今日頭條
官方微信
官方抖音
案例頻道啟明星辰集團 張曄
北京時間2017年5月1 2日, 全球爆發(fā)大規(guī)模WannaCry勒索軟件感染事件,已有至少100多個國家和地區(qū)的上萬臺電腦受到感染,我國是此次蠕蟲事件受感染的重災區(qū),政府社會服務和企事業(yè)單位生產(chǎn)受到嚴重影響。為什么最近幾年勒索軟件不斷涌現(xiàn),而且大行其道,大有不斷擴大的趨勢;勒索軟件會對我們的社會造成什么樣的影響?勒索軟件會對工業(yè)控制系統(tǒng)下手嗎?針對勒索軟件,我們應該做好哪些防范工作?本文作者將就這些問題進行分析。
1 什么是勒索軟件?
勒索軟件是一種流行的木馬,通過騷擾、恐嚇甚至采用綁架用戶文件等方式,使用戶數(shù)據(jù)資產(chǎn)或計算資源無法正常使用,并以此為條件向用戶勒索錢財。這類用戶數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實貨幣、比特幣或其它虛擬貨幣。
勒索軟件開發(fā)成本低,惡意擴散范圍大,傳播速度快,恢復數(shù)據(jù)成本高。相對用戶通過合法途徑恢復數(shù)據(jù)的成本來說,交付贖金對用戶來說更合適。勒索軟件對于惡意發(fā)布者來說,是一本萬利,因此最近幾年勒索軟件不斷涌現(xiàn),在全世界大行其道。
隨著技術的發(fā)展,新型勒索軟件還會不斷出現(xiàn),在不久的將來,網(wǎng)絡犯罪者可能會直接攻擊關鍵基礎設施,包括工業(yè)控制系統(tǒng)。除此之外,具有國家背景的攻擊者,也可能會利用勒索軟件,對其他國家的工業(yè)控制系統(tǒng)進行惡意攻擊,從而隱藏其真實網(wǎng)絡戰(zhàn)爭意圖。
2 勒索軟件造成的危害
勒索事件不像一般攻擊事件,其發(fā)起者只想訪問數(shù)據(jù)或者獲取資源,勒索者有時既想要數(shù)據(jù),更想要錢。勒索軟件不管是對個人網(wǎng)絡用戶還是企業(yè)用戶來說,都是一個越來越嚴重的犯罪問題。受影響的客戶包括中小企業(yè)的業(yè)務信息系統(tǒng),甚至包括個人終端,移動設備。據(jù)美國FBI的一份報告顯示,2016年,勒索軟件的非法收入可能達到10億美元。這一巨大的數(shù)字,很大一部分都是由企業(yè)繳納的贖金組成。
當用戶因為勒索軟件導致業(yè)務中斷,企業(yè)通常會認為支付贖金是取回數(shù)據(jù)最劃算的辦法。這些支付出去的贖金,會助長犯罪組織加強勒索軟件的開發(fā)。正因如此,勒索攻擊正以驚人的速度不斷發(fā)展,勒索軟件家族也正在不斷地進化。
3 勒索軟件何時會“青睞”工業(yè)控制系統(tǒng)?
