• 文章目錄
• 現(xiàn)場(chǎng)紀(jì)實(shí)
• 應(yīng)急響應(yīng)
• 防護(hù)預(yù)案
• 工業(yè)控制系統(tǒng)安全的深思
• 綠盟科技官方通告&報(bào)告
• 中長(zhǎng)期安全防護(hù)建議
• 定期漏洞掃描
• NIPS+威脅分析系統(tǒng)TAC聯(lián)動(dòng)防護(hù)
• 工業(yè)安全隔離裝置(ISID)
• 工業(yè)安全隔離裝置(ISG)

現(xiàn)場(chǎng)紀(jì)實(shí)

“Ooops，被勒索了”，隨之各生產(chǎn)場(chǎng)站電話陸續(xù)響起……

應(yīng)急響應(yīng)

生產(chǎn)調(diào)度中心被攻擊主機(jī)主要表現(xiàn)為數(shù)百種文件被加密，生產(chǎn)網(wǎng)場(chǎng)站也出現(xiàn)上位機(jī)藍(lán)屏現(xiàn)象。結(jié)合12日外界已傳播的“永恒之藍(lán)”校園網(wǎng)絡(luò)勒索蠕蟲(WannaCry)事件現(xiàn)象，初步判定勒索蠕蟲，立即啟動(dòng)應(yīng)急響應(yīng)：

• 將被攻擊主機(jī)進(jìn)行斷網(wǎng)隔離，同時(shí)關(guān)閉核心交換生產(chǎn)網(wǎng)通訊鏈路，防止WannaCry跨域擴(kuò)散;
• 聯(lián)絡(luò)并指導(dǎo)各場(chǎng)站接口負(fù)責(zé)人立即就位，以減少場(chǎng)站工作人員恐慌;
• 同時(shí)，緊急聯(lián)系綠盟科技應(yīng)急響應(yīng)中心，協(xié)調(diào)安全專家協(xié)助遠(yuǎn)程排查分析;
• 通過現(xiàn)場(chǎng)對(duì)被攻擊主機(jī)異常進(jìn)程、端口、服務(wù)進(jìn)行分析，很快發(fā)現(xiàn)是exe進(jìn)程在局域網(wǎng)中通過ARP廣播包進(jìn)行主機(jī)探測(cè)，利用基于445端口的SMB漏洞(MS17-010)共享進(jìn)行傳播;

• 對(duì)加密程序(@WanaDecryptor@.exe)樣本進(jìn)行搜集，并發(fā)送至應(yīng)急響應(yīng)中心，啟動(dòng)樣本分析;
• 重點(diǎn)對(duì)疑似被攻擊藍(lán)屏的場(chǎng)站上位機(jī)進(jìn)行分析排查，同樣發(fā)現(xiàn)被攻擊痕跡，在斷網(wǎng)重啟后系統(tǒng)恢復(fù)正常，初步判斷是在被攻擊過程中導(dǎo)致系統(tǒng)藍(lán)屏，勒索未遂，幸免于難，否則將對(duì)場(chǎng)站核心生產(chǎn)業(yè)務(wù)產(chǎn)生較大影響。

防護(hù)預(yù)案

• 由于辦公網(wǎng)和生產(chǎn)網(wǎng)主機(jī)規(guī)模較多(約2400+終端)，因此，首先將所有三層交換機(jī)及防火墻啟用ACL策略禁止135~138、445端口;
• 針對(duì)各場(chǎng)站重要業(yè)務(wù)系統(tǒng)，屏蔽系統(tǒng)445服務(wù)端口后，進(jìn)行微軟MS17-010安全補(bǔ)丁升級(jí)測(cè)試;
• 至13日上午9點(diǎn)，隨著事態(tài)逐漸平穩(wěn)，綠盟科技應(yīng)急響應(yīng)中心完成樣本分析，第一份應(yīng)急預(yù)警通告啟動(dòng)發(fā)布;
• 結(jié)合綠盟科技陸續(xù)發(fā)布的威脅預(yù)警、防護(hù)建議、分析報(bào)告及Windows防火墻一鍵加固工具，協(xié)助用戶制定有效的防護(hù)方案。

工業(yè)控制系統(tǒng)安全的深思

1.安全認(rèn)知

目前，縱觀國(guó)內(nèi)涉及關(guān)鍵信息基礎(chǔ)設(shè)施的大型生產(chǎn)企業(yè)，對(duì)于生產(chǎn)網(wǎng)工業(yè)控制系統(tǒng)安全的認(rèn)知是：生產(chǎn)網(wǎng)是封閉的隔離網(wǎng)絡(luò)，即可高枕無憂!

