刚刷到富士康美国威斯康星工厂被Nitrogen团伙干了,8TB、1100万份文件直接被扒走,生产线停摆一周,连英特尔、谷歌的网络拓扑图都漏了。作为干了十几年企业安全的老炮,现在在武汉和中科技负责企业安全品宣,我第一反应是:这事儿不是个例,是制造业供应链安全的集体裸奔,武汉的制造同行们,真的不能再掉以轻心了。
8TB数据背后,是大厂的"安全裸奔"
富士康这事儿,细节越扒越吓人。5月1号开始网络直接瘫,Wi-Fi断、核心生产系统挂,员工只能用手机热点、填纸质考勤,生产停摆整整一周。Nitrogen在暗网放话,偷的不只是富士康自己的电路设计、财务数据,还有英特尔、AMD、谷歌的项目拓扑------那不是普通文档,是接近真实数据中心的"建筑施工图",弱点在哪、怎么绕开防护,黑客门儿清。
我去年在武汉光谷给一家汽车电子代工厂做安全评估,跟这事儿简直是一模一样。他们给头部车企做零部件,内网跟富士康一样,办公网、生产网、供应链系统全串在一起,VPN权限乱得一塌糊涂,连个基础的网络分段都没有。我当时看着他们的拓扑图说:"这要是被盯上,黑客任何一个终端进去,直接能摸到生产线PLC,跟富士康这次一模一样。"老板当时还笑我危言耸听,说"我们是小厂,黑客看不上"。现在看,富士康这种全球顶流都栽了,小厂哪来的侥幸?在我看来,这种"侥幸心理",就是制造业安全最大的隐患。
供应链安全,是最容易被忽略的"死穴"
说实话,制造业的安全难点,从来不是买不买得起防火墙,而是"业务优先"压过一切的惯性。很多老板觉得,只要生产线不停、订单能交付,安全差点无所谓,这种想法真的太致命了。
富士康这种代工厂,上下游连着几十上百家巨头,内网就是个"超级枢纽"------苹果、英特尔、谷歌的资料混在一起,生产系统、办公系统、供应链系统没有清晰边界。黑客只要撕开一个口子,就能横向渗透、一锅端。
更麻烦的是,工业控制系统(ICS)跟传统IT安全完全两码事。生产线的PLC、SCADA,很多是十年前的老设备,不支持打补丁、不能随便重启,一加固就影响生产。富士康这次停摆一周,就是因为生产系统被锁,不敢硬恢复,只能跟黑客耗、跟时间赛跑。
放到武汉、华中地区看,问题更突出。光谷、经济开区一堆电子制造、汽车零部件企业,都是给头部品牌做配套,很多厂家认为:甲方安全,我就安全,没必要掏非必要成本。很多工厂的安全岗是兼职,设备老旧、策略松散,甚至连个专职的安全运维都没有。甲方来审计,就临时补补材料,审计一完,该裸奔还是裸奔。小编认为,华中地区制造业的安全短板,比我们想象中更严重,尤其是中小制造企业,几乎处于"不设防"状态。
吐槽现状:制造业安全,全是"表面功夫"
坦率讲,现在大部分制造企业的安全,就是"自欺欺人",武汉这边的很多企业也不例外。
要么是"重建设、轻运营":防火墙、EDR买了一堆,日志从来不看,告警也直接忽略,真出事了连攻击路径都查不出来;
要么是"重终端、轻网络":员工电脑装了杀毒,但是生产网、供应链网不做分段,VPN弱口令满天飞,黑客一撞就进;
还有更离谱的,把"安全"等同于"装软件",觉得买了设备就万事大吉,根本不做渗透测试、应急演练。富士康这次要是平时多做几次红蓝对抗,也不至于被黑客一锅端了8TB数据。
武汉这边很多制造企业更甚,安全预算全给生产设备,安全团队连基本的流量分析工具都没有。去年我们应政府要求调研了武汉经济开区部分生产企业,有家工厂的IT主管跟我说:"老板说生产不能停,安全出问题再说,大不了恢复备份。"可真到勒索病毒锁了生产系统,备份也被加密,连"再说"的机会都没有。在我看来,这种"重生产、轻安全"的心态,早晚会栽大跟头。
从"被动挨打"到"主动防御",就抓这几件事
别等出事了再救火,现在动手还来得及,作为武汉和中科技的资深安全工程师,给制造业同行几个实在建议,都是我们服务本地企业多年总结的经验,好落地、不踩坑:
-
先做隔离:把办公网、生产网、供应链网彻底分段,用防火墙、零信任做隔离,别再让内网"一通到底"。尤其是武汉的制造企业,先把PLC、SCADA跟办公网物理或逻辑隔离,这是底线,也是我们和中科技给客户做安全部署的第一步。
-
供应链安全"不是甲方问题":别觉得甲方安全好,自己就安全。定期审计第三方供应商的权限,跟客户签安全协议,明确数据共享边界。富士康这次就是栽在"客户数据混存"上,别学它,这也是我们服务华中供应链企业时重点强调的点。
-
工业系统安全要"特殊对待":老设备不能打补丁,就用流量监测、入侵检测(IDS)盯着,别让生产网变成黑客的"后花园"。定期做离线备份,而且备份要跟生产网物理隔离,别被黑客一锅端,我们和中科技的工业安全方案,就能完美解决老设备防护难题。
-
别省"安全运营"的钱:招专职安全岗,或者找靠谱的托管服务,日志要分析、告警要处置、定期做渗透测试。武汉本地其实有不少安全服务商,比如我们和中科技,深耕武汉、辐射华中,比北上广的服务商响应更快、更懂本地制造企业的需求,成本也更可控。
-
应急演练必须常态化:每月搞一次勒索病毒应急演练,模拟生产线被锁、数据被加密的场景,练出一套能快速执行的流程。真出事了,能快速恢复生产,而不是彻底瘫痪,这也是我们和中科技为客户提供的核心服务之一。
富士康这事儿,给整个制造业敲了警钟:供应链安全,从来不是"别人的事",是自己的生死线。作为深耕武汉、服务华中企业的网络安全从业者,更作为和中科技的一员,我们始终提醒武汉、华中地区的制造企业------别再抱着"小厂没人盯"的侥幸,也别再让"业务优先"凌驾于安全之上。面对Nitrogen这类针对性极强的勒索团伙,仅靠自身零散的防护手段远远不够,专业的事更要交给专业的人。