摘要

安全事件追踪

丰田3.1停产事件

紧追行业热点，融安网络作为一家专注于工业互联网安全的科技创新型安全厂商，可为制造企业的MES、PLC和SCADA、DCS等工业控制系统提供全生命周期网络安全解决方案，日前跟踪到丰田安全事件。以下为融安网络对整个事件的分析和拓展，同时提出了针对行业相关企业的须重点关注部分，并为应对当前日益严峻的网络安全形势，提出了一些安全建议和应对举措，仅供参考。

事件回顾

丰田汽车公司在其官网上发布通知称，由于供应商小岛工业（KOJIMA INDUSTRIES CORPORATION）的系统出现故障，决定于3月1暂停日本14家工厂的28条生产线。

（截图：丰田汽车公司官网）

据媒体报道，丰田汽车停产事件原因是树脂零部件供应商小岛冲压工业公司出现了系统故障，疑似受到了网络攻击。本次停产预计将影响约13000辆汽车的生产，相当于丰田国内月产能的4～5％。此次丰田也是首次因供应商遭遇网络攻击而让所有工厂停工。3月2日上午，丰田恢复了其在日本的所有工厂的运营。

事件拓展分析

工业控制系统一旦遭受网络攻击将影响巨大，安全生产是制造型企业的命脉，工业控制系统的安全运行承载着制造型企业的日常安全生产。在该事件中，黑客通过勒索病毒攻击破坏丰田汽车公司的供应商、零部件生产商小岛冲压工业公司的生产控制系统网络，从而导致丰田公司生产业务陷入停滞，带来巨大财务损失，是一起典型工业控制系统遭受攻击破坏影响企业日常安全生产的事件。由此可见，工业控制系统的安全防护异常重要。

在此次事件中，结合我公司情报分析，造成此次事件中的勒索病毒主要为WannaCry、GandCrab和Hive勒索病毒等。

有关本次攻击的更多细节仍在调查中，虽然还不完全明确具体的攻击方式与路径，但这是典型的“供应链攻击”。这也不是丰田汽车第一次遭受大规模网络攻击，此前，丰田也曾多次因供应链问题而停产。

汽车制造作为典型的离散制造行业，供应商关系管理是业务流程中的关键节点，是链接生产制造的核心业务，一旦遭受网络攻击，将严重影响正常业务的开展。下图为汽车行业的典型业务流程。

图1.汽车行业的典型业务流程

由上图可以看出，供应商是汽车生产业务的源头，也是汽车制造过程中质量控制和追溯的根源，因此，供应商若出现质量或供应问题，对汽车制造商会产生牵一发而动全身的后果。企业数字化转型过程中，网络安全建设显得尤为重要。

不管这起供应链事件的起因是什么，种种问题产生背后都将指向丰田其目前的生产方式下自身供应商的网络安全生产管理水平仍处在较低位置。

也不难推测出，丰田后续或将供应链厂商的网络安全建设及防护水平以及应急响应水平纳入日常考核，以提升对抗网络安全风险的能力，保障持续稳定的生产流。让整体供应商的网络安全水平上一个台阶，才能比较有效地应对未来可能发生的网络攻击或者破坏。

目前，结合此次事件分析，制造业企业应重点关注以下几点：

1）制造企业遭受新型的勒索病毒攻击方式

近年来，勒索软件的攻击模式呈现多样化，传统勒索软件的攻击模式也将演变为包括基于渗出信息的数据敲诈、双重勒索到多重勒索的转变，甚至会出现勒索病毒和供应链攻击的结合，勒索方式将变得更加复杂。

例如，在该事件中，黑客通过勒索病毒和供应链攻击的相结合手段，破坏丰田汽车公司的供应商、零部件生产商小岛冲压工业公司的生产系统网络，导致丰田汽车公司的日常生产运营陷入停滞，从而达到敲诈勒索的目的。

2）警惕将会出现“双重勒索”

“双重勒索”是指黑客首先会窃取制造企业的生产系统机密数据，然后对企业的生产系统数据进行加密，如果被攻击企业拒绝支付赎金，黑客就会公开企业敏感的生产系统数据，该种方式也称为“勒索软件2.0”。

“双重勒索”使得企业单位不仅要面临生产系统停滞及破坏性的数据泄露，还有相关的法规、财务和声誉影响，间接增加被攻击企业单位满足黑客非法要求的压力。

3）精心设计的APT攻击

根据情报分析，造成此次安全事件的将是黑客针对制造行业领域工业控制系统一次精心设计的APT攻击行为，致使小岛冲压工业公司难以短时间内恢复正常的生产。

APT攻击，称为高级可持续威胁攻击,特指某个黑客组织对特定对象展开的持续有效的攻击活动，这种攻击活动具有极强的隐蔽性和针对性。APT攻击过程中，可能经历多个阶段的尝试，最终达到想要的目的，如通过初始访问打开进入企业内部的入口，通过横向移动转移到目标主机，通过命令与控制持续地控制目标，最后窃取数据或造成影响。以下为APT攻击流程图。

图2.APT攻击流程

整个过程中，初始访问的入侵点、命令与控制、造成影响的主机可能为不同的主机。因此在短时间内很难找到攻击者在何时，以及通过何种方式来入侵到公司内部网络中，甚至经过时间的推移，最初的入侵痕迹可能被彻底清除。由此，针对制造行业企业单位生产系统网络的APT攻击防护，更应提上企业日常网络安全工作日程。