但事實(shí)：大多數(shù)企業(yè)生產(chǎn)網(wǎng)與管理信息網(wǎng)的安全隔離并不是完全物理隔離，而生產(chǎn)網(wǎng)內(nèi)部各場(chǎng)站之間安全域劃分仍然不全面，且不同場(chǎng)站之間的安全防御機(jī)制也不完善，容易造成某一生產(chǎn)系統(tǒng)遭受到攻擊很快就會(huì)擴(kuò)散到整個(gè)生產(chǎn)網(wǎng)內(nèi)部當(dāng)中。

在親歷本次WannaCry由管理信息網(wǎng)絡(luò)傳播至生產(chǎn)網(wǎng)上位機(jī)的事件之后，我們不禁思考，它僅僅是一次信息安全的勒索病毒攻擊嗎? 顯然不是，細(xì)思極恐。

2.傳播與載體

工業(yè)控制系統(tǒng)的安全，突破各路網(wǎng)絡(luò)連接是關(guān)鍵，事實(shí)為了滿足生產(chǎn)企業(yè)統(tǒng)一生產(chǎn)調(diào)度及監(jiān)視等業(yè)務(wù)需求，在部分行業(yè)，依然存在關(guān)鍵工業(yè)控制設(shè)備與管理信息網(wǎng)絡(luò)互聯(lián)互通的現(xiàn)狀，給攻擊行為創(chuàng)造了必要的條件。

本次WannaCry就是利用了Windows 漏洞，與用戶打時(shí)間差，幾乎在一個(gè)小時(shí)內(nèi)，滲透到全球的各個(gè)角落，讓理論上的路徑成為了可攻擊的實(shí)際路徑。

• 如果本次“勒索病毒+蠕蟲”的傳播發(fā)生在在場(chǎng)站工業(yè)控制層，會(huì)有什么結(jié)果?
• 操作員站、工程師站、歷史站、Buffer機(jī)等上位機(jī)的組態(tài)配置、歷史數(shù)據(jù)庫、實(shí)時(shí)數(shù)據(jù)、過程數(shù)據(jù)等核心文件被加密，讀寫失敗;
• 生產(chǎn)業(yè)務(wù)數(shù)據(jù)加載失敗，組態(tài)邏輯失去控制，進(jìn)而下位控制設(shè)備失去管控，很可能將導(dǎo)致安全生產(chǎn)事故，后果不堪設(shè)想;
• 本次應(yīng)急現(xiàn)場(chǎng)，2臺(tái)場(chǎng)站上位設(shè)備的藍(lán)屏，已然讓我們著實(shí)緊張了一番，所幸最終無礙。
• 如果本次攻擊是基于工業(yè)控制系統(tǒng)專有蠕蟲病毒呢?

目前已經(jīng)存在基于工業(yè)控制系統(tǒng)的蠕蟲病毒，該類病毒通常不借助工業(yè)網(wǎng)絡(luò)中的上位機(jī)，僅通過工業(yè)控制器之間即可進(jìn)行互相傳播。

• 蠕蟲病毒會(huì)利用工業(yè)控制設(shè)備自身協(xié)議脆弱性，實(shí)現(xiàn)遠(yuǎn)程改變工業(yè)控制器的操控指令，進(jìn)而導(dǎo)致工業(yè)設(shè)備運(yùn)行失控事故;
• 結(jié)合各類下位機(jī)漏洞操作，精確制導(dǎo)安全事故;
• 結(jié)合下位機(jī)高級(jí)蠕蟲病毒，在控制器間蠕蟲傳播進(jìn)而完成大面積控制設(shè)備事故;
• 結(jié)合流程工業(yè)盜取病毒，準(zhǔn)備偷盜核心工藝流程等事故。
• 細(xì)思，如果這次攻擊是針對(duì)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施?

本次事件，該蠕蟲已然成功滲透至各生產(chǎn)場(chǎng)站網(wǎng)絡(luò)，并在內(nèi)網(wǎng)急速傳播，如果配合特定的工業(yè)控制系統(tǒng)脆弱性，實(shí)施的就是一次針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊事故，也許又是一次“震網(wǎng)事件”!

深思

近幾年，針對(duì)涉及關(guān)鍵信息基礎(chǔ)設(shè)施的大型生產(chǎn)企業(yè)，國(guó)家或行業(yè)對(duì)其生產(chǎn)網(wǎng)與管理信息網(wǎng)絡(luò)的安全隔離要求逐步加強(qiáng)，比如：

