4月勒索病毒漏洞攻击工具泄露, 9万台主机被入侵,看工控系统主机如何防?
发布时间:
2017-08-24
来源:
作者:
访问量:
16
1.近期网络安全动态
今年5月,勒索病毒对多个系统造成了严重影响,引起了广泛关注。回溯此次勒索病毒的起源,较为流行的说法是,一家名为“Shadow Brokers”(影子经纪人)的黑客组织,盗取了美国国家安全局(NSA)网络武器库中的相关文档和漏洞工具,其中有23个最新黑客工具,多个Windows远程漏洞利用工具。报告中对主要攻击工具做出了说明,并表示多个工具都是利用了SMB的远程利用漏洞来进行攻击,漏洞影响大,危害范围广。
在该次泄露事件发生后,有数据显示,对全球范围内检测发现被入侵植入Doublepulsar后门(当攻击者利用泄露的工具成功入侵目标机器后,会在目标机器对应的SMB端口植入一个名为Doublepulsar的后门程序)的主机就已达94613个。其中中国被植入后门主机数量为20655,占全球数量的22%。
2、主机安全情况简介
在计算机普及的环境下,主机是保障信息化应用的基础设备,特别是各类行业机构和企事业单位使用的主机系统,承载着大量的关键数据信息和业务系统,极易成为攻击者的目标。因此,如何对主机的安全进行防护,及时阻断对主机系统的攻击,最大程度地降低主机系统安全风险,已经成为安全领域的一个重要研究内容。
为了加强国家信息安全保障体系建设,我国提出了信息安全等级保护制度,颁布了《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)、《信息安全技术 操作系统安全技术要求》(GB/T 20272—2006)等国家标准,指导用户开展信息安全建设。其中,在主机安全方面,国标GB/T 22239-2008指出,用户需要从身份鉴别、访问控制、入侵防范等方面,确保操作系统和数据库安全。由于数据库是基于操作系统架构的,因此,主机安全防护工作实际上主要集中在操作系统层面。
国家互联网应急中心(CNCERT)发布的安全报告显示,仅去年10月份,我国境内被木马或僵尸程序控制的主机IP数量就超过290万,环比大幅增长369.8%。其中,木马或僵尸网络控制服务器IP总数为59139个,被美国服务器控制的境内主机高达1938926个,在受控制主机中居于首位。实际上,从CNCERT在去年发布的各阶段安全报告来看,服务器等主机始终是病毒感染、木马控制、黑客攻击的重要目标,并且,美国等海外国家服务器对境内主机的攻击从未停止过。跨国网络攻击活动的持续发生,不断冲击着我国的信息安全防线。
图 1
3、传统安全“老三样”的问题
计算机病毒防范技术、网络防火墙技术和入侵检测技术,常被称为网络安全技术的三大主流。这些传统安全“老三样”虽然为网络安全建设起到了重要作用,却具有一定局限性,也存在许多新的问题:比如计算机病毒防范技术滞后于实际的发生各种新病毒及繁衍变异;用户在系统中安装了防火墙后,却难以避免垃圾邮件、病毒传播和拒绝服务的侵扰;入侵检测技术在提前预警、精确定位、实时交互、整体性、漏报误报率和全局管理等方面存在着先天不足。另外,内网的安全还包含安全策略的执行、外来非法侵入、补丁更新及合规管理等问题。
当务之急,必须加大对操作系统安全技术的自主研发,通过自主可控的安全技术、产品及解决方案,为操作系统建立起完善的安全防护体系,从系统层重塑主机安全防护能力。
4.工控环境中如何防护主机安全?
针对传统“老三样”的安全防护技术在工控网络的弱点,天地和兴公司创新性的将应用程序白名单管理技术引入工控网络安全防护。“白名单”是指规则中设置的允许使用的名单列表,其意义是“被允许的”。“白名单”是一组应用程序名单列表,只有在此列表中的应用程序是被允许在系统中运行,之外的任何程序都禁止运行。天地和兴主机防护系统将白名单技术用于工控网络行为的分析判断。与现网中的实时传输数据进行比较、匹配、判断。如果发现其用户节点的行为不符合白名单中的行为特征,天地和兴工控主机防护系统将会对此行为进行阻断或告警,以此避免工业控制网络受到未知漏洞威胁,同时还可以有效的阻止操作人员异常操作带来的危害。
在重要终端主机部署主机安全防护软件,对非安全操作系统进行有效的恶意代码防护。通过白名单方式对安全程序进行管理,防范非法程序和应用安装、运行以及未经授权的任何行为,同时控制U盘、移动硬盘等移动设备的使用,规范终端用户操作行为。
5.实现工控环境中主机安全有哪些方法?
用户管理:采用三权分立管理模式,实现管理员职责分离,具备超级管理员、管理员、审计员三员管理。
终端双因子登录: 采用USBKEY和密码双重身份验证登录操作系统。
实时报警:非白名单程序或者非白名单移动存储介质的执行或者使用时,预警或拦截并实时报警。
日志可追溯、防篡改:所有操作日志,程序运行日志,告警拦截等记录。这些日志是不可修改的,任何文件和操作都可以追溯。对操作员也可以起到一个监督和追溯的作用。
外部设备接入:支持配置用户移动设备的访问控制策略,权限包括读、写、所有权限、禁止所有操作。
主机防护系统不需要改变任何原有系统结构以及应用流程,在现有的操作系统上进行安装后达到国家三级安全标准,主机防护系统从内核层保护系统和应用的关键位置不被恶意破坏,可按需求配制保护策略,从而保证业务系统的正常运行与系统的安全。
相关资讯
