业企业数字化转型的脚步推进，信息安全威胁逐渐向工业领域蔓延，工业控制系统信息安全形势日益严峻。如今的工业控制系统在控制规模、控制技术和信息共享方面都发生了巨大的变化，由最初简单控制的封闭系统发展成现在复杂或者先进控制的开放系统，针对工业控制系统的网络攻击事件日益增多，工业控制系统正面临前所未有的网络安全威胁。工业协议作为工业控制系统的重要组成部分，越来越受到关注。

工业控制系统的通信通常采用工业控制系统特有的通信协议，工业控制系统协议目的往往是满足大规模分布式系统的实时性运作需求，主要考虑效率问题而忽略其他功能需求。在工控系统安全面临风险越来越大的背景下，工业控制系统协议逐渐成为工控系统安全的关注点。例如，Modbus协议、S7协议、DNP3协议等常见工业网络协议，就存在严重的安全问题。

工业控制网络由现场总线技术发展而来，对于通信协议的可靠性、实时性要求很高。标准化工业控制网络协议的出现，方便地实现了各种异构现场设备之间的无阻碍通信，使工业生产更自动化。一般协议安全性问题可以分为两种：一种是协议自身的设计对安全性考虑的先天不足，即从设计方面引入的安全问题；另一种是协议的不正确实现引起的安全问题，黑客入侵时将对这些不安全的设计或者实现进行相关的渗透和利用。如下表列举常见工业协议脆弱性说明：

更是由于其私有协议的特殊性，让传统安全设备在针对性攻击面前黯然失色，那么采取何种方法能够实现对工业协议和控制逻辑类的攻击行为的检测和防护？

工业控制系统是承载国家经济发展的重要基础设施，而工业协议和控制逻辑攻击利用了工业环境中特定的通信协议和控制逻辑的弱点。发起攻击目标通常是关键基础设施，如电力网、水处理厂或制造设施，因此其潜在后果可能非常严重，包括物理损害、环境灾难、或严重的经济损失。其安全建设和防护更是重中之重。

威努特结合10年来在工控安全领域的经验，以“三重白名单固化”建立工业系统白环境，过滤一切非法访问，只有可信任的流量可以在网络上传输。如图为三重白名单固化原理图。

通过三重白名单中访问控制白名单和工业协议白名单，解决利用工业协议缺陷发起的网络攻击行为，而针对控制逻辑漏洞发起的攻击，这类攻击通常难以检测，因为它们可能不立即显现或伪装成正常的工业过程变化。其隐蔽性和复杂性更加大了工业控制系统安全建设的难度。

威努特以独创的业务工艺白名单，基于指令周期和时序逻辑进行白名单的配置。对于提前到来、超时未到、时序不符合预期的报文，结合具体业务，创建更加安全的白环境。

白名单三重固化技术实现对工控网络中的通信异常和协议异常有效检测并加以阻止，进行各生产线之间的网络隔离、访问控制以及专用工控协议的控制，可以帮助避免PLC、DCS等被攻击造成重大生产事故、人员伤亡和社会影响。

当前网络环境正经历前所未有的复杂化阶段，无论是勒索软件家族还是国家支持的黑客组织，网络犯罪者正不断优化其策略，展现出更高的智能化、迅速性及协同性。预期这一趋势在可预见的未来将持续。鉴于此，各行各业亟需采纳一套能够持续保持警觉、有效响应并适应新兴威胁的网络安全战略，以在与网络攻击对抗保持竞争优势。