• 針對(duì)發(fā)電、電網(wǎng)企業(yè)，2014年國(guó)家發(fā)改委發(fā)布了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》，管理信息大區(qū)與生產(chǎn)控制大區(qū)之間必須安全隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間需采用具有訪問控制功能的防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。
• 針對(duì)石油、石化企業(yè)，分別在“十三五”規(guī)劃中明確了工業(yè)控制系統(tǒng)安全隔離的必要性。比如油田生產(chǎn)現(xiàn)場(chǎng)(井口、站庫、管線等)用于生產(chǎn)數(shù)據(jù)實(shí)時(shí)采集和遠(yuǎn)程控制的網(wǎng)絡(luò)，容易受到來自外部的搭線攻擊。有效的安全隔離是確保安全生產(chǎn)的根本。
• 針對(duì)煙草工業(yè)企業(yè)，行業(yè)發(fā)布了《YC/T 494-2014 煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》的行業(yè)標(biāo)準(zhǔn)，煙草工業(yè)企業(yè)應(yīng)在規(guī)劃設(shè)計(jì)網(wǎng)絡(luò)時(shí)應(yīng)考慮生產(chǎn)網(wǎng)、管理網(wǎng)及其他網(wǎng)絡(luò)互聯(lián)的安全隔離要求。

但是，經(jīng)過本次工業(yè)生產(chǎn)網(wǎng)的應(yīng)急紀(jì)實(shí)，對(duì)整個(gè)事件應(yīng)急過程處理，從發(fā)布預(yù)警，樣本分析、攻擊路徑確認(rèn)、各級(jí)策略防護(hù)，及終端修復(fù)加固等流程，依然深有感慨：

• 工業(yè)控制系統(tǒng)安全刻不容緩，生產(chǎn)安全及信息安全相輔相成;
• 絕對(duì)的生產(chǎn)網(wǎng)與管理信息網(wǎng)之間物理隔離安全其實(shí)并不存在;
• 嚴(yán)格控制管理信息網(wǎng)對(duì)生產(chǎn)控制系統(tǒng)的非授權(quán)訪問和濫用等違規(guī)操作等行為;
• 各場(chǎng)站全網(wǎng)資產(chǎn)梳理及網(wǎng)絡(luò)拓?fù)湫畔⒓毙枋崂?，?yīng)急時(shí)精確制導(dǎo)配合;
• 集合信息安全與生產(chǎn)安全檢查，定期進(jìn)行安全掃描檢測(cè)，防患于未然;
• 針對(duì)生產(chǎn)網(wǎng)的安全審計(jì)，異常告警，數(shù)據(jù)管控，應(yīng)急過程及時(shí)阻斷及事后分析;
• 提升場(chǎng)站現(xiàn)場(chǎng)生產(chǎn)人員信息安全意識(shí)，增強(qiáng)相關(guān)知識(shí)培訓(xùn)，增加應(yīng)急事件自理能力;
• 核心生產(chǎn)數(shù)據(jù)、系統(tǒng)及時(shí)備份，備份方式建議不局限一種備份機(jī)制。

中長(zhǎng)期安全防護(hù)建議

定期漏洞掃描

遠(yuǎn)程安全評(píng)估系統(tǒng)(RSAS)已經(jīng)支持對(duì)MS17010漏洞的掃描，可以對(duì)對(duì)應(yīng)的windows主機(jī)進(jìn)行漏洞掃描。對(duì)應(yīng)漏洞編號(hào)如下：

NIPS+威脅分析系統(tǒng)TAC聯(lián)動(dòng)防護(hù)

工業(yè)安全隔離裝置(ISID)

工業(yè)安全隔離裝置是專門為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計(jì)的安全隔離設(shè)備，實(shí)現(xiàn)了生產(chǎn)網(wǎng)絡(luò)與管理信息網(wǎng)絡(luò)之間有效隔離，同時(shí)根據(jù)應(yīng)用配置進(jìn)行必要的數(shù)據(jù)擺渡。用于解決生產(chǎn)網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)的問題以及控制網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間安全防護(hù)的問題。

綠盟工業(yè)安全隔離裝置不但實(shí)現(xiàn)了對(duì)基于 TCP/IP 協(xié)議體系攻擊的徹底阻斷，而且也實(shí)現(xiàn)了對(duì)主流工業(yè)網(wǎng)絡(luò)協(xié)議的廣泛、深入支持和工業(yè)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。典型應(yīng)用領(lǐng)域包括流程工業(yè) DCS 控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)、電力系統(tǒng)現(xiàn)場(chǎng) IED 設(shè)備的網(wǎng)絡(luò)安全防護(hù)、煤礦、制造等行業(yè)現(xiàn)場(chǎng)控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)等。

工業(yè)安全隔離裝置(ISG)

工業(yè)安全網(wǎng)關(guān)不但支持商用網(wǎng)關(guān)的基礎(chǔ)訪問控制功能，更重要的是它提供針對(duì)工業(yè)協(xié)議的數(shù)據(jù)級(jí)深度過濾，實(shí)現(xiàn)了對(duì) Modbus、OPC 等主流工業(yè)協(xié)議和規(guī)約的細(xì)粒度檢查和過濾，幫助用戶阻斷來自網(wǎng)絡(luò)的病毒傳播、黑客攻擊等行為，避免其對(duì)控制網(wǎng)絡(luò)的影響和對(duì)生產(chǎn)流程的破壞。