?從終端防護(hù)開始,為工業(yè)主機勒索病毒防護(hù)請個“貼身保鏢”
據(jù)央視新聞,哥斯達(dá)黎加政府當(dāng)?shù)貢r間5月12日證實,哥斯達(dá)黎加總統(tǒng)查韋斯11日宣布政府進(jìn)入緊急狀態(tài)并將成立危機緊急應(yīng)對委員會,負(fù)責(zé)處理持續(xù)了一個多月的政府機構(gòu)網(wǎng)絡(luò)遭黑客攻擊事件。
今年4月起,哥斯達(dá)黎加財政部、海關(guān)和人力資源社保機構(gòu)等多個政府機構(gòu)的網(wǎng)絡(luò)系統(tǒng)遭襲,造成多地支付、關(guān)稅收取系統(tǒng)癱瘓至今。哥斯達(dá)黎加政府稱,該國正在遭受“網(wǎng)絡(luò)犯罪分子”和“網(wǎng)絡(luò)恐怖分子”的攻擊,政府拒絕向黑客支付贖金。目前,沒有跡象表明黑客擴大了攻擊范圍,但受影響部門的網(wǎng)絡(luò)均未恢復(fù)正常使用,尚無法準(zhǔn)確統(tǒng)計因多部門網(wǎng)絡(luò)癱瘓造成的直接或間接經(jīng)濟損失。
勒索病毒小知識
勒索病毒是一種新型電腦病毒,主要以郵件、程序木馬、網(wǎng)頁掛馬的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大,一旦感染將給用戶帶來無法估量的損失。這種病毒利用各種加密算法對文件進(jìn)行加密,被感染者一般無法解密,必須拿到解密的私鑰才有可能破解。簡而言之,勒索病毒是以企業(yè)文件和數(shù)據(jù)為攻擊對象、以獲取大額贖金為目的網(wǎng)絡(luò)“綁架犯”。
勒索病毒的“戰(zhàn)績”
1989年,AIDS trojan是世界上第一個被載入史冊的勒索病毒,從而開啟了勒索病毒的時代。僅在過去的2021年,勒索病毒就在全球范圍內(nèi)掀起了一系列的勒索大事件:
* 勒索病毒贖金節(jié)節(jié)攀升,破2021年年度最高贖金記錄
22021年3月底,美國最大的保險公司之一CNA Financial被勒索軟件攻擊,在試圖恢復(fù)文件無果之后,他們開始與攻擊者談判。剛開始的時候,黑客要求的贖金高達(dá)6000萬美元。最后,CNA Financial在事件發(fā)生兩周后支付了4000萬美元贖金。
* 全球首次因勒索病毒導(dǎo)致國家宣布進(jìn)入緊急狀態(tài)
2021年5月,美國最大的成品油管道運營商Colonial Pipeline遭到“Darkside”黑客組織的勒索病毒攻擊,被迫關(guān)閉東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò),美國政府宣布東部17個州以及華盛頓進(jìn)入緊急狀態(tài)。
* 年度加密最快的勒索病毒
2021年,老牌病毒Lockbit更新2.0版本,其新版本在20分鐘之內(nèi)就可竊取100GB數(shù)據(jù),是普通勒索病毒加密速度的3倍以上,且具備在域控內(nèi)自動傳播的能力。該勒索軟件推出不久,全球各地超過50個組織受害,受害者遍及多種產(chǎn)業(yè),全球IT咨詢行業(yè)巨頭埃森哲也遭到LockBit的網(wǎng)絡(luò)攻擊,6TB的內(nèi)部數(shù)據(jù)被竊取,2500臺計算機遭遇宕機。
勒索病毒的“作案特點”
* 針對企業(yè)用戶定向攻擊
* 以RDP(Remote Desktop Protocol遠(yuǎn)程桌面登錄協(xié)議)爆破為主
* 更多使用漏洞攻擊
* 入侵企業(yè)內(nèi)網(wǎng)后橫向滲透
工業(yè)主機需要一個“貼身保鏢”
工業(yè)主機(工控上位機、服務(wù)器)是PLC等工業(yè)控制設(shè)備與企業(yè)的工業(yè)控制網(wǎng)絡(luò)及信息網(wǎng)絡(luò)的連接點,是連接信息世界和物理世界的“橋梁”,做好工業(yè)主機的安全防護(hù)和控制是保障工業(yè)互聯(lián)網(wǎng)安全的核心。
但現(xiàn)實情況是,企業(yè)的工業(yè)主機作為工業(yè)數(shù)據(jù)采集和分析的重要載體,生命周期往往比較長,操作系統(tǒng)老舊,存在大量漏洞,并且由于工業(yè)生產(chǎn)連續(xù)性的特點,工業(yè)主機很難定期升級補丁,大量工業(yè)主機處于帶洞運行的狀態(tài),成為了勒索病毒攻擊者的首選目標(biāo)。因此,做好工業(yè)主機的終端安全防護(hù),即相當(dāng)于為工控文件和數(shù)據(jù)配備了“貼身保鏢”,成為防范勒索病毒的最有力的防線。
“貼身保鏢”(工控終端防護(hù)系統(tǒng))的武功秘籍
