MRO必須采取行動面對網絡安全風險

孫立

目前，新冠疫情給航空企業帶來了巨大的經營壓力，曾經受關注的網絡安全問題此時已成為一些MRO公司無暇顧及或至少是暫時忽略的項目，但事實上在此次特殊的疫情期間，IT系統和數據面臨的威脅并沒有因此減少。相反，遠程工作和視頻會議的增加，為網絡犯罪分子提供了更多實施黑客攻擊和惡意窺探的機會和載體，疫情之下的網絡安全威脅只增不減。前有美國防部承包商Westech International（其曾參與美國洲際彈道導彈“民兵-3”維護工作）遭遇重磅級網絡攻擊，后有美國MRO服務供應商圣安東尼奧航空航天公司（VT SAA）慘遭網絡攻擊的“荼毒”，可謂“一波未平，一波又起”。縱觀各類事件，主要歸納為以下幾類攻擊類型，但有專業人士認為，這類網絡攻擊的真實目的是避開正面強攻，以另辟蹊徑之姿，從目標“渠道供應鏈”下手，將外部威脅與目標內部上下游承包商的脆弱性“疊加共振”，進而出其不意地給關鍵目標致命一擊，思來發人深省。

1 以勒索病毒為主的網絡攻擊

2020年6月，新科工程旗下的MRO子公司VT SAA，遭受了一個名為“Maze集團”的網絡犯罪集團的嚴重攻擊。為了增強勒索“籌碼”， 犯罪集團陸續“曝光”了100多個已竊取的文檔，約1.5萬億字節的敏感組織數據，其中包括財務電子表格、網絡保險合同、提案以及過期的保密協議。自2019年以來，該犯罪集團已經連續攻擊了多個行業，手段是竊取公司數據并索要贖金，否則就將數據公之于眾。曾有媒體稱，VT SAA遭受攻擊，造成與其長期合作的美國政府、美國國家航空航天局（NASA）以及美國航空公司也極有可能遭遇“連帶”威脅。也就是說，網絡黑客通過攻擊VT SAA，輕而易舉地威脅到了與其保持橫向聯系的相關機構單位或者母公司新科工程。顯然這與直接逐一攻破以上關鍵基礎設施領域相比，黑客通過攻擊上下游供應商的子公司，操作 “簡單”多了。但不管怎樣，防止此類勒索病毒攻擊已成為包括航空業在內的大多數行業IT經理的首要任務。瑞航技術公司（SR Technics）的對策是堅持定期進行風險評估，制定預防、檢測和阻礙勒索病毒攻擊的具體措施。

瑞航技術公司表示，“作為基于主題的信息安全計劃的一部分，公司進行了最新的風險評估，加強了IT基礎設施和員工安全意識，并正在與公司的安全合作伙伴接洽，以改進檢測和響應服務。最終通過模擬勒索病毒攻擊，評估網絡安全相關投資的效果。”

當然，MRO供應鏈上的其他環節也會讓人擔憂。GA Telesis公司自稱其最擔心的是敏感信息泄露、勒索病毒和欺詐，同時這些也都是大多數行業包括航空業在內面臨的最普遍的攻擊。由于網絡攻擊頻率的增加，GA Telesis公司出臺了多項措施。

在VT SAA遭受的入侵成為MRO領域最廣為人知的網絡攻擊事件之后，GA Telesis成功挫敗了“數百萬美元的欺詐企圖”，主要類型是網絡釣魚電子郵件，這些郵件通常會騙取密碼或銀行賬戶詳情等敏感信息。據不完全統計，全球MRO領域大多數公司都遭受過某種網絡攻擊或攻擊企圖。

2 主要網絡安全威脅與防御措施

大多數勒索病毒攻擊可能本質上是要勒索錢財，但在航空售后服務市場，比丟失錢財更令人擔心的是為客戶保密數據，同時制造商和MRO供應商還必須防范知識產權盜竊和來自競爭對手或者競爭國家的其他惡意行為。

因為數據是企業參與市場競爭的核心，也是其走向成功的關鍵。有的MRO公司丟失數據將可能引發毀滅性的后果，所以企業必須非常努力地設計自己的專有軟件和算法，在成功識別項目和商業機會的同時，保護數據。

此外，丟失客戶數據也是一大危險。除了影響客戶聲譽和企業間關系，還會給使用這些數據開展預測性維修服務和定制化解決方案的公司帶來麻煩。例如，漢莎技術公司可以通過其Aviatar平臺訪問某些航空公司數據，盡管僅限于客戶愿意共享的數據。但漢莎技術公司要將每個客戶的數據分開，并采用數據加密的手段保證其在整個Aviatar平臺上的存儲和傳輸。這就使得Aviatar的防火墻和自動威脅檢測等安全措施成為了各航空公司數據安全的最后一道防線。

隨著互聯網設備和組件在飛機上和機庫中的激增，MRO公司的網絡安全變得更加脆弱。因為幾乎每種新設備都有網絡接口，所以使用設備的增加相當于攻擊面的增加，而且這些設備使用多個操作系統，所以只安裝標準“代理”端點安全軟件是完全不夠的。

