制造业的安全趋势研究报告

制造业的安全趋势研究报告

知和运信息都是“皇冠上的宝石

”

◀ 上一

下一 ▶

目

行概

要

制造域得关注的已

公 开意外事件

“坏家伙”在哪里？ 内部人

与外部人

制造域受控客端

中 的主流攻方法

建与减措

施

保企安全并降低成

本 与复性

IBM Security 介

行概要

首先来个好消息：根据 IBM®Security Services

的控果，制造客在 2016 年遭受的攻

要 少于所有其他行的客。再来个坏消息：

制 造中所遭受的“安全意外事件”（即属于最

重分 的安全攻事件）所占的比例比其他所

有行 的平均比例几乎要高出 40% （ 1 ）。

体来 ，根据 2017 年 IBM X-Force 威情

指数披 露，制造是 2016 年按受攻次数排

序位列第三 的域。

尽管制造域的安全意外事件数量要高于各个行

的平均水平，但在 2016 年，制造域所遭受的

攻次数和安全意外事件数量同比都有了大幅下

降。就所有行而言，从 2015 年到 2016 年，

些数据也有大幅下降：攻次数下降了12%，安

全意外事件的数量下降了 48%。

制造域的下降幅度同很大：攻次数下降

了 38%，安全意外事件的数量下降了 53%。

定

安全事件：安全或安全用到的

生在系或网中的活。

攻：关和分析工具将其

集、乱、摒弃、化或毁坏信

源或信息的意活的安全事件。

安全意外事件： IBM 安全分析且

被得一步的安全意

攻和/或安全事件。

54,681,413 次

所有行制造

安全事件

58,030,378 次

安全事件

1,019 次 攻

93 次 意外事件

802 次攻

130 次 意外事件

1. IBM 在 2016 年控的比（各个行的客与制造客）。（有关“安全事件”、“攻”和“安全意外事件”的定，

参的“定”部分。）来源：IBM Managed Security Services 数据，2016 年 1 月 1 日至 12 月 31 日。

2

◀ 上一

3

下一 ▶

目

行概

要

制造域得关注的已公

开 意外事件

1 • 2

“坏家伙”在哪里？内部人

与外部人

制造域受控客端中

的 主流攻方法

建与减措

施

制造域得关注的已公开意外事件

由于 2016 年制造域公开披露的意外事件非常

少，因此据 IBM X-Force 研究的猜，可能有

一些意外事件并未告，或是因制造

的 管力度或力度并没有金融服、医

保健 和零售等行那苛。尽管如此，仍

旧有些 得关注的意外事件行了公开披露，

比如全球 最大的材制造商之一的商机密在

一年里遭 到了网盗窃事件。1

在制造商眼中，知 (IP) 和内部运信

息 (OI) 都犹如“ 皇冠上的宝石” 般珍，因

不会 像金或个人身份信息那容易被忽略，

但网 犯罪分子和商交易商依然其虎

眈眈。

攻者会利用各种机会，采用已在其他行

得 到的攻施攻。其中一种方式

就是 使用商件攻 (BEC) ，包括全球

攻，攻的目的是攻公司高

管的合法 商子件，他的工

行未授 的操作。2

保企安全并降低成本

与 复性

IBM Security 介

关于本告

本 IBM X-Force 研 究 告 IBM Managed Security Services

威研究小写，小由丰富、技能熟的安全

分 析成，致力于及向 IBM 的客通知最新的网

犯罪 威，使他做好充分准。研究分析了来自

多个内 部/ 外部来源的安全数据，包括来自由 IBM 托管并

控的 端的安全事件数据、活与。

◀ 上一

4

下一 ▶

目

行概

要

制造域得关注的已公

开 意外事件

1 • 2

“坏家伙”在哪里？内部人

与外部人

制造域受控客端

中 的主流攻方法

建与减措

施

保企安全并降

低 成本与复性

IBM Security 介

BEC 攻也会以工的税数据目，在 2016 年，制造也未能幸免；在一年，勒索

然 后利用些数据得欺回并在暗网市件和数字勒索几乎在每个行、每个地区都找

上出 售。2016 年 4 月，一家船用机与供

公司披 露其遭受了 BEC 攻：公司的一

名工不 意将所有工的 W-2 表格提供了成 了攻者的目，攻者威称，如

一个未授 的第三方。此意外事件的成本

3

非常高昂：每 条失或被盗都包含有敏感的得的数 据。5有一家聚氨和氧脂品制

