从丰田、台达停产事件，看网络安全的外部因素

事件回顾

据有关媒体报道，由于一家主要供应商遭受到网络攻击，丰田汽车将于3月1日关闭其在日本的所有工厂。据悉，供应商受到网络攻击已经导致零部件供应管理系统停止运行。

2020年，本田因内部系统感染病毒而关闭了9家工厂。去年 12 月，丰田旗下最大的零部件制造商电装（ Denso ）遭到一群黑客的攻击，并泄露了员工的个人信息。而此次停产，预计将影响13000辆的生产。

其实这也不是丰田汽车第一次遭受大规模网络攻击，早在2019年，丰田汽车遭到黑客攻击，旗下多家在日本的子公司310万用户信息受到影响。此次黑客攻击的服务器上，存储有近310万丰田用户的信息，包括了用户姓名、地址、出生日期、身份信息和就业方面的敏感信息，黑客获取的信息主要是来自东京的经销商，也可能包括日本之外的消费者的信息。

 

网络攻击防不胜防，企业哪些地方更容易中招？

细想一下，丰田、台达作为行业领域的领头羊企业，其信息安全防护工具比较完善，为什么还会出现勒索病毒事件？有一句俗语大家可能都听过，最坚固的堡垒往往都是从内部开始崩坏的。对于这些大型企业的网络安全问题来说，可能这种说法同样适用。

1、误点带有病毒的电子邮件中招

人毕竟不是机器，不能够说准确不失误地类似机器执行代码一样去工作，人的精力、注意力都是有限的。而现在的黑客往往就是利用人的这一弱点，通过技术手段，将带有木马、病毒的电子邮件，伪装成企业员工的内部来往邮件，从而使员工中招。

2、U盘的使用缺乏科学管理，导致中毒

在日常的工作过程中，文件、数据交换是频繁需要做和发生的一件事，在这个过程中，不可避免地就需要用到U盘，而U盘的使用场景也非常多样，这样就非常容易将不明来源的病毒引入到企业内部，导致中毒事件发生。

3、企业内部员工的安全意识有待加强

一些拥有相关权限的员工，被黑客利用，通过利诱、威胁等手段，相关权限被黑客利用，使得企业中招，蒙受损失。

 

通过以上分析，我们可以知道，信息安全是一个体系，是技术手段和管理手段的集成，是被动思维和主动思维的集成，是日常工作和安全意识的集成。

 

企业中招勒索病毒可能忽略的外部因素：供应商、子公司

即使自身的网络安全防护工作已经做到完善，而来自外部的供应商、子公司的病毒威胁来源更是防不胜防，一方面无法去强制使其完善和强化相关的企业应对勒索病毒威胁的措施，另一方面，还不得不进行一些数据传输工作和业务来往，这就使得企业的勒索病毒防护工作，又增加了一个新的难度点。

 

众里建议：大型企业的网络安全工作需做整体评估

通过以上一系列分析，可以说即使是一些大型企业，在勒索病毒防护、企业信息安全管理上依然有很多可能忽视或做的不足的地方，这些因素都给勒索病毒的入侵创造了条件和可趁之机。下面就跟大家说说众里数码关于网络安全工作整体评估的一些流程步骤和细节。

1、事前有效控制病毒入侵途径：

这里就包括来自互联网方向的入侵以及来自终端方向的入侵，具体来说，即通过互联网安全设备阻断来自互联网的威胁，通过内部安全软件和安全策略阻断来自终端的威胁。

2、事中有效的控制病毒威胁范围：

这里考虑的是病毒一旦突破我们的第一道防线，我们要控制住它，隔离它。具体来说就是通过VLAN技术、区域隔离防火墙、杀毒软件等等提升内部网络对其的有效应对，不让病毒横向传播。

3、事后兜底，这是病毒突破了我们前两道防线

已经对我们的信息化数据施行了破坏，我们怎么办呢？这是我们的底线，我们将通过备份措施、快速恢复措施、应急处置等，快速恢复业务，让工作最短的时间恢复。

 