4）需紧急彻查供应链网络安全问题

为了减少和消除勒索病毒造成的攻击影响，应启动应急预案，迫切全面开展针对供应链安全的安全检查工作，终止供应链网络业务的接入，彻查造成此次勒索病毒攻击的原因，全面梳理供应链存在的安全问题和隐患，立即进行安全整改和加固，提升供应链以及企业主体自身整体网络安全防护水平。

安全应急响应“五步法”

那么，针对供应链中的工业安全事件，企业应如何进行应急响应？作为一家专注于工业互联网安全的科技创新型安全厂商，融安网络建议在应急响应方面，需严格遵循网络安全法、等级保护等相关法规标准规范要求，可从“确认—抑制—根除—恢复—跟踪”五步法进行安全应急响应。

制造行业企业单位应结合《中华人民共和国网络安全法》、等级保护标准和工业互联网企业网络安全分类分级指南等法规标准规范文件，加强企业单位的的工业控制系统网络安全应急管理工作，建立应急响应技术储备，完善应急预案，定期开展工业控制系统网络安全应急演练。针对本次事件，若制造行业企业单位感染勒索病毒攻击，应根据应急预案采取如下措施开展应急响应，如下图：

图3 应急响应阶段循环图

确认（现场保护）

提取现场证据，抓取网络流量数据，重启操作系统、应用系统，停止无关系统服务、删除或停用系统多余无关账户、开启系统自带防火墙功能封锁高危端口、使用杀毒工具进行快速扫描。

抑制（隔离和报备）

断开被病毒感染服务器和终端的网络链路，进行重要数据备份，根据应急预案流程开展处理和上报。

抑制（应急恢复）

启用备用系统，联系系统设计单位，评估通过新增服务器和工作站代替故障服务器的形式，重新部署系统应用的可行性和时间。安装最新版本的操作系统和应用软件，并安装更新最新的系统补丁和软件补丁，启用操作系统防火墙、启用安全加固策略，封闭高危端口，安装杀毒软件并进行查杀，且部署对应的系统应用。

根除（溯源和分析）

记录和提取重要数据，找出系统网络拓扑图和资产表（现有系统网络拓扑图和资产清单），抓取现有的网络数据流量，全面排查分析。并分析各种勒索病毒感染后的特征，确认勒索病毒的具体种类，结合公开勒索病毒解密库资源，查找解密工具。

恢复（处置和恢复）

对被病毒感染的服务器和终端等进行格式化处理，彻底清除存在的恶意代码；重新安装操作系统和业务应用系统，并对操作系统进行安全加固，对现有网络进行安全整改和加固，添加网络监控和防护类技术措施；部署业务应用，恢复系统功能。

跟踪（持续监控）

定期更新应用或系统补丁，完善备用系统的建设、应急预案建设，加强人员安全培训、优化内部管理流程，完善网络安全管理体系，加强网络安全应急演练，开展等级保护备案和测评工作。

全面构建企业生产控制系统安全防护体系

受此次安全事件影响，后续行业应如何加强网络安全建设工作，以应对当前日益严峻的安全态势？融安网络建议将从落实工控系统体系规范、技术支撑、安全监管等多方面构建企业生产控制系统安全防护体系，全面提升用户的网络安全建设水平，达到“平稳、健康、持续”的工控网络安全运行目标，从而实现保障企业生产控制系统网络安全，免受勒索病毒攻击破坏。

（一）工控系统体系规范

落实汽车制造行业领域工控网络安全标准规范体系。依据等级保护2.0的标准，结合《工业控制系统安全防护指南》、《工业互联网企业网络安全分类分级管理指南》和《网络安全分类分级防护系统规范》等国家以及行业标准规范要求，融安网络建议业主单位应进行汽车制造行业领域工控系统网络安全标准规范设计服务，落实汽车制造行业领域工控网络安全标准规范细则。

加强人员安全培训和认证服务。建议业主单位加强工控网络安全知识推广和教育，推进管理人员安全意识教育和恶意代码防护技能培训，促进管理人员安全意识和技能提升，结合培训和人员认证，实现安全管理人员“持证上岗”，降低和消除由于人员管理不当造成勒索病毒攻击的安全风险。

强化工控网络安全攻防实验环境。建议业主单位强化汽车制造行业领域工业控制系统网络安全实验平台环境，搭建工控网络安全攻防实验平台环境，模拟冲压、焊装、涂装和总装等生产车间的工控系统网络，通过实验环境，提供实训操作和安全展示，提升企业人员工控网络安全认知和技术防护水平。

（二）强化工控系统技术支撑

完善工控网络安全技术服务。建议业主单位建立工控网络安全技术服务体系，可咨询和委托专业厂商进行相应的等保咨询、安全检查、安全运维和应急保障等各项技术服务，提升日常网络安全管理水平，降低和消除企业单位遭受勒索病毒攻击的安全风险。

整体提升工控系统网络安全防护能力。建议业主单位加强包括针对冲压、焊装、涂装和总装等生产车间的工控系统网络安全防护能力建设，为工控系统网络增添安全评估、安全防护和安全监测等技术措施，提升整体工控网络安全防护能力，降低和消除生产系统遭受勒索病毒攻击的安全风险。

（三）工控系统安全监管

加强企业生产系统安全监管平台建设，建立包括恶意代码监测、网络监控和安全事件预警等统一监管平台，从整体上防御勒索病毒的攻击。在监管单位网络中心建立工控网络安全监测平台，同时在下属各企业或生产车间内部网络部署数据采集装置，建立专用工控网络监测网络，可实现网络安全的数据信息采集、及时掌控全局工控安全状况、实现企业安全事件的及时预警及追踪溯源等能力，最终实现业主单位的企业生产系统安全运营，降低遭受免受勒索病毒攻击破坏的风险，实现安全生产。