2016年11月28日,舊金山MUNI城市捷運系統(tǒng)受到勒索加密勒索軟件攻擊,所有的售票站點都顯示出“你被攻擊了,所有數(shù)據(jù)都被加密”,攻擊者發(fā)出公告索要100比特幣,也就是70000多美元。
2017年1月下旬,一家奧地利豪華酒店受到攻擊,阻止給客人制作新的房間鑰匙卡,基本上鎖定他們的房間。由于每個酒店房間每晚花費高達幾百美元,受害者支付大約1600美元贖金來恢復系統(tǒng)并繼續(xù)正常的業(yè)務操作。
2017年5月13日,受WannaCry的影響,雷諾宣布法國桑都維爾和羅馬尼亞的工廠停產(chǎn),防止勒索軟件在系統(tǒng)內擴散。除了雷諾還有一些受害者,日產(chǎn)位于英國東北部桑德蘭(Sunderland)的制造工廠也受到影響。
以上事件已經(jīng)說明,勒索軟件已經(jīng)開始逐漸向工業(yè)控制系統(tǒng)進行滲透。規(guī)模比較小的入侵組織,一般會選擇對社會影響有限,失控后不會造成生產(chǎn)事故和人身事故,但數(shù)據(jù)恢復成本大于贖金成本,如門禁系統(tǒng)、地鐵支付系統(tǒng)、智能樓宇系統(tǒng)等。如果是有國家背景的入侵組織發(fā)起,那么會對國家關鍵信息基礎設施發(fā)起攻擊,造成比較大的社會影響,如電力系統(tǒng)、石油石化系統(tǒng)、智慧城市等。
為了防止勒索軟件對工業(yè)控制系統(tǒng)造成威脅,近期我們需要關注軌道交通自動售檢票系統(tǒng)(AFC)、酒店門禁系統(tǒng)、智能樓宇系統(tǒng)、遠程視頻監(jiān)控系統(tǒng)、智慧城市等影響到日常生活生產(chǎn)的控制系統(tǒng)。從長遠來看,我們更要關注電力、水利、石油石化等關鍵基礎設施的控制系統(tǒng)安全。
4 如何防范勒索軟件對工業(yè)控制系統(tǒng)造成的威脅?
為了防范勒索軟件對工業(yè)控制系統(tǒng)造成威脅,需要做好以下幾個方面的工作:
(1)對工業(yè)控制系統(tǒng)的組態(tài)數(shù)據(jù)進行安全備份
組態(tài)數(shù)據(jù)作為工業(yè)控制系統(tǒng)正常運行的核心元素,組態(tài)數(shù)據(jù)備份和恢復措施是發(fā)生被勒索事件挽回損失的重要工作,數(shù)據(jù)備份恢復是企業(yè)的最后一道防線,在最壞的情況下,它將是企業(yè)最后的堡壘,而企業(yè)需要建立不定期進行數(shù)據(jù)備份的策略,以確保在最壞的情況有備份措施。
(2)做好第一道防線,防止勒索軟件進入管理信息網(wǎng)
管理信息網(wǎng)內部要進行分區(qū)分域的細粒度劃分,區(qū)域邊界要做好訪問控制和準入機制。同時要及時發(fā)現(xiàn)并修復業(yè)務系統(tǒng)存在的漏洞;或者拒絕點擊網(wǎng)絡釣魚等不明惡意鏈接和郵件/社交工程。
(3)做好第二道防線,杜絕勒索軟件通過管理信息網(wǎng)進入生產(chǎn)網(wǎng)
管理網(wǎng)與生產(chǎn)網(wǎng)進行強隔離,杜絕管理網(wǎng)與生產(chǎn)網(wǎng)建立任何通訊連接,只能進行數(shù)據(jù)交換,這樣就可以杜絕勒索軟件通過管理信息網(wǎng)滲透到生產(chǎn)控制網(wǎng)。也就是說,生產(chǎn)控制網(wǎng)和管理信息網(wǎng)絡之間應該通過網(wǎng)閘進行安全隔離。
(4)做好全面監(jiān)控工作
無論是管理信息網(wǎng),還是生產(chǎn)控制網(wǎng),都要做好安全監(jiān)控工作,實時監(jiān)控網(wǎng)絡異常行為、僵木蠕惡意行為、異常流量、異常網(wǎng)序,以及違規(guī)運維行為等,進行提前預警,把風險消滅在萌芽期。
(5)定期進行風險評估
定期對信息系統(tǒng)資產(chǎn)進行安全漏洞掃描,對發(fā)現(xiàn)的漏洞,要盡快進行修復,同時日常也應該不定期關注軟件廠商發(fā)布的安全漏洞信息和補丁信息,及時做好漏洞修復管理工作。
作者簡介:
張曄(1973-),男,本科,現(xiàn)就職于啟明星辰集團電力事業(yè)部,主要研究方向為工業(yè)控制系統(tǒng)信息安全。發(fā)明了工業(yè)控制系統(tǒng)現(xiàn)場運維審計與管理系統(tǒng),填補了國內該產(chǎn)品的空白;發(fā)明了動態(tài)安全保障體系模型和等級保護技術架構模型;在國內首次提出了工控系統(tǒng)信息安全的“四化”理念。
摘自《自動化博覽》2017年8月刊
北京市公安局海淀分局備案號:11010802023656號