机密信息，平均 泄露成本高达 156 美元；因此制

造商均尽最大 努力阻止可能会造成数据泄露的就会出售 盗窃到的数据。6

一切威。

到了立足点。4 在一次意外事件中，一家与美国海

有往来的筑混凝土与建筑服公司

公司 不支付金的， 他就会出售盗窃

造商也遭 到了相同的威：支付金

威形刻不容。勒索件播的速度和步

伐 非常快，尤其是勒索件即服 (RaaS)7 也已

出 ，因此，制造商采取一切可

施做 好有效的响准。

投机型攻者使用子件、勒索

件和数字勒索等手段从制造商

取金 。

◀ 上一

5

下一 ▶

目

行概

要

制造域得关注的已公

开 意外事件

“坏家伙”在哪里？内部人

与外部人

制造域受控客端中

的 主流攻方法

建与减措

施来源：IBM Managed Security Services 数据，2016 年 1 月

保企安全并降低成本

与 复性

IBM Security 介

“坏家伙”在哪里？内部人与外

部 人

安全主管及其每年都会解决多起攻事件，

也将会持威来源，以便其防御措施

和 算行先排序。安全的第一步

是 源 IP 和目 IP 来自于内部是外部，

然后 一步相关的攻模式，以确定攻

事件属于 意性是由于疏忽所致。

些天他有什么？大多数攻者是外部

人 ？或者其遭受的大部分攻来自

于内 部人？

据 IBM Managed Security Services 2016 年 的

控数据（ 2 ） 披露， 外部人攻的数量

(91%) 要高于内部人攻 (9%) ；而在内

部

人攻中，由于疏忽造成的攻数量 (5%) 略

高 于意内部人的攻数量 (4%)。

制造客的攻来

源

疏忽人

5%

外部人 91%内部人 9%

意内部人

4%

2. 2016 年，制造遭受的外部人攻数量要高于内

部 人攻。

1 日至 12 月 31 日。

据 2017 年 IBM X-Force 威情指数披露，在

遭受攻最多的五个行中，有两个行遭

受 的外部人攻数量高于内部人攻，分

是 零售和信息/通信。

外部人包括金充裕的黑客、有的犯罪

集 和民族国家攻者。制造域遭受的大

数外 部人攻都是采用 SQLi 和 CMDi 等注

入式攻 机制起的。

◀ 上一

6

下一 ▶

目

行概

要

制造域得关注的已

公 开意外事件

“坏家伙”在哪里？内部人

与外部人

制造域受控客端中的主流

攻 方法

了澄清并更好地了解会制造商造成影响的

威

型 ， IBM X-Force 按 照 依 据 MITRE

Corporation 的 CAPEC™（常攻模式枚

与 分）制定的准其在 2016 年到的

攻 型行了分（ 3）。

据 MITRE 的介，他的系“ 会根据攻者在

漏 洞利用方面常使用的攻机制分次地

攻 模式”。唯一的例外就

(Indicator)” ，的作用是描述威与

攻模式的条件 和情境信息。

制造域受控客

端中的主流攻方

法

受控制造客所遭受的主要攻

型

注入意外目

74%

1 • 2 • 3 • 4

建与减措

施

保企安全并降

低 成本与复性3%

IBM Security 介

用有功

能

收集并分析信息

操控系

源

指示器

操控数据构

使用概率技

破坏控

制

7%

7%

5%

2%

利用欺性互

2%

1%

<1%

3. 注入式意外事件几乎占到制造 2016 年所遭受全部攻型的四分之三。来源：IBM Managed Security

Services 数据，2016 年 1 月 1 日至 12 月 31 日。

◀ 上一

7

下一 ▶

目

行概

要

制造域得关注的已

公 开意外事件

“坏家伙”在哪里？ 内部人

与外部人

制造域受控客端

中 的主流攻方法

1 • 2 • 3 • 4

建与减措

施

保企安全并降低成

本 与复性

IBM Security 介

以下章将每个攻型行更的

介 。

注入意外目

IBM Managed Security Services 2016 年所遭

受攻的分析果示，排名第一的攻型

是 使用意入数据来控制或乱系；

在 IBM X-Force 控的制造客中，有 排名第二的攻型是攻者用或操控“

74% 的 客遭到了此攻。数据

高于其他行 所遭受此攻的占比 (42%)。入到 会使目的功能受到影响的某个点上

命令注入（包括操作系命令注入 (OS CMDi)

