在工业4.0的规划过程中,解决安全问题不应是后续步骤,而应成为首要要务。
近年来,勒索病毒在全球肆虐,勒索病毒攻击呈现目标多元化、攻击手段复杂化、解密数据难度大等特点,给工业企业带来巨大风险的同时,也加大了防护的难度。特别是针对关键基础设施和重要信息系统的勒索攻击,影响更为广泛。被勒索攻击的组织,不仅要承担巨额的经济损失,还可能遭受数据损毁和遗失,生产力破坏,业务中断、声誉受损等影响,更甚至会影响到国计民生。
当勒索病毒在“进化”,攻击团伙在“内卷”,这注定是一场没有硝烟的持久战。工业企业唯有“未雨绸缪”,注重日常基础防御工作,构建行之有效的纵深防御体系和建设科学的管理制度,有效降低漏洞、勒索病毒等攻击事件的发生,保障企业核心资产,成为企业及组织平稳快速发展的首要之选。
欧洲最大铜生产商疑遭勒索,无奈重返“原始模式”
据外媒报道:德国铜生产商Aurubis 近日在其官网发布公告宣布遭受了网络攻击,迫使其关闭 IT 系统以防止攻击蔓延。作为欧洲最大的铜生产商和世界第二大铜生产商,Aurbbis在全球拥有6900名员工,每年生产100万吨阴极铜。
Aubrubis公告称已关闭了其所在地的各种系统,但并未影响生产。现在的当务之急是保持产量在正常水平,保持原材料供应和成品交付平稳,为此,已将部分操作转为“手动模式”。Aubrubi还特别指出“这次攻击可能只是对金属和采矿业的更大规模袭击中的一部分”。
尽管种种迹象表明这似乎是一起勒索软件攻击,但Aurubis方面并未提供关于攻击细节的任何说明。
又如2019 年 3 月,全球最大铝生产商挪威海德鲁(Hydro)遭到一款新型勒索软件LockerGoga攻击,企业IT系统遭到破坏,影响了“大多数业务领域”,迫使该铝生产商转向手动操作,但因停产数周,给公司带来9000万至1.1亿美元损失,远远超过保险公司赔付的360万美元。
再如今年6月,伊朗一家主要钢铁公司因遭遇网络攻击被迫停产,攻击还波及到另外两家工厂,成为针对伊朗战略工业部门的最大攻击活动之一。诸如此类,因遭受网络攻击后,被迫进入运营“原始模式”或者业务中断的案例仍不断发生。然而,更多的工业企业在遭受攻击后,为了迅速解决恢复产能的巨大压力,选择了交付赎金“息事宁人”的无奈之举。据一位钢铁行业的信息安全专家称,网络攻击非常普遍,几乎每天都在发生,而只有部分消息是公开的。
工业企业应如何避免成为下一个受害者
那么,面对如此频繁的、复杂的攻击手段和形式,以及不断变种演进、产业链化的勒索病毒,工业企业应如何避免成为下一个受害者。作为工控安全领域的赋能者,融安网络凭借多年安全防护实践,通过对多种勒索传播事件分析的经验得出,有效的防范措施是针对性地做好日常基础防御工作,构建完整的纵深防御体系,以及建设科学的管理制度,以“技管并重”的方法和手段,多维度、全方位地为工业企业保驾护航。
1、纵深防护技术手段
(1)网络防护
在管理层或控制层网络部署工业防火墙,在访问控制、入侵防御、病毒过滤、威胁可视化等功能基础上结合对于工控协议深度解析,保证将网络攻击和异常流量阻挡在工业控制系统之外,形成工业控制系统的第一道“防线”;
在不同层级的网络间部署工业隔离网闸,剥离出有效数据,终止IP协议跨层级通信,更严格控制网络协议数据的传输。工业隔离网闸支持对传输文件进行勒索病毒等恶意软件的最有效查杀。
(2)持续监测
在整体防护中,还对网络内数据包进行监测,即使勒索病毒透过网络边界侵入到网络内部,也可通过监测网络内部数据流传输的异常行为,快速甄别发现勒索病毒的扩散攻击行为。
(3)外设管控
防止通过外设通道的入侵。针对工业现场环境中特殊设备的USB端口防护,不便安装防护软件时,可部署采用外置的USB安全防御系统,内置高效的勒索病毒查杀技术,能够有效对新型的高级USB攻击如USB炸弹、BadUSB、LNK攻击、死亡蓝屏等进行防护可实现工业设备USB端口物理、逻辑全面防护,防止勒索病毒通过USB端口侵入到工业设备。
(4)防护提升
在操作站和服务器上部署工业终端安全卫士,智能学习主机运行的进程和动态库,生成控制白名单,有效拦截勒索病毒等恶意软件的执行。并基于灵活的安全策略控制用户和进程对文件的读写执行或删除操作,以及对网络访问进行管控,U盘和光盘等外设接入管控,构建可信可控的终端计算环境,让已知或未知类型的勒索病毒无法执行,打造防御的最后一道防线。
(5)快速响应
除了防御和检测,包括勒索病毒在内的所有网络威胁的预测、感知、响应机制的建立也不可或缺。在生产控制系统中部署工业安全统一监管平台、态势感知等系统,构建可视化、实时监控的安全管理中心,及时收集来自安全设备、网络设备、主机设备的相关日志,通过算法对事件进行关联分析和安全态势实时分析,结合威胁情报信息,及时感知企业内部可能面临的勒索病毒攻击行为,并及时提供应急策略、应急机制及应急处置方法建议。
2、管理制度建设
(1)关闭不需要的端口和服务:明确规定对于服务器、重要客户端操作系统,关闭不必要的服务,新安装服务器操作系统应满足最小化安装的原则,仅安装需要的组件和应用程序。若发现Windows操作系统中的445端口或其他关联端口为不必要的服务,应立即禁用该端口。
(2)全面强化资产细粒度访问:全面梳理现有资产,识别资产重要性进而准备可行的措施保护它们免受网络攻击。重点关注工业主机资产,做好工业主机防护,增强资产可见性,细化资产访问控制。通过外部的运维设备对系统进行登录权限的设定和控制。
(3)核心业务做好备份方案:提前制定备份及恢复计划,针对业务类型选择合适的备份,核心数据尽量定期做好异地备份、离线备份,若不幸失陷,备份恢复能够将损失最小化。
(4)持续进行生产安全风险监测:每三到六个月对网络卫生习惯、威胁状况、业务连续性计划以及关键资产访问日志进行一次审核,并不断改善安全计划,及时了解风险,主动防御勒索软件攻击并减轻其影响。
(5)加强安全意识和教育培训:定期对管理人员开展信息安全意识教育培训以及技能培训,提供信息安全意识宣贯,提高管理运维人员的安全技能和安全意识水平,以及基本的应急响应能力。例如不打开未知邮件,不随意下载使用来历不明的软件,不访问来历不明未知URL链接,系统口令设置强密码、重要资料要备份、系统补丁/安全软件病毒库要保持实时更新等等。