CDK Global的攻击是一个警钟,表明威胁行为者将汽车行业视为一个有利可图的目标。——Andrew Lintell
由于汽车行业涉及高价值交易,该领域的大量财务和敏感数据使其成为网络攻击者的主要目标。对CDK Global的勒索软件攻击,危及了数千家经销商客户的数据,并导致多日的停机时间,突显了这一脆弱性。这类攻击的影响不仅限于数据被盗,还会像交通堵塞一样阻断整个供应链,使货物流动停止。当关键参与者受到威胁时,连锁反应可能导致普遍的延误和效率低下。
加剧这一问题的是对传统IT系统和运营技术(OT)系统的使用,例如工业控制系统(ICS)和可编程逻辑控制器(PLC)。这些系统是汽车OEM的支柱,也越来越常见于经销商和车队管理。强有力的IT和OT安全措施对于维护供应链的完整性和防止网络攻击的广泛后果至关重要,确保汽车供应链的顺畅运作。
缓解高级网络风险
最近对CDK Global的网络攻击迫使公司将其系统下线,凸显了汽车供应链的脆弱性。这一事件扰乱了美国约15,000家经销商,并展示了链条中一个环节的故障如何对运营产生重大连锁反应。
对手也可以利用漏洞精心策划攻击并渗透网络。这意味着可以通过钓鱼攻击、恶意软件感染或利用软件漏洞等方法,利用IT系统中的弱点,如远程访问解决方案和云应用程序,获得未授权访问。一旦渗透者突破IT网络,他们可以横向移动以访问OT网络,可能对生产和运营造成严重破坏。
这种跨系统的暴露意味着一个领域的漏洞可能危及整个供应链。此外,数字化和远程工作加剧了这个问题。始终在线的VPN已成为常态,提供实时数据交换和远程访问。然而,这种持续的连通性增加了网络犯罪分子进入网络环境的入口点数量。
即使是拥有最佳实践的最大的制造商也没能避免漏洞
如果一个用户账户或应用程序受到威胁,对手就可以获得无限制的访问。许多始终在线的VPN缺乏强有力的安全措施,使它们特别脆弱。为了缓解这些风险,汽车组织必须通过实施多因素认证(MFA)、网络分割和严格的访问控制协议,确保只有授权人员连接。
跨IT和OT管理安全的挑战
在汽车行业,管理IT和OT安全至关重要。汽车公司严重依赖于像车队管理这样的网络物理系统,它与车辆连接。
在制造方面,使用SCADA系统等OT系统,将数字资产与使用OT系统的物理过程紧密连接。这些系统对于监督和评估汽车行业的工业设备和运营至关重要,并警告检测到的工业过程中的问题。
随着IT和OT网络的融合,需要增加对资产的可见性,以管理网络犯罪分子利用的不断扩大的攻击面。没有适当的安全措施,这些相互连接的网络容易受到违规、数据盗窃和运营中断的威胁。传统的IT安全工具通常难以监控OT特定的协议,导致威胁检测和响应的空白,这可能导致设备故障或不安全的条件。
从历史上看,OT系统是手动操作的,并且与IT网络隔离。虽然通过自动化和远程访问的数字集成提高了效率,但也使这些系统暴露于新的漏洞。OT系统通常与标准的IT管理和安全解决方案不一致,使威胁识别复杂化。
为了应对这些挑战,需要跨IT和OT领域的统一安全策略。然而,IT安全团队通常被视为过于谨慎,经常因为它们在所有部门坚持安全实践的警惕性和坚持而被视为“喊狼的部门”。这可能导致它们的倡议被视为形式主义,而不是基本的操作组成部分。然而,董事会必须超越这些刻板印象,认识到OT安全风险构成的真正威胁,并理解供应链安全的重要性。
为网络投资辩护
安全团队需要确保董事会了解所有事实,并有效地传达勒索软件攻击的威胁。安全团队必须通过清晰的OT安全漏洞案例,突出它们的运营和财务影响。通过将OT安全倡议与业务目标对齐,它们可以展示这些措施如何防止生产停机、保护公司的声誉,并确保符合监管要求。
此外,强调投资回报率(ROI)并包括节省成本的具体例子,如避免违规和罚款,对于克服预算挑战至关重要。定期向董事会通报不断演变的威胁和OT安全进展,有助于确保持续的支持和必要的投资。
迫切需要主动安全措施
随着针对IT和OT环境的勒索软件攻击的增加,对所有CPS组件的全面可见性的需求从未如此之大。有效的资产管理对于维护运营弹性至关重要,特别是随着威胁变得更加持久。汽车公司必须不断监控OT网络,以检测配置错误或未授权活动,这些可能是网络攻击或系统故障的早期阶段。
识别漏洞只是第一步;评估其上下文和影响至关重要。鉴于停机成本高昂,大约每小时7,500英镑,需要专用的网络安全解决方案,将资产与已知漏洞匹配并优先修复。
为了加强安全,汽车组织应该实施全面的资产可见性,投资于用于持续监控IT和OT资产的详细工具。它们还需要整合IT和OT安全,制定统一的策略,使用与OT协议兼容的解决方案,保护两个领域。同时,采用先进的检测技术很重要,持续的风险评估也是如此。最后,它们应该增强事件响应,建立响应计划并培训员工处理安全事件。
通过专注于这些优先事项,汽车公司可以构建一个强大的安全框架,以防范不断演变的威胁并确保运营完整性。
CDK Global的攻击是一个警钟,表明威胁行为者将汽车行业视为一个有利可图的目标。这次攻击严重影响了该行业,并阻碍了福特等公司的销售额增长。经销商、制造商和服务该行业的其他公司应该注意这次攻击造成的广泛破坏。与董事会讨论这个问题将帮助安全团队清晰地展示他们需要什么来保护公司的网络。确保全面的可见性、严格的访问控制和持续的监控可以保障关键运营并防止未来的中断。
由Claroty EMEA总经理Andrew Lintell撰写。
