对于工业企业而言,信息就是力量,尤其是那些关乎企业发展战略、产品、服务、财务和销售活动的信息。通过合法途径收集竞争对手的情报信息,可以让工业企业在市场竞争时占据优势。但有时侯,一些企业或人员却想要得到更多,非法的网络间谍活动由此产生。
与合法的竞争情报不同,网络间谍活动意味着采用非法和不道德的方法收集企业数据,以获得竞争优势,它涉及商业机密的泄露和知识产权的盗窃。由于工业企业生产和经营活动的特点,网络间谍活动产生的经济损失和后果往往十分严重。
工业网络间谍行为很难发现,更难以证明。我们可能在新闻中看到过一些工业企业遭遇间谍活动报道。但事实是:它们只是冰山一角。工业网络间谍活动已经成为了一种非法但普遍存在的行为。在本文中,将详细讨论如何有效防范工业网络间谍活动,以及可以采取的具体措施和最佳实践。
工业网络间谍的攻击目标
工业网络间谍活动的类型有些模糊,行业通常将其归为两类:企业间谍活动和经济间谍活动,主要区别在于谁是协调人。企业间谍活动由某个企业组织发起并从中受益,而经济间谍活动则通常由国外的政府性组织管理。
让我们看看谁最有可能成为工业网络间谍攻击的目标。调查数据显示:一些严重依赖研发(R&D)的行业企业(包括智能制造、汽车、能源、航空航天和化工等行业)是目前工业网络间谍攻击的主要对象,这些公司的研发活动大量涉及到创新的技术和解决方案,研发费用和成本很高,这使间谍攻击发起者可以从中获得不菲的收益。
此外,工业网络间谍活动在供电、交通、水务等公共事务服务部门也很常见,因为这些部门掌握大量的数据资源,而在网络安全保护方面的专业能力又存在不足。
研究人员指出,工业企业应该格外注意保护以下数据:
- 商业机密,主要是指关于现有产品或正在开发产品的敏感设计信息。这些信息可以帮助对手获得竞争优势;
- 客户信息,主要指有关客户的数据,包括他们的联系方式和财务数据等,可能会被用来破坏现有的业务,甚至损害企业的商誉;
- 财务信息,可以被用来帮助攻击者获取竞价优势,赢得竞标,甚至为挖掘高价值员工提供更好的报价;
- 营销信息,这些信息可以让竞争对手更好的做出准备,并使其无法发挥效用。
工业网络间谍的方法
研究发现,目前的工业网络间谍活动主要通过以下方式破坏组织的业务安全并非法获取数据:
1. 外部网络攻击
外部网络攻击是通过未经授权访问组织的计算机系统来窃取、破坏、更改信息的恶意尝试。黑客或外部攻击者可以利用已知的零日漏洞,入侵企业的数字化系统,访问组织的敏感数据。
最常见的工业网络间谍攻击技术包括:
- 恶意软件:在现有软件上非法安装恶意软件以获取对敏感数据的访问权限;
- 网络钓鱼:向目标组织的员工发送钓鱼邮件,诱使其点击恶意链接来泄露企业信息;
- 窃听:假冒受信任的服务来跟踪有价值的信息或通过传输网络获取数据;
- 中间人(MitM)攻击:通过多种技术手段将被非法控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,以拦截正常的网络通信数据,并进行数据篡改和嗅探;
- SQL注入:在应用程序中嵌入恶意代码以干扰内部命令并利用数据库安全缺陷来获取关键数据的访问。
2. 内部威胁
在工业网络间谍活动中,恶意的内部人员正被更为频繁的使用。竞争对手会故意接近目标组织中受信任的、拥有信息系统访问特权的员工,用金钱诱惑他们交换组织的机密信息。内部员工的违规访问行为比黑客攻击更难被发现,其造成的危害往往也更加严重。
当然,不排除一些员工可能在无意中参与或协助了工业网络间谍活动。因为攻击者可以使用各种社会工程技术来收集机密信息。例如:如果入侵者将带有恶意代码的U盘放在走廊上,让好奇的员工拿起并插入公司电脑,就可能会引发大规模的数据泄露,让组织损失惨重。
此外,被解雇的前雇员、心怀不满的员工、跳槽到竞争对手的员工,都可能轻易地带走工业企业的敏感数据。但更糟糕的是,在新冠疫情爆发后,企业不得不转向远程工作方式。虽然远程办公给员工带来了灵活性,但也让网络间谍活动变得更容易。
防范工业网络间谍的最佳实践
部署反恶意软件只是打击网络间谍活动的一项基础性措施。工业企业需要采取更多的措施来加强整体网络安全防护态势。遵循下述反网络间谍活动的最佳实践,可以帮助工业企业更快速地发现和防止工业网络间谍攻击活动。
1、充分评估网络间谍攻击风险
