今日頭條
官方微信
官方抖音
案例頻道啟明星辰集團 張曄
北京時間2017年5月1 2日, 全球爆發大規模WannaCry勒索軟件感染事件,已有至少100多個國家和地區的上萬臺電腦受到感染,我國是此次蠕蟲事件受感染的重災區,政府社會服務和企事業單位生產受到嚴重影響。為什么最近幾年勒索軟件不斷涌現,而且大行其道,大有不斷擴大的趨勢;勒索軟件會對我們的社會造成什么樣的影響?勒索軟件會對工業控制系統下手嗎?針對勒索軟件,我們應該做好哪些防范工作?本文作者將就這些問題進行分析。
1 什么是勒索軟件?
勒索軟件是一種流行的木馬,通過騷擾、恐嚇甚至采用綁架用戶文件等方式,使用戶數據資產或計算資源無法正常使用,并以此為條件向用戶勒索錢財。這類用戶數據資產包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。
勒索軟件開發成本低,惡意擴散范圍大,傳播速度快,恢復數據成本高。相對用戶通過合法途徑恢復數據的成本來說,交付贖金對用戶來說更合適。勒索軟件對于惡意發布者來說,是一本萬利,因此最近幾年勒索軟件不斷涌現,在全世界大行其道。
隨著技術的發展,新型勒索軟件還會不斷出現,在不久的將來,網絡犯罪者可能會直接攻擊關鍵基礎設施,包括工業控制系統。除此之外,具有國家背景的攻擊者,也可能會利用勒索軟件,對其他國家的工業控制系統進行惡意攻擊,從而隱藏其真實網絡戰爭意圖。
2 勒索軟件造成的危害
勒索事件不像一般攻擊事件,其發起者只想訪問數據或者獲取資源,勒索者有時既想要數據,更想要錢。勒索軟件不管是對個人網絡用戶還是企業用戶來說,都是一個越來越嚴重的犯罪問題。受影響的客戶包括中小企業的業務信息系統,甚至包括個人終端,移動設備。據美國FBI的一份報告顯示,2016年,勒索軟件的非法收入可能達到10億美元。這一巨大的數字,很大一部分都是由企業繳納的贖金組成。
當用戶因為勒索軟件導致業務中斷,企業通常會認為支付贖金是取回數據最劃算的辦法。這些支付出去的贖金,會助長犯罪組織加強勒索軟件的開發。正因如此,勒索攻擊正以驚人的速度不斷發展,勒索軟件家族也正在不斷地進化。
3 勒索軟件何時會“青睞”工業控制系統?
2016年11月28日,舊金山MUNI城市捷運系統受到勒索加密勒索軟件攻擊,所有的售票站點都顯示出“你被攻擊了,所有數據都被加密”,攻擊者發出公告索要100比特幣,也就是70000多美元。
2017年1月下旬,一家奧地利豪華酒店受到攻擊,阻止給客人制作新的房間鑰匙卡,基本上鎖定他們的房間。由于每個酒店房間每晚花費高達幾百美元,受害者支付大約1600美元贖金來恢復系統并繼續正常的業務操作。
2017年5月13日,受WannaCry的影響,雷諾宣布法國桑都維爾和羅馬尼亞的工廠停產,防止勒索軟件在系統內擴散。除了雷諾還有一些受害者,日產位于英國東北部桑德蘭(Sunderland)的制造工廠也受到影響。
以上事件已經說明,勒索軟件已經開始逐漸向工業控制系統進行滲透。規模比較小的入侵組織,一般會選擇對社會影響有限,失控后不會造成生產事故和人身事故,但數據恢復成本大于贖金成本,如門禁系統、地鐵支付系統、智能樓宇系統等。如果是有國家背景的入侵組織發起,那么會對國家關鍵信息基礎設施發起攻擊,造成比較大的社會影響,如電力系統、石油石化系統、智慧城市等。
為了防止勒索軟件對工業控制系統造成威脅,近期我們需要關注軌道交通自動售檢票系統(AFC)、酒店門禁系統、智能樓宇系統、遠程視頻監控系統、智慧城市等影響到日常生活生產的控制系統。從長遠來看,我們更要關注電力、水利、石油石化等關鍵基礎設施的控制系統安全。
4 如何防范勒索軟件對工業控制系統造成的威脅?
為了防范勒索軟件對工業控制系統造成威脅,需要做好以下幾個方面的工作:
(1)對工業控制系統的組態數據進行安全備份
組態數據作為工業控制系統正常運行的核心元素,組態數據備份和恢復措施是發生被勒索事件挽回損失的重要工作,數據備份恢復是企業的最后一道防線,在最壞的情況下,它將是企業最后的堡壘,而企業需要建立不定期進行數據備份的策略,以確保在最壞的情況有備份措施。
(2)做好第一道防線,防止勒索軟件進入管理信息網
管理信息網內部要進行分區分域的細粒度劃分,區域邊界要做好訪問控制和準入機制。同時要及時發現并修復業務系統存在的漏洞;或者拒絕點擊網絡釣魚等不明惡意鏈接和郵件/社交工程。
(3)做好第二道防線,杜絕勒索軟件通過管理信息網進入生產網
管理網與生產網進行強隔離,杜絕管理網與生產網建立任何通訊連接,只能進行數據交換,這樣就可以杜絕勒索軟件通過管理信息網滲透到生產控制網。也就是說,生產控制網和管理信息網絡之間應該通過網閘進行安全隔離。
(4)做好全面監控工作
無論是管理信息網,還是生產控制網,都要做好安全監控工作,實時監控網絡異常行為、僵木蠕惡意行為、異常流量、異常網序,以及違規運維行為等,進行提前預警,把風險消滅在萌芽期。
(5)定期進行風險評估
定期對信息系統資產進行安全漏洞掃描,對發現的漏洞,要盡快進行修復,同時日常也應該不定期關注軟件廠商發布的安全漏洞信息和補丁信息,及時做好漏洞修復管理工作。
作者簡介:
張曄(1973-),男,本科,現就職于啟明星辰集團電力事業部,主要研究方向為工業控制系統信息安全。發明了工業控制系統現場運維審計與管理系統,填補了國內該產品的空白;發明了動態安全保障體系模型和等級保護技術架構模型;在國內首次提出了工控系統信息安全的“四化”理念。
摘自《自動化博覽》2017年8月刊
北京市公安局海淀分局備案號:11010802023656號