及 SQLi ）即属于个型的攻。SQLi 攻

在 所有攻型中的占比 45% 。OS CMDi

攻 的占比是 18% ，攻又被称作“ 外壳

命令注 入”，目前臭名昭著且广泛盛行的“破壳”

漏洞也是 以此命名。8另外有 11% 的攻采

用的是其他 型的注入方法。

些控果表明，攻者往往运行

的 SQL 服器的制造商攻目。例来，

SQL Server 2005 的支持已于 2016 年 4

月停 止。9 于仍在运行 SQL 2005 的企而言，

如果 不升的，就可能会存在重的安全漏洞。

用有功能

用的一个或多个功能，以将某

此攻 在制造中的占比是 7% ，高于其他行

客的 平均占比 (2%)。

在受控制造企所遭受的攻中，有四分之三的

攻 属于以数据 (SQLi) 和操作系 (OS CMDi)

目 的注入式攻。

◀ 上一

8

下一 ▶

目

行概

要

制造域得关注的已

公 开意外事件的攻 事件（占比 3% ）能指示目系

“坏家伙”在哪里？ 内部人

与外部人

制造域受控客端

中 的主流攻方法

1 • 2 • 3 • 4

建与减措

施

保企安全并降低成

本 与复性

IBM Security 介

收集并分析信息指示器

攻者会采用收集并盗窃客端信息的

方 式行攻，此攻型的占比 7%。大

多数 此攻都与数字指有关，通常种攻或 模式的情景式信息构成。此“指示

被 一种方式，旨在收集潜在目上

的信息， 以其中的有漏洞。从根本上来的 攻或成功攻。大部分此攻的目

，攻者 会来自目系的出与用于

目相关特 定情（如操作系或用的外部定位， 可能指示内部主机已受到危

型或版本）的 已知“指”行比。攻者能

使用些信息 目 IT 基架构中的

已知漏洞并完善他 的划。至被到并被制 止止。

操控系源操控数据构

攻者会操控系源的状或可用性，

种攻型的占比是 5%。种源包括文件、 造服域， 此攻的占比

用、以及配置信息。在种攻型中，有 2%。可能是因攻者此攻在制

攻 者一旦成功，便会致服拒，将目造 域取得成功的可能性小。此攻是指

机器 感染僵尸网的一部分，授攻者攻者 通操控系数据构来得非授

公司 的网或在目上行任意代。

注意“指示器”并不属于 CAPEC™ 攻机制。网

威指示器由特定的可条件及有关条件

系会 首先在短内遭到 100 次或以上的

如果主机受到 危害，主机可能会无意地

他目，或与其 他受危害的主机行通信，

此攻在其他行中的占比高达 32%，而在制

限。正如 CAPEC™ 中所述，“ 通常而

言，由于系 及其期理程中的模糊

性和假，会 致系中存在着多漏洞 [

如存溢出漏 洞] ，而致其数据构也可

攻者所用。”11

◀ 上一

9

下一 ▶

目

行概

要

制造域得关注的已

公 开意外事件

“坏家伙”在哪里？ 内部人

与外部人

制造域受控客端

中 的主流攻方法

1 • 2 • 3 • 4

建与减措

施

保企安全并降低成

本 与复性

IBM Security 介

利用欺性互破坏控制

此攻的占比是 2%；在此攻中，攻者此攻是指攻者“利用目管理身份与

会 通子欺的方式受害者行某授 所用的机制中的漏洞、限

操 作，比如点劫持或用界面装攻。 14” 破坏控制，其占比不到 1%。在大多数

在此 攻中，攻者会劫持受害者的点此攻 中，攻者会利用服器向有

操作， 而且可能会起一步攻。算机端予的 默示信，攻目系客端

并非唯一目 。 近期布的一篇告特

指出， 安装 Android 系的移在使用

Google Play 用容易遭受点劫持的攻。

使用概率技

在所有攻中，占比 1% 的攻型是：攻

者 使用 CAPEC™ 中所述的“ 概率技探索并攻

克目 的安全属性。” 13大部分此攻都涉及

暴力密 破解攻，在种攻中，入侵者会

猜 用名与密合，以得系或数

据的非授 限。据 IBM X-Force 的，

大部分此 攻的目都是安全外壳 (SSH) 网

。用 之所以偏使用 SSH 服，是因

服能提供 安全的程。服的劣

在于它能攻 者提供网中的外壳

限。

器之用 于定与数据完整性所用

信通道中的漏 洞。

此攻包括中人 (MITM) 攻，即攻

者 截并两方（ 人或系）之

的消 息。通种技，攻者可以得

信息的 限和/ 或盗取往来信息，或者

