立即打開
      食品公司成為黑客攻擊目標,美國食品安全面臨新威脅

      食品公司成為黑客攻擊目標,美國食品安全面臨新威脅

      Mark Manglicmot 2022-11-25
      食品行業尤其容易受到網絡攻擊,因為它依賴于最復雜、最脆弱的供應鏈之一。

      圖片來源:JOSEPH PREZIOSO - AFP - GETTY IMAGES

      提供我們新鮮美味的感恩節大餐的供應鏈是所有行業中最脆弱、最分散的供應鏈之一,也是最難保障的供應鏈之一。

      本月早些時候,白帽黑客薩姆·庫里在推特(Twitter)上披露,他和一群其他白帽黑客于今年7月悄悄花了10天時間,在農業機械巨頭約翰迪爾(John Deere)的企業網絡和網站上發現了100個獨有的漏洞,包括可以讓攻擊者接管客戶賬戶或者訪問員工證書信息的漏洞。庫里補充說,該公司后來修補了所有漏洞,但這次演習暴露出了一個更大的問題,這個問題正在食品和農業行業日益加劇。

      去年,美國各地的多家食品零售商和加工廠成為勒索軟件的攻擊目標,因此,美國聯邦調查局(FBI)提醒該行業注意風險的增加,而且,美國總統喬·拜登最近簽署了一項保護美國食品安全的行政命令。各州也已經采取行動,保護他們的食物和水免受日益增長的網絡威脅。加利福尼亞州和內布拉斯加州最近采取行動,制定相應的應對計劃,并為農民提供相關教育培訓。

      將蔬菜或加工產品從美國一端的農場運送到另一端的餐桌所需的系統絕對是物流蜘蛛網,涉及眾多的供應商、運輸商和零售商,他們有各自的系統和工具來保證自己的安全。

      來自州和聯邦合作伙伴的額外支持對于降低供應鏈帶來的風險至關重要,但還必須與網絡安全行業的更多教育培訓相配合,讓農民和零售商知道如何保護自己免受威脅。

      像庫里這樣的白帽黑客已經在這樣做了——但不僅僅是企業網絡存在潛在風險。在今年8月的黑客大會上,一名自稱“病態代碼”(Sick Codes)的黑客展示了一個漏洞,任何人只要能夠接觸到幾種型號的約翰迪爾公司的拖拉機,就可以讓機器越獄,破解農民在機器上設置的數字鎖。

      雖然黑客的展示部分是為了支持農民維修自己機器的權利,但“病態代碼”的分享也讓我們瞥見這一可怕的假設能夠帶來的現實世界后果。在一場演示中,“疾病代碼”展示了惡意攻擊者如何敲幾下鍵盤就可以破壞普通的農業設備,并威脅到全球糧食安全。

      當然,以一家企業為目標,造成許多其他企業的混亂是任何供應鏈攻擊的本質(還記得SolarWinds供應鏈攻擊事件嗎?)食品供應鏈系統的分布式性質——還必須在國際上運作,使食品供應鏈更加復雜——這與SolarWinds供應鏈沒有什么不同。攻擊者只需要攻擊供應鏈的一個環節,就能夠破壞整個食品生產或運輸系統的平衡。

      很少有行業的利潤率可以比食品和農業行業更低,為了保證食品的流通,他們往往會對第三方合作伙伴是否有適當的安全控制措施進行盡職調查。不幸的是,當特定地區的糧食供應鏈中斷時,幾乎所有人都能夠感受到供應鏈中斷帶來的后果:價格上漲,貨架缺貨,這讓人想起新冠疫情爆發初期的情況。

      同樣,很少有行業像食品和農業這樣在技術實力上有如此大的差距。一些農場可能完全由數據驅動,而另一些農場的運行部分依靠搭載Windows 98操作系統的臺式電腦。這給向農民銷售產品的設備制造商和依賴他們的零售商帶來了獨有的困難:在網絡素養存在如此大的差異的情況下,你如何在全球范圍內修補系統漏洞,并保持系統更新?