為了解決這一問題，GA Telesis使用軟件監控進出數據中心的流量，即設備內部網絡之間和進出外部網絡的流量。這種全方位的監控可保證公司對過去傳統的基于簽名的安全工具所忽略的威脅有了更強的防御能力。

另一種安全方法是授權專業公司對IT系統進行各種入侵測試模擬，以發現系統的弱點。實踐表明，測試結果通常會非常不錯，模擬測試能夠幫助公司制定高于標準的安全措施。

3 人為因素是網絡泄密的重要原因

盡管網絡安全需要采取多層防御，包括防火墻、郵件過濾器、防病毒軟件、反惡意軟件和入侵檢測軟件，但即使最堅固的技術防御也很容易被人為錯誤和疏忽所破壞，如不安全的密碼、使用未經授權的設備或者無法發現的詐騙。

這就是為什么對公司和個人的網絡釣魚越來越多的原因，因為攻擊者明白，追蹤用戶會比“暴力”攻擊能夠產生更好的結果。所以大多數數據泄露被認為是人為錯誤造成的。

這就意味著，有效落實網絡安全戰略不僅需要聘用勝任的IT員工或外部承包商，還要廣泛加強員工培訓，讓他們學會遵守安全規定，并學會如何識別潛在的網絡安全風險及應對風險的方法。

因此，也有人認為最好的防御措施是 “人類防火墻”。例如，加強用戶培訓和模擬測試，安全培訓的課堂教學能夠提供識別威脅所需的知識，持續的模擬和補救則可以鞏固和提高人員的網絡安全技能水平。

4 人才建設意義重大

今年受疫情影響，航空企業大量裁員、人力需求大幅降低，MRO行業近年來面臨嚴重的人員短缺問題看似不再延續。但其實疫情危機加深了企業對技術和網絡連通性的依賴，這就意味著對IT員工的需求或對員工IT技能的需求更加看重。

因此，MRO IT領域的人才競爭正在變得激烈。GA Telesis公司認為，除了為這類員工開具好的薪水，雇用和留住這方面優秀員工的關鍵是讓他們積極參與公司項目和戰略部署。

人才建設的另一個重點是綜合利用內部和外部的IT專家。眾所周知，當前行業內均面臨“合格的網絡安全專業人員短缺”的問題，所以利用內部安全專業人士了解自身業務并與員工和業務合作伙伴保持密切合作的優勢的同時，大力發動外部合作伙伴監控和維護企業的技術安全，就成為了解決這一問題的有效路徑。

5 預防網絡攻擊要從“整體”出發

實施網絡安全戰略必須堅持人、技術、培訓和政策的正確組合，這4個核心因素缺一不可。

例如，即使是復雜的防火墻也可能被黑客攻破，所以公司也應該盡可能實行系統隔離，以及完全的數據加密。同樣，即使采取了這些措施，系統也可能被一個錯誤的密碼破壞，所以保持對加密密鑰的控制也非常重要。

同時，加強物理安全，要控制對關鍵IT基礎設施的訪問，限制在數據中心等場所使用USB和其他外部設備。要監測和控制移動設備的使用，同時還應評估供應商的網絡安全，防止惡意軟件嵌入設備或新出廠的組件中。

另外，人工智能（AI）也可以應用于打擊網絡犯罪，用來檢測攻擊前的數據探測。因為當攻擊者攻破一個組織時，他們通常會開始收集盡可能多的情報，確定網絡釣魚和魚叉式釣魚攻擊的關鍵利益相關者，然后利用收集的信息對該組織實施定制攻擊，所以AI技術可以通過標識（LOGO）和熟悉的地址，利用機器學習加速發現攻擊者的這一階段，或實現自動化的快速檢測。

為了應對這些威脅，GA Telesis利用各種AI工具預測性地分析威脅和新策略，然后與更廣泛的網絡安全社區共享信息。

6 持續應對不斷演變的威脅

近年來，網絡犯罪分子不斷演化作案手法，企業曾經有效的應對措施甚至是IT員工的技能出現了嚴重過時，因此企業的網絡安全策略必須與之同步發展，更好地應對新的挑戰。

GA Telesis認為，在信息安全時代，一個組織可能犯的最大錯誤不是選錯了工具或策略，而是未能跟上不斷發展的網絡犯罪手法的步伐。隨著網絡攻擊變得復雜起來，防御也必須非常完善和周全。企業必須通過持續改進快速有效地適應這些變化。

至于“關于網絡安全的軍備競賽將要持續多久”這個問題，顯然是很難回答。隨著MRO業務變得更加信息化、自動化、數據化，數據主導的預測性維修變得越來越重要，遠程監控和遠程工作變得越來越普遍，這些領域獲得的效率提升在一定程度上可能會被保護這些領域所需的信息安全投資所抵消。盡管如此，網絡攻擊對企業財務、公共關系和知識產權的威脅仍然不容小覷，MRO供應商別無選擇，只有繼續認真地做好網絡安全工作，才能獲得業務的持續發展。