接中插入 意代。

◀ 上一

10

下一 ▶

目

行概

要

制造域得关注的已

公 开意外事件

“坏家伙”在哪里？内部人

与外部人

制造域受控客端

中 的主流攻方法

建与减措

施

1 • 2

保企安全并降

低 成本与复性

IBM Security 介

建与减措施

安全的生境和可信的供是制造商有

信 息与品安全保的关。根据本告的

果， 我制造商提出了以下几点最佳

践指 南。

采用集中式的丁修复，持数据入“生”

在制造的攻中，排名第一的攻型

是 使用 SQLi 或 CMDi 等意入数据。若要减

此 攻，当前的件版本行丁修复

和 非常关。在一方面，管理遭遇的

是需 要成千上万台端的多个操

作系和 用行丁管理和部署。幸运的是，

制造企可 以采用 IBM BigFix® Patch

Management 解决方 案自完成并化丁修

复流程。

除了及修复丁之外，入数据的控制与“生

” 也是减注入式攻的重要步之一。攻者

可 以采用多种方式利用“ 不生” 的入数据

起攻 ，因此必全面数据生。而言

之，要 所有用入行。

端与响

通高效的端与响解决方案来确

保 网可性，可帮助您快速 SQL 和命令

注入 攻。IBM BigFix Detect 解决方案采用高

行 分析功能来新威和回避威，而

且能 您提供攻遏制和救所需的各种工具。

意外事件响服

2016 年 Ponemon 行的“数据泄露成本研”

果示，建立一支意外事件响作

网 防御的一部分，能将条的数据泄

露成 本降低 16 美元（从 158 美元降至 142 美元

）。 于意外事件而言，种条的成本

降低就 意味着数百万美元的成本省。

X-Force Incident Response and Intelligence

Services 解 决方案能帮助您高效做好准并通

久 的响略响网攻，因此是

降低数据泄露 体成本的关所在。

制造与云

云技正在推着制造的革 ，因此考

15

采 用云技的企都知道，他需要采用一种

构 化 的 安 全 方 法 。 借 助 IBM Cloud

Security Services 云解决方案，您可以管理数据

、保 数据并确保可性，而且能提供

咨服和 托管服。

◀ 上一

11

下一 ▶

目

行概

要

制造域得关注的已

公 开意外事件

“坏家伙”在哪里？ 内部人

与外部人

制造域受控客端

中 的主流攻方法

建与减措

施

1 • 2

保企安全并降低成

本 与复性

IBM Security 介

增强网安全智能功能

借助安全与威情，可以了解他最易遭

受 的攻媒介。在了解攻媒介之后，制造商便

可 先于犯罪分子采取措施，加强内部和外部

与保 机制。

不，安全运如何才能跟上快速增的威

步伐、其的海量攻？了解最新

的威 情是意的关部分之一，但威

数据的 展速度要超出人的能力。即便是

最具 的安全人，也以完全出所

有的安全意 外事件及可用的威数据。IBM

QRadar® Advisor with Watson™ 是一款将知功

能与分析功能融 一体的解决方案，它能增强

安全分析的能力， 帮助他利用来自博客、网

站、研究文等来源的 无限量非构化数据并将

些数据与相关的安全意 外事件建立关，而

并了解复威。

保企安全并降低成本与复性

从基架构、数据和用保到云及托管安全

服 ， IBM Security Services 有丰富的

知 ，可帮助您保关。我目前正在

一 些全球最先的网保航，并聘

一些最 秀的人才其服。

IBM 提供的服可帮助您化安全划，制止高

威， 妥善保数据并确保云安全和移

安 全 。 Security Intelligence Operations and

Consulting Services 能参考安全域的最佳

践估您的安全与成熟度。借助 IBM X-

Force Incident Response and Intelligence

Services，IBM 的家能主捕并响威，

并在生数据泄露之前运用最新的威情做

好 防范。借助 IBM Managed Security Services，

您 能利用内先的工具、安全情和

知 ，提升您的安全，而且通常

一点 点内部安全源。