对于一些细节部分，依然需要重视起来，基本包含以下几点：

互联网安全：严防外部威胁入网

一、入网关口防护

1、NGFW（FW+IPS+WAF+AV） ：抵御来自互联网的攻击和渗透，同时做好病毒文件过滤。

2、行为管理：确保内网终端访问互联网的合规使用，不访问威胁网站。

二、VPN安全接入

1、移动接入：外部用户访问内网资源，通过SSL-VPN方式（有认证、有权限、有加密），端口映射不可取。

2、分支接入：分支之间通过互联网组网，通过Ipsec-VPN方式（建议防火墙对接，可以做组网安全）

三、DMZ区域设计

1、对外发布的业务部署在DMZ区，制定DMZ区域和内网区域的权限设定，一般设计为LAN-DMZ连接允许，DMZ-LAN连接拒绝。

 

终端安全：控制内部威胁入网

一、主机防护

1、终端杀软：基于操作系统的保护，病毒一旦入侵网络，提供末端最基本的防护

2、入网规范：确保入网人员合规（应对外部人员用内部终端），确保入网终端合规（应对外部终端）

3、桌面管理：基于桌面权限的管理，降低由USB外设等引入病毒的风险。

4、补丁管理：高危漏洞及时修复，避免勒索病毒通过漏洞传播。

5、脆弱项管理：端口（RDP）、密码（弱密码）、基线（软件防火墙）

二、数据保护

1、文件备份：文件主动收集存储，避免文件被加密，导致日常工作不能正常进行。甚至关键岗位资料被加密带来的企业运营风险。

 

网络区域规划

一、划分原则：按照功能服务方向进行划分，例如

1、（互联网接入区）提供互联网带宽接入服务

2、（数据中心区）提供服务器业务发布服务

3、（终端接入区）提供工作人员办公设备接入服务

4、（工业控制区）提供生产网络设备接入服务

5、（运维服务区）提供管理人员对全网进行运维服务

二、划分目的：

1、作为区域安全隔离措施的前提

2、降低故障出现时对全网的影响

3、区域内加固措施的统一施行

三、划分办法：

1、物理划分，即设备网络

2、逻辑划分，即IP网段划分

 

数据中心加固：保护核心业务系统

一、网络防护

1、NGFW（FW+IPS+WAF+AV）：为了应对来自内网终端横向业务系统数据的威胁行为。

二、主机防护

1、服务器杀软：基于操作系统的保护，病毒一旦入侵网络，提供末端最基本的防护

2、防勒索软件：打开进程白名单机制，限制文件打开程序，确保病毒无法加密业务数据

3、补丁管理：高危漏洞及时修复，避免勒索病毒通过漏洞传播。

4、脆弱项管理：端口（RDP、SSH、FTP……）、密码（弱密码）、基线（软件防火墙）

三、数据保护

1、数据备份：全业务的有效备份（成功备份、备份有效、定期演练）

2、数据库安全：数据库FW+防水坝，确保数据库操作的规范，不被恶意破坏。

 

产线网络：守护企业安全生产

一、网络边界防护

1、NGFW（FW+IPS+AV）：OA网络和产线IT网络之间的边界防护，避免OA网络病毒引入产线IT网络。同时防火墙进行软补丁保护。

2、工业FW：产线IT网络和控制网之间的边界防护，工业协议白名单防护，确保产线IT网络的病毒无法入侵控制网。

二、主机防护

1、主机杀软：基于操作系统的保护，病毒一旦入侵网络，提供末端最基本的防护

2、工安软件：打开进程白名单机制，限制文件打开程序，确保病毒无法加密业务数据；USB外设管控，避免威胁从外设存储引入（震网病毒事件）

3、脆弱项管理：端口（RDP、SSH、FTP……）、密码（弱密码）、基线（软件防火墙）

 

企业安全实施渗透测试并持续维运的重要性

通过以上的方案介绍，就可以百分百做到企业安全了吗，实际上也未必，持续的企业安全渗透测试以及维运同样是勒索病毒威胁防护的重要步骤和不可或缺的。

运维安全的几个要点

一、安全态势

1、 IT网络安全态势：看清网络威胁，发现IT网络（TCP/IP）中的安全隐患，提供整改加固依据。

2、工业网络安全态势：看清网络威胁，发现OT网络(工业协议)中的安全隐患，提供整改加固依据。

二、日志系统

收集全网软件硬件日志信息，集中存储、分析、展示和预警，做到事前风险提醒、事后时间追溯。