近年来,网络勒索病毒十分猖獗,危害着全球数千万企业的整体运营以及数十亿网民的财产安全,得到了全球社会的高度关注。相关数据显示,遭受勒索病毒攻击仍然是工业企业面临的最大挑战。
而在近日,又频频出现企业遭受勒索病毒攻击的事件,如富士康等企业,勒索病毒的攻击致使企业的日常业务工作开展受到不同程度的干扰,这无疑给各地其他企业、机构等敲响警钟。面对勒索,企业应该如何保护?勒索病毒不能破解,那就做好提前预防,防患于未然,做到有备无患。融安网络作为专注工业互联网信息安全的高科技创新型企业,为工业企业提供了针对工控系统勒索病毒安全防护的完整解决方案。
勒索病毒的威胁分析
网络层面,勒索病毒可通过垃圾邮件、钓鱼网站向企业信息网用户发送带有勒索病毒链接的邮件,用户可能无意中点击,从而导致中毒;或者用户浏览挂马恶意网页,或者下载软件,导致被恶意软件侵入从而中毒;或者企业信息网中的服务器暴露在Internet中,存在漏洞或弱口令而导致被侵入。企业信息网中的病毒可能向企业工业网络管理层和控制层扩散,导致工业网络中的操作站和服务器中毒;外部维护人员使用便携机进行系统维护时,连接到管理网络,便携机可能存在恶意软件导致在网络中的扩散。
终端层面,工业网络的操作站和服务器的系统和应用不便及时打补丁,可能存在漏洞,容易遭受勒索病毒的攻击;或者存在弱口令导致被恶意软件侵入等。
外设使用层面,用户在使用移动存储介质时,插到操作站、服务器或工控设备USB接口上,移动存储介质可能感染有恶意软件,导致恶意软件的扩散从而感染勒索病毒。
管理层面,企业部分员工安全培训不足,网络安全意识不强,系统未设置强口令,外设使用随意等等;缺少业务连续性管理手段,缺失应急措施等,容易给勒索病毒造成可乘之机。
如何防范工控系统勒索病毒
工控系统勒索病毒的防护需要在网络环境、操作站和服务器、管理几个层面进行安全风险检查与加固,构建纵深、立体的安全防线。层层防御,让勒索病毒进不来,即使进来了无法发作,发作了也能够及时发现,控制蔓延,降低影响,迅速恢复。工控系统自身的脆弱性,对防护技术有了更高的要求。融安网络针对工控系统特点,构建如下图所示的整体防护方案。
1.网络环境的防护
网络环境的防护,是勒索病毒防御的第一道防线,尤其是网络边界的防护,需要根据企业的业务场景和网络组成情况,将网络进行分层分区管控,在不同的区域、层级的边界进行管控,进行网格化管理,让恶意软件进不来,无法到处蔓延。
(1)在管理层或控制层网络部署融安网络工业防火墙,对工业网络中的工业协议和通用协议进行检查控制,通过安全区域划分限制勒索病毒的传播。融安网络工业防火墙除了提供严格的协议访问控制能力外,还内置了业界领先全面有效的针对勒索病毒、挖矿病毒、工业病毒的防护规则,御恶意软件于边界之外。
(2)在不同层级的网络间部署融安网络工业隔离网闸,剥离出有效数据,终止IP协议跨层级通信,更严格的控制网络协议数据的传输。融安网络工业隔离网闸支持对传输文件进行勒索病毒等恶意软件的最有效查杀。
(3)同时,在整体防护中,还需要对网络内数据包进行监测,这样即使勒索病毒透过网络边界侵入到网络内部,可通过监测网络内部数据流传输的异常行为,快速甄别发现勒索病毒的扩散攻击行为。在网络中部署融安网络工业入侵检测系统,基于强大的分析引擎、完善的规则库和智能的分析算法,可高效识别勒索病毒的攻击行为。
2.操作站和服务器的保护
在操作站和服务器上部署融安网络工业终端安全卫士,智能学习主机运行的进程和动态库,生成控制白名单,有效拦截勒索病毒等恶意软件的执行。并基于灵活的安全策略控制用户和进程对文件的读写执行或删除操作,以及对网络访问进行管控,U盘和光盘等外设接入管控,构建可信可控的终端计算环境,让已知或未知类型的勒索病毒无法执行,打造防御的最后一道防线。
3.USB端口的管控
针对工业现场环境中特殊设备的USB端口防护,不便安装防护软件时,可部署采用外置的融安网络USB安全防御系统,该系统为独立小巧的硬件设备,内置高效的勒索病毒查杀技术。U盘必须通过该设备才能被操作,实现工业设备USB端口物理、逻辑全面防护,防止勒索病毒通过USB端口侵入到工业设备。
4.管理方面
安全防护中,“人”也是非常关键的因素,安全管理至关重要。针对勒索病毒的安全管理,可从下面几点入手:
(1)制定企业总体安全防护策略,业务连续性策略,应急处理策略;
(2)对员工进行安全意识的培训(如不打开未知邮件,不随意下载使用来历不明的软件,不访问来历不明未知URL链接,系统口令设置强密码等等);
(3)规范系统的运维代维管理、便携机和U盘的使用管理;
(4)针对系统应用和数据进行定期可靠备份;
(5)对工业网络环境进行定期安全评估,定期体检,进行系统风险和脆弱性评估;
(6)对企业的安全风险状况进行总体监控,进行应急处理演练,总体上对勒索病毒进行防范。
同时,融安网络提供的工业安全评估系统、运维审计与管理系统和安全预警监测平台从企业的安全风险评估管理、运维管理以及总体安全管理方面为勒索病毒的防范提供立体多方位的防护方案。
运维审计与管理系统,为企业的生成服务器系统提供了统一的运维管控方式,从运维账号、认证授权和审计方面提供了集中的管理平台,规范了运维方式,帮助企业制定严格的资源访问策略,并且采用强身份认证手段,全面保障系统资源的安全,避免勒索病毒的入侵。并可变更服务端口,提高设备的安全性;可对运维过程中传输的文件进行恶意软件检测并阻止,避免引入勒索病毒。
睿眼安全监测预警平台,通过收集企业工控系统应用系统、网络设备和安全设备的日志数据和网络流量数据,结合漏洞知识库、威胁情报库等,进行大数据分析进行聚合、统计和关联分析,识别工控系统内部的恶意软件、勒索病毒等异常行为,实现对工控现场的勒索病毒发作前及发作时进行及时的预警与响应。对安全事件进行整体统筹和协同联动,面对整体型随机性的混合攻击,形成真正集约化的主动防御体系。
工业安全评估系统作为一种离线(亦可在线部署周期性执行)网络威胁风险管理和评估工具,可对工控环境的资产分析、安全漏洞评估、工控协议分析,对被评估系统、便携机和U盘进行勒索病毒等恶意软件的高效扫描分析,发现风险资产设备,弱口令设备,RDP等高风险端口开启状况等弱点,并可提供安全管理方面的问卷,调查分析安全管理策略、员工安全意识情况等,提供全面的安全评估报告,以及相关改进方案,以便企业全面了解安全风险状况,对勒索病毒进行针对性的防御。
面对肆无忌惮的勒索病毒,但只要做好防护,才能防范于未然,面对攻击来袭,做到有“备”无患!