      簡而言之就是保持簡單。農民可以通過使用高強度密碼、限制網絡連接數量,甚至只是與當局分享潛在異常行為的信息,來建立自身的網絡彈性。食品和農業行業也能夠通過關注銀行業和科技業等其他利潤更豐厚的行業的情況,在抵御攻擊方面先行一步。對于像約翰迪爾和卡特彼勒(Caterpillar)這樣擔心自己的知識產權可能在網絡攻擊中被竊取的農業制造商來說,借鑒其他跨國公司保護知識產權的做法可能是有益的,盡管約翰迪爾目前保護知識產權的策略存在爭議。只要有可能,供應鏈中的參與者應該對供應商進行壓力測試,以確保他們的基本網絡控制到位,從而使那些互聯網絡不會被攻陷。

      食品和農業行業的信息共享與分析中心(ISAC)也已經成立20多年了,幫助企業識別和減輕行業中的威脅,同時促進網絡衛生。如果食品加工廠、零售商或農場負擔得起,他們就應該分配適當的預算用于安?;驅⑷旌虮O控外包,以確保沒有人侵襲他們的環境。實施良好的漏洞管理計劃——即使對業務至關重要的搭載Windows 98操作系統的臺式電腦不能打補丁,連接它的機器也應該打補丁。掌握所有可以打補丁的機器的漏洞,將對保持安全大有裨益。

      全球糧食危機日益惡化,農民及其從農場到餐桌供應鏈的合作伙伴必須認真對待糧食安全問題。網絡安全是保證家庭餐桌上有食物的關鍵因素,因此,從安全部門到農業行業都必須共同努力來保護食品供應鏈的安全。(財富中文網)

      馬克·曼格利莫特(Mark Manglicmot)是Arctic Wolf公司的安全服務高級副總裁。

      Fortune.com上發表的評論文章中表達的觀點,僅代表作者個人觀點,不代表《財富》雜志的觀點和立場。

      譯者:中慧言-王芳

      提供我們新鮮美味的感恩節大餐的供應鏈是所有行業中最脆弱、最分散的供應鏈之一,也是最難保障的供應鏈之一。

      本月早些時候,白帽黑客薩姆·庫里在推特(Twitter)上披露,他和一群其他白帽黑客于今年7月悄悄花了10天時間,在農業機械巨頭約翰迪爾(John Deere)的企業網絡和網站上發現了100個獨有的漏洞,包括可以讓攻擊者接管客戶賬戶或者訪問員工證書信息的漏洞。庫里補充說,該公司后來修補了所有漏洞,但這次演習暴露出了一個更大的問題,這個問題正在食品和農業行業日益加劇。

      去年,美國各地的多家食品零售商和加工廠成為勒索軟件的攻擊目標,因此,美國聯邦調查局(FBI)提醒該行業注意風險的增加,而且,美國總統喬·拜登最近簽署了一項保護美國食品安全的行政命令。各州也已經采取行動,保護他們的食物和水免受日益增長的網絡威脅。加利福尼亞州和內布拉斯加州最近采取行動,制定相應的應對計劃,并為農民提供相關教育培訓。

      將蔬菜或加工產品從美國一端的農場運送到另一端的餐桌所需的系統絕對是物流蜘蛛網,涉及眾多的供應商、運輸商和零售商,他們有各自的系統和工具來保證自己的安全。

      來自州和聯邦合作伙伴的額外支持對于降低供應鏈帶來的風險至關重要,但還必須與網絡安全行業的更多教育培訓相配合,讓農民和零售商知道如何保護自己免受威脅。

      像庫里這樣的白帽黑客已經在這樣做了——但不僅僅是企業網絡存在潛在風險。在今年8月的黑客大會上,一名自稱“病態代碼”(Sick Codes)的黑客展示了一個漏洞,任何人只要能夠接觸到幾種型號的約翰迪爾公司的拖拉機,就可以讓機器越獄,破解農民在機器上設置的數字鎖。

      雖然黑客的展示部分是為了支持農民維修自己機器的權利,但“病態代碼”的分享也讓我們瞥見這一可怕的假設能夠帶來的現實世界后果。在一場演示中,“疾病代碼”展示了惡意攻擊者如何敲幾下鍵盤就可以破壞普通的農業設備,并威脅到全球糧食安全。