工业企业首先要了解组织中拥有哪些商业机密和有价值的数据,以及它们对您的竞争对手有多大吸引力。这样就可以通过竞品分析和资产比较,来评估这些商业秘密的价值和吸引力。
一旦确定了最有价值的数据,就可以猜测谁可能会对这些数据感兴趣。这样就可以梳理出可能的威胁和潜在的攻击向量,从而对现有防御体系中的漏洞进行检测和修复。
风险评估是防范网络间谍攻击的重要原则,它应该是每个工业企业安全发展战略的关键性部分。企业还应该制定一个网络事件响应计划,它将帮助企业在信息被窃取时,能够快速有效地做出反应,将其对业务的影响降至最低。
2、做好网络基础设施的防护
在企业的网络边界建立一个安全的防护围栏是实现网络安全的基础性措施和要求。工业企业应该考虑在多个级别上增强安全性,分层防御的方法提供了针对各种可能威胁的体系化综合防护解决方案,使工业企业更难以渗透。
同时,工业企业应该将将有价值的数据与办公网络系统隔离开,并限制对其的访问。此外,工业企业应该积极在网络系统中实现零信任模型。这种方法的核心思想是在用户每次尝试访问关键资源时验证身份,同时还强调了限制特权访问和验证设备的重要性。
请记住,零信任安全方法要能够和传统的企业网络安全工具兼容,如防火墙和防病毒软件。通过多层次的安全防护,它将能够有效防御通过黑客和恶意软件进行的工业间谍活动。
3、建立有效的内部安全防护策略
为了将工业网络间谍活动的风险降至最低,工业企业应该建立一套规则,并将这些网络安全政策规范化和制度化,确保所有的员工和第三方都知道并遵守这些安全规则。
工业企业在制定网络安全政策时,应该包含涵盖以下主题的规则:
- 网络安全——包括计算机网络访问的指导方针,描述网络安全环境的体系结构,并解释如何在其中实现安全规则;
- 安全意识——描述旨在告知员工安全程序和机制的措施;
- 员工入/离职——从安全的角度定义适当的员工入职和离职管理程序;
- 密码管理——在组织中建立严格的密码创建、存储和管理规则;
- 访问管理——为普通用户、特权用户和远程用户提供对适当的数据和系统访问权限,并对其有效管理;
- 审计和问责——当网络间谍活动发生后,需要清晰描述敏感信息是如何被监视、窃取和利用的;
- 事件响应——制定一个计划,说明如果检测到网络间谍活动事件,您的人员将第一时间采取什么行动。
4、监控员工的办公活动
工业企业的员工在工作时间都在做什么?哪些活动是违规的?监视每个员工的办公活动是防止工业网络间谍活动最常见和最有效的措施。只有充分监控员工的工作活动,企业才能够知道他们的违规访问行为,并且判断是有意还是故意的。
特别重要的是要密切关注特权用户,比如系统管理员和高层管理人员。他们可以在执行正常任务时轻松地收集情报,并将任何异常行为解释为错误。员工监控使所有员工的行为完全可见,使企业能够识别与网络间谍活动有关的攻击,并及时做出响应。如果发生网络间谍事件,企业还可以使用这些记录进行溯源调查。
5、有效地管理数据访问
谁有权访问关键数据?他们真的需要吗?许多工业企业会默认为所有员工提供访问关键数据和基础设施的权限。尽管这种方法可能很方便,但非常不安全。工业企业需要实施最小特权原则,除非工作必要,否则禁止访问所有数据。这一原则要求只给予用户执行其工作所必需的特权;只向真正需要重要信息的员工提供这些信息。
如果非特权用户偶尔需要使用机密信息,企业可以为他们提供一次性访问权限,或者限制他们对关键资源访问的工作时间。通过限制访问关键数据的人员数量,可以显著降低让恶意竞争对手获取这些数据的风险。
6、制定网络间谍活动响应计划
当网络间谍攻击活动正在发生时,工业企业应该怎么做?组织需要提前制定一份完善的事件响应的策略和计划,并随着网络间谍活动的不断变化,定期对其进行调整和优化改进。
严格的事件响应程序有助于减少网络间谍活动造成的损失。对于安全响应团队来说,必须时刻准备好应对突发的网络间谍事件。在严重安全事件发生时,需要能够第一时间制定应急处置方案,充分调动内外部团队资源,并让所有成员明确自己的任务。此刻,保持头脑冷静、行动周全对于成功处理安全事件至关重要,而如果陷入到焦虑不安的恐慌中,将会严重影响事件响应团队做出正确的决策。
原文链接:
https://www.ekransystem.com/en/blog/prevent-industrial-espionage
