原创 | 工业企业如何应对勒索软件
发布时间:
2020-03-06
来源:
作者:
访问量:
47
前言:前日,天地和兴工控安全研究院先后编译了FIREEYE和WATREFALL公司安全专家对勒索软件威胁工业企业的2篇深度分析————“针对机器的勒索软件:攻击者如何通过攻击IT和OT来破坏工业生产”及“RSA快讯 | 勒索软件对工业安全的威胁日益增强”。专家认为,勒索软件的威胁已经由IT向OT系统渗透,其对工业生产的影响和危害将日益加剧,防范勒索软件的危害需要在IT和OT侧综合施策。为此,天地和兴推出了专门的解决方案,全面应对勒索软件对工业企业的威胁。
针对工业的勒索病毒及变种
自2017年以来,公开披露的针对工业生产和关键基础设施组织的勒索软件事件大幅增加。诸如WannaCry、LockerGoga、MegaCortex、Ryuk、Maze以及新型的SNAKEHOSE(又名Snake/Ekans)等。计算设备一旦遭受勒索病毒攻击,将会使绝大多数文件被加密算法修改,并添加一个特殊的后缀,且用户无法读取原本正常的文件,对用户造成无法估量的损失。勒索病毒通常利用非对称加密算法和对称加密算法组合的形式来加密文件,绝大多数勒索软件均无法通过技术手段解密,必须拿到对应的解密私钥才有可能无损还原被加密文件。黑客正是通过这样的行为向受害用户勒索高昂的赎金,这些赎金必须通过数字货币支付,一般无法溯源,因此危害巨大。
其中在国内影响最大的还是WannaCry及其变种。2017年5月,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,其中不乏电力、石油石化、高端制造企业中招。
2018年8月3日台积电在台湾北、中、南三处重要生产基地,同步因为勒索病毒入侵而导致生产线停摆。此次在生产线隔离网络中出现的事故是由于失误操作造成的。机台上线之后才进行扫毒,导致未安装补丁的新机台受到病毒感染,最终传染至全部机台。受到攻击的机台由于没有联网,并没有弹出勒索的界面,但是这次攻击却导致了被感染设备的停产。预计造成了1.7亿美元的损失。
2019年3月19日世界最大的综合性铝业集团之一挪威海德鲁公司(Norsk Hydro)在全球多家铝生产工厂遭受“LockerGoga”的勒索,病毒主要破坏企业IT系统,造成IT系统与工控系统数据连接失效,导致生产停产。该集团旗下的发电厂、铝土矿开采厂、氧化铝生产厂还可以正常运转,但多家电解铝生产和铝材加工厂受到勒索病毒影响,部分停产,部分切换为手动模式。集团在挪威国家安全局及合作伙伴帮助下采用工厂隔离、病毒识别、恢复备份系统等方式遏制病毒传播和进行系统修复,需要耗费数月才能恢复全部产能,造成了严重经济和商誉影响。
最近在2020年2月,美国国土安全部网络安全和基础设施安全署的公告显示,有一家未公开名字的天然气公司在感染勒索病毒后关闭设施两天。感染发生在该公司的天然气压缩设施,攻击始于钓鱼邮件内的恶意链接,攻击者从IT网络渗透到OT网络,该公司的IT和OT网络都被勒索软件感染。值得庆幸的是感染没有扩散到控制压缩设备的可编程逻辑控制器,因此该公司没有失去对操作设施的控制。工作人员关闭了压缩设施两天,但由于管道传输的依赖性,它的关闭连带影响到了其它地方的压缩设施。
面对勒索病毒的应急处置
系统中了勒索病毒后的应急处置方法及防范手段,业内各信息安全厂商基本都总结了一套类似标准化的流程:病毒判断→隔离被感染主机→排查感染范围→恢复系统→病毒专杀→补丁加固。
病毒判断:
特征1:主机空闲时CPU或GPU占用率达到100%、蓝屏、业务无法访问的情况。
特征2:出现勒索提示文件或者修改桌面背景为勒索信息;
特征3:大量文件被加密并修改为统一后缀,无法打开。
隔离被感染主机:
当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制主要是指对访问网络资源的权限进行严格的认证和控制。避免将远程桌面服务(RDP,默认端口为3389)暴露在公网上(如为了远程运维方便确有必要开启,则可通过VPN登录后才能访问),并关闭445、139、135等不必要的端口。
排查感染范围:
对局域网内的其他机器进行排查,检查核心业务系统是否受到影响,生产线是否受到影响,并检查备份系统是否被加密等,以确定感染的范围。
恢复系统:
方法1:历史备份还原,适用于备份文件未被加密的情况。
方法2:解密工具恢复,绝大多数勒索病毒使用的加密算法都是国际公认的标准算法,但如果勒索病毒的设计编码存在漏洞或并未正确实现加密算法,勒索病毒的制造者主动发布了密钥或主密钥,执法机构查获带有密钥的服务器,并进行了分享时,可使用专业工具解密。
方法3:重做系统,当文件无法解密,也觉得被加密的文件价值不大时,也可以采用重装系统的方法,恢复系统。但是,重装系统意味着文件再也无法被恢复。另外,重装系统后需更新系统补丁,并安装杀毒软件和更新杀毒软件的病毒库到最新版本,而且对于服务器也需要进行针对性的防黑加固。
病毒专杀:
通过安装最新版本的权威厂家的杀毒软件进行查杀,或者手动禁用病毒对应的进程服务并删除病毒触发文件。
补丁加固:
其中补丁修复是防范勒索病毒最直接也是关键最重要的一环。勒索病毒目前已知的利用漏洞如下,需验证安装对应的补丁文件:
工业系统防范勒索病毒的痛点
但是在OT系统中打补丁可不是那么容易的,补丁也是打不完的,打补丁在OT系统中本身就是一种高风险的行为,必须在停机时进行。而且很有可能因与既有控制系统不兼容而产生新的问题。漏洞的修补程序失败率可能高达60%。
根据ICS-CERT和CVE的漏洞数量统计,工业控制系统漏洞数量还处在持续增加的趋势。这些漏洞中又有多少会被勒索病毒利用?漏洞的修复工作如何进行?
ICS-CERT历年漏洞统计数量
CVE统计的工控漏洞数量
工业主机的安全防护
那么工业企业该如何应对这种情况呢?天地和兴率先在工控领域的主机防护中应用了白名单技术,即只允许白名单内的程序和进程允许被执行,白名单之外的程序无权限执行。具体可参见https://dwz.cn/jM3Sh2hm。
工业企业从边界到端点的纵深防御方案
常见的工业企业网络分层架构通常为企业办公层、生产管理层、过程监控层、现场控制层。从每个层次之间的网络边界到每个层次内部都需要搭配部署相应的信息安全产品进行安全防护。
1、把握网络关键节点及薄弱部位,在边界上依靠入侵检测设备、威胁检测设备及部署的防火墙/网闸形成第一道防线;
2、在核心业务网络内部部署安全审计类设备形成第二道防线;
3、在主要的上位机进行必要的终端防护和管控,形成第三道防线;
4、通过信息安全监管分析平台的部署实现工控网络安全的细节明辨、互相联动、攻击预测的态势感知状态,达到技管结合、安全运营。
天地和兴,工控安全,关键信息基础设施,ICS,勒索软件,IT,OT
上一条:
下一条:
相关资讯