      當然,以一家企業為目標,造成許多其他企業的混亂是任何供應鏈攻擊的本質(還記得SolarWinds供應鏈攻擊事件嗎?)食品供應鏈系統的分布式性質——還必須在國際上運作,使食品供應鏈更加復雜——這與SolarWinds供應鏈沒有什么不同。攻擊者只需要攻擊供應鏈的一個環節,就能夠破壞整個食品生產或運輸系統的平衡。

      很少有行業的利潤率可以比食品和農業行業更低,為了保證食品的流通,他們往往會對第三方合作伙伴是否有適當的安全控制措施進行盡職調查。不幸的是,當特定地區的糧食供應鏈中斷時,幾乎所有人都能夠感受到供應鏈中斷帶來的后果:價格上漲,貨架缺貨,這讓人想起新冠疫情爆發初期的情況。

      同樣,很少有行業像食品和農業這樣在技術實力上有如此大的差距。一些農場可能完全由數據驅動,而另一些農場的運行部分依靠搭載Windows 98操作系統的臺式電腦。這給向農民銷售產品的設備制造商和依賴他們的零售商帶來了獨有的困難:在網絡素養存在如此大的差異的情況下,你如何在全球范圍內修補系統漏洞,并保持系統更新?

      簡而言之就是保持簡單。農民可以通過使用高強度密碼、限制網絡連接數量,甚至只是與當局分享潛在異常行為的信息,來建立自身的網絡彈性。食品和農業行業也能夠通過關注銀行業和科技業等其他利潤更豐厚的行業的情況,在抵御攻擊方面先行一步。對于像約翰迪爾和卡特彼勒(Caterpillar)這樣擔心自己的知識產權可能在網絡攻擊中被竊取的農業制造商來說,借鑒其他跨國公司保護知識產權的做法可能是有益的,盡管約翰迪爾目前保護知識產權的策略存在爭議。只要有可能,供應鏈中的參與者應該對供應商進行壓力測試,以確保他們的基本網絡控制到位,從而使那些互聯網絡不會被攻陷。

      食品和農業行業的信息共享與分析中心(ISAC)也已經成立20多年了,幫助企業識別和減輕行業中的威脅,同時促進網絡衛生。如果食品加工廠、零售商或農場負擔得起,他們就應該分配適當的預算用于安?;驅⑷旌虮O控外包,以確保沒有人侵襲他們的環境。實施良好的漏洞管理計劃——即使對業務至關重要的搭載Windows 98操作系統的臺式電腦不能打補丁,連接它的機器也應該打補丁。掌握所有可以打補丁的機器的漏洞,將對保持安全大有裨益。

      全球糧食危機日益惡化,農民及其從農場到餐桌供應鏈的合作伙伴必須認真對待糧食安全問題。網絡安全是保證家庭餐桌上有食物的關鍵因素,因此,從安全部門到農業行業都必須共同努力來保護食品供應鏈的安全。(財富中文網)

      馬克·曼格利莫特(Mark Manglicmot)是Arctic Wolf公司的安全服務高級副總裁。

      Fortune.com上發表的評論文章中表達的觀點,僅代表作者個人觀點,不代表《財富》雜志的觀點和立場。

      譯者:中慧言-王芳

      The supply chain that produces our fresh-tasting Thanksgiving dinners is one of the most fragile and fragmented of any industry–and one of the hardest to secure.

      Earlier this month, white-hat hacker Sam Curry disclosed on Twitter that he and a group of other white-hat hackers quietly spent 10 days in July discovering 100 unique vulnerabilities on farming machine giant John Deere’s corporate networks and websites, including exploits that would enable attackers to take over customer accounts or access employee credential information. The company had since patched everything, Curry added, but the exercise speaks to a much larger issue that’s picking up steam in the food and agriculture industry.

      Within the last year, multiple food retailers and processing plants across the U.S. have been targeted by ransomware, prompting the FBI to alert the sector of the elevated risk and President Biden to recently sign an executive order protecting America’s food security. States, too, have taken action to protect their food and water from growing cyber threats, including recent action in California and Nebraska to develop response plans and educate farmers.

