今日頭條
官方微信
官方抖音
資訊頻道2017年5月12日晚20時(shí)左右,全球爆發(fā)大規(guī)模WannaCry勒索病毒感染事件,國(guó)內(nèi)眾多安全廠家積極響應(yīng),分析報(bào)告無(wú)數(shù),各家的應(yīng)對(duì)方案也接踵而來(lái),但是事后諸葛亮的辦法并不能給人們以更多信心,有哪款產(chǎn)品事前可以預(yù)防此類病毒?面對(duì)如此疑問(wèn),各家都保持沉默,不禁讓人相當(dāng)?shù)谋^。但是好消息傳來(lái),工控安全專業(yè)公司威努特日前發(fā)消息稱,其在某油田現(xiàn)場(chǎng)部署的工控主機(jī)衛(wèi)士安全軟件,在WannaCry勒索病毒被發(fā)現(xiàn)前即已成功攔截WannaCry運(yùn)行,保護(hù)了客戶主機(jī)。
事件發(fā)生在某油田第二采氣廠,2016年曾部署威努特公司工控安全防護(hù)產(chǎn)品,其官網(wǎng)有案例可查http://www.winicssec.com/Index/show/catid/17/id/122.html。
發(fā)現(xiàn)WannaCry的電腦位于油田采氣廠調(diào)度中心,中心有兩臺(tái)配置完全一樣的計(jì)算機(jī),每臺(tái)計(jì)算機(jī)都安裝兩張網(wǎng)卡,一張與采氣廠控制網(wǎng)絡(luò)、服務(wù)器通信,另外一張與西安總部通信,總部辦公網(wǎng)有多臺(tái)計(jì)算機(jī)感染W(wǎng)annaCry病毒。兩臺(tái)計(jì)算機(jī)都安裝有霍尼韋爾的EPKS組態(tài)軟件,其中一臺(tái)計(jì)算機(jī)(計(jì)算機(jī)B)沒(méi)有安裝工控主機(jī)衛(wèi)士軟件,感染了WannaCry病毒,文檔文件以及圖像文件無(wú)法正常使用,文件的擴(kuò)展名也被修改成”.wncry”,同時(shí)系統(tǒng)桌面出現(xiàn)勒索信息,如圖1;
另一臺(tái)計(jì)算機(jī)(計(jì)算機(jī)A)安裝工控主機(jī)衛(wèi)士軟件,并未被病毒感染,病毒文件被工控主機(jī)衛(wèi)士阻止并產(chǎn)生應(yīng)用程序告警日志,如圖2所示。
解 國(guó)內(nèi)安全軟件事前即成功攔截6501495795077104532.png "Wannacry并非無(wú)解 國(guó)內(nèi)安全軟件事前即成功攔截6501495795077104532.png")
解 國(guó)內(nèi)安全軟件事前即成功攔截6521495795088794323.png "Wannacry并非無(wú)解 國(guó)內(nèi)安全軟件事前即成功攔截6521495795088794323.png")
圖1 現(xiàn)場(chǎng)WannaCry病毒感染情況
解 國(guó)內(nèi)安全軟件事前即成功攔截6741495795101170276.png "Wannacry并非無(wú)解 國(guó)內(nèi)安全軟件事前即成功攔截6741495795101170276.png")
解 國(guó)內(nèi)安全軟件事前即成功攔截6761495795113666691.png "Wannacry并非無(wú)解 國(guó)內(nèi)安全軟件事前即成功攔截6761495795113666691.png")
解 國(guó)內(nèi)安全軟件事前即成功攔截6791495795122122937.png "Wannacry并非無(wú)解 國(guó)內(nèi)安全軟件事前即成功攔截6791495795122122937.png")
圖2 工控主機(jī)衛(wèi)士阻止記錄和告警日志
兩臺(tái)主機(jī)對(duì)比如下表所示。病毒是通過(guò)和總部的信息網(wǎng)連接被感染的,由于工控網(wǎng)和信息網(wǎng)連接在同一臺(tái)主機(jī)的兩張網(wǎng)卡上,網(wǎng)卡隔離不但沒(méi)有起到安全隔離作用,反而成了攻擊的跳板。幸運(yùn)的是,調(diào)度中心的主用計(jì)算機(jī)安裝了工控主機(jī)衛(wèi)士,阻止了病毒的執(zhí)行,并進(jìn)一步阻止了病毒向控制網(wǎng)的擴(kuò)散,避免了損失的擴(kuò)大化。
表1 調(diào)度中心計(jì)算機(jī)對(duì)比表
在病毒爆發(fā)不久,曾有網(wǎng)友在國(guó)內(nèi)知名安全論壇卡飯論壇上發(fā)布了對(duì)國(guó)內(nèi)外數(shù)十款殺毒軟件的啟發(fā)測(cè)試,結(jié)果表明在新病毒出現(xiàn)到殺軟入庫(kù)之間的這段空檔期里,這些殺軟全部都不能很好地保護(hù)我們的電腦。在掃描測(cè)試中,最高的查殺率也不過(guò)四分之一,這種比例與面對(duì)舊威脅時(shí)90%以上的比率形成了鮮明對(duì)比。
工控主機(jī)衛(wèi)士卻能在工業(yè)現(xiàn)場(chǎng)生效,根本原因是其采用了與殺軟“黑名單”查殺模式完全不同的“白名單”主動(dòng)防御模式。2016年,工信部在發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中的第一條:安全軟件的選擇與管理中,明確提出“在工業(yè)主機(jī)上采用經(jīng)過(guò)離線環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件,只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行”,將白名單軟件放在了和防病毒軟件同等的位置。所謂“白”是指好的、可信的,即只有可信任的設(shè)備、軟件和數(shù)據(jù),才允許在工控網(wǎng)絡(luò)內(nèi)部流通,其他惡意的、不明確的或者規(guī)定不允許的東西都不允許流通使用。這有別于“黑名單“的處理方式,即通過(guò)建立病毒庫(kù)、逐條匹配查殺,只有設(shè)備、軟件和數(shù)據(jù)被識(shí)別為“黑的”,才會(huì)被阻止運(yùn)行。
防護(hù)理念的不同決定了效果的不同。不管WannaCry利用了什么漏洞,使用了多么先進(jìn)的攻擊手法,但是工控主機(jī)衛(wèi)士還是能將之拒之門(mén)外。無(wú)論其將來(lái)出現(xiàn)多少變種,經(jīng)過(guò)多么強(qiáng)大的升級(jí)也依然無(wú)法對(duì)被工控主機(jī)衛(wèi)士保護(hù)的主機(jī)造成威脅。如果我國(guó)的工業(yè)主機(jī)都能部署工控主機(jī)衛(wèi)士的安全防護(hù),其抵御安全威脅的能力無(wú)疑將提高數(shù)個(gè)級(jí)別。
北京市公安局海淀分局備案號(hào):11010802023656號(hào)