立思辰安科工控終端防護(hù)系統(tǒng)主要由客戶端、控制臺、服務(wù)引擎組成。以終端管理方案為核心,并貫穿數(shù)據(jù)中心、產(chǎn)品權(quán)限控制等多個產(chǎn)品模塊,形成產(chǎn)品各模塊耦合關(guān)系弱、邏輯關(guān)系強的管理模式,以保障用戶在使用過程中,各模塊清晰明確、易于使用的效果,保障終端安全、行為可控。
立思辰安科工控終端防護(hù)系統(tǒng)部署拓?fù)鋱D
其中,工控終端防護(hù)客戶端系統(tǒng)直接部署在工控系統(tǒng)的工業(yè)主機(如工程師站、操作員站)上,實現(xiàn)對工業(yè)主機的進(jìn)程白名單管理,對流量、移動存儲介質(zhì)使用進(jìn)行管理,有效抵御未知病毒、木馬、惡意程序、非法入侵等針對終端的攻擊,實現(xiàn)安全防護(hù),構(gòu)建有效抵御勒索病毒、漏洞、未知惡意代碼和高級威脅APT攻擊的終端安全防御體系。
“貼身保鏢”(工控終端防護(hù)系統(tǒng))的十大招式
1、方案安全完整性檢查
通過安全完整性檢查方案中的策略配置,確保終端符合安全性檢查要求,在檢查之后,檢查不合格的終端將被隔離到修復(fù)區(qū),系統(tǒng)提供自助式修復(fù)服務(wù),保障網(wǎng)絡(luò)及終端安全。
2、終端系統(tǒng)漏洞、病毒防控
終端系統(tǒng)的漏洞、病毒防控功能可幫助用戶抵制如勒索病毒等嚴(yán)重影響網(wǎng)絡(luò)、終端使用的病毒入侵,增強終端自身的防御能力,保證內(nèi)網(wǎng)辦公環(huán)境的安全。
3、終端行為安全管理
終端系統(tǒng)的行為安全管理功能從應(yīng)用、進(jìn)程、服務(wù)等幾個概念入手,幫助用戶建立起規(guī)范、嚴(yán)謹(jǐn)?shù)膽?yīng)用程序監(jiān)管方案。
4、設(shè)備使用管理
系統(tǒng)的設(shè)備使用管理功能包括:外部設(shè)備管理、可使用設(shè)備管理、設(shè)備類型管理。
通過對普通外置設(shè)備類型、屬性的管理,制作合法可使用設(shè)備的管理、提供合法設(shè)備內(nèi)數(shù)據(jù)與普通外置設(shè)備內(nèi)數(shù)據(jù)中轉(zhuǎn)的管理。從單純的禁用、到可以合法的使用、再到禁用與合法使用之間的邊界管理。
5、系統(tǒng)常規(guī)管理
系統(tǒng)可以檢查和配置網(wǎng)絡(luò)終端的 IP 地址、計算機名、網(wǎng)關(guān)等系統(tǒng)配置信息。同時,還可以對終端進(jìn)行集中監(jiān)控、遠(yuǎn)程點對多點的配置網(wǎng)絡(luò)終端,更輕松地實現(xiàn)終端網(wǎng)絡(luò)的規(guī)劃和配置。
6、終端行為監(jiān)控和審計
終端行為監(jiān)控與審計相關(guān)功能可提升用戶對于終端某些惡意操作行為的監(jiān)控能力,可以有針對性的對終端操作進(jìn)行審計或者記錄,便于管理員對違規(guī)行為進(jìn)行有效的追蹤、定性定責(zé)以及管理。
7、遠(yuǎn)程維護(hù)與管理
網(wǎng)管人員可以通過終端防護(hù)系統(tǒng)進(jìn)行遠(yuǎn)程故障診斷,查詢/修改注冊表、鎖定/解鎖計算機、阻斷計算機通信、開啟/關(guān)閉/重啟/注銷計算機、發(fā)送消息、批量網(wǎng)絡(luò)配置,直至遠(yuǎn)程接管桌面等等。
8、日志與報表
系統(tǒng)內(nèi)置多種常規(guī)報表記錄,的日志管理功能記錄終端報警審計日志、系統(tǒng)用戶操作日志、執(zhí)行情況日志及系統(tǒng)運行日志等日志信息,管理人員可進(jìn)行查看和檢索。
9、客戶端管理
客戶端管理功能包括對掃描結(jié)果修復(fù)及策略更新。
10、與安全統(tǒng)一管理平臺交互
工控終端防護(hù)系統(tǒng)與安全管理平臺的對接可實現(xiàn)入口相對接、日志/告警上傳、自身監(jiān)測、策略調(diào)用/下發(fā)、權(quán)限統(tǒng)一管理等。
總結(jié)
面對勒索病毒慣用的漏洞攻擊手段,立思辰安科認(rèn)為,應(yīng)重點在工控網(wǎng)絡(luò)內(nèi)部部署工控終端防護(hù)系統(tǒng),有效抵御已知病毒、勒索病毒、漏洞、位置惡意代碼等攻擊手段,做到對工業(yè)主機的“貼身防護(hù)”。
同時,為了有效避免勒索病毒在內(nèi)網(wǎng)傳播,工業(yè)企業(yè)下一步還需不斷完善縱深防御體系的建設(shè),從邊界防護(hù)、準(zhǔn)入控制、監(jiān)測審計等方面入手,建立起勒索病毒的綜合防御體系,配合有效的安全管理制度、安全運維體系、員工安全意識培訓(xùn),可有效提高工業(yè)企業(yè)的勒索病毒防護(hù)能力,保障企業(yè)的工控網(wǎng)絡(luò)安全。