      The system required to deliver a vegetable or a processed good from a farm on one end of the U.S. to a dinner table on the other end is an absolute spiderweb of logistics, involving numerous suppliers, transporters, and retailers with their own individual systems and tools to keep themselves safe.

      The extra support from state and federal partners is critical to mitigating the risk that the supply chain carries, but it must be paired with more education from the cybersecurity industry on how farmers and retailers can protect themselves from threats.

      White-hat hackers like Curry are already doing this–but it’s not just corporate networks that are potentially at risk. A hacker who goes by the moniker “Sick Codes” demonstrated an exploit at the DefCon security conference in August of this year that allows anybody with physical access to several models of John Deere and Co. tractors to jailbreak the machinery, overriding the digital locks that farmers put on their machines.

      While the hacking display was partially done to support farmers’ rights to repair their own machinery, Sick Codes also shared a glimpse into a terrifying hypothetical with real-world consequences. In one presentation, Sick Codes showed how a single motivated attacker could take down common agricultural equipment–and threaten global food security with a few keyboard strokes.

      The idea of targeting one business to cause chaos in many others is, of course, the nature of any supply chain attack (Remember SolarWinds?). The distributed nature of the food supply chain system–which also has to work internationally, convoluting the chain even further–is no different. Attackers only have to target one segment of the supply chain to throw the entire food production or delivery system off balance.

      Few industries keep thinner profit margins than food and agriculture, and often doing their due diligence on whether a third-party partner has the proper security controls goes by the wayside in order to keep food moving. Unfortunately, when the food supply chain breaks in a specific region, the consequences are felt by virtually everyone through higher prices and scarcely stocked shelves, reminiscent of the early days of the COVID-19 pandemic.

      Similarly, few industries have such a large gap in technological prowess as food and agriculture, where some farms might be entirely data-driven and others might be partially run on a Windows 98 desktop computer. This presents a unique problem for the equipment manufacturers that sell to farmers and the retailers that rely on them: How do you keep systems patched and up to date across the globe when there’s such a discrepancy in cyber literacy?

      The short answer is to keep it simple. Farmers can build resiliency into their networks by using strong passwords, limiting the number of network connections they have, and even just sharing information on potential strange behavior with the authorities. The food and agriculture industry can also get a head start on defending themselves against attackers by paying attention to what’s happening in other, more lucrative industries like banking and technology. For agricultural manufacturers like John Deere and Caterpillar that fear their intellectual property could be stolen in a cyberattack, taking hints from how other international companies defend their IP can be beneficial, though John Deere’s current strategy of safeguarding its IP is controversial. Whenever possible, players in the supply chain should be stress-testing vendors to ensure that they have the basic cyber controls in place, so that those interconnected networks don’t get taken down.

      The food and agriculture ISAC has also been around for more than 20 years to help businesses identify and mitigate threats in the industry while promoting proper cyber hygiene. If a food processing plant, a retailer, or a farm can afford it, they should allocate a proper budget to security or outsource 24/7 monitoring to ensure nobody’s infiltrating their environment. Implement a good vulnerability management program–even if that business-critical Windows 98 desktop can’t be patched, the machines connected to it should be. Staying on top of vulnerabilities across any and all machines that can be patched will go a long way toward staying safe.

      With the global food crisis worsening every day, it’s critical that farmers and their partners in the farm-to-table supply chain take food security seriously. Cybersecurity is a critical ingredient to keeping food on families’ tables, and together, from the security sector to the agricultural industry, we must work to defend the food supply chain.

      Mark Manglicmot is the SVP of Security Services at Arctic Wolf.

      The opinions expressed in Fortune.com commentary pieces are solely the views of their authors and do not necessarily reflect the opinions and beliefs of Fortune.

      熱讀文章
      熱門視頻
      掃描二維碼下載財富APP
      欧洲人与动牲交Α欧美精品,亚洲国产AV二卡三卡,国产精品久久久久精品三级,免费观看黄色网站