今日頭條
官方微信
官方抖音
資訊頻道2017年5月12日晚20時左右,全球爆發大規模WannaCry勒索病毒感染事件,國內眾多安全廠家積極響應,分析報告無數,各家的應對方案也接踵而來,但是事后諸葛亮的辦法并不能給人們以更多信心,有哪款產品事前可以預防此類病毒?面對如此疑問,各家都保持沉默,不禁讓人相當的悲觀。但是好消息傳來,工控安全專業公司威努特日前發消息稱,其在某油田現場部署的工控主機衛士安全軟件,在WannaCry勒索病毒被發現前即已成功攔截WannaCry運行,保護了客戶主機。
事件發生在某油田第二采氣廠,2016年曾部署威努特公司工控安全防護產品,其官網有案例可查http://www.winicssec.com/Index/show/catid/17/id/122.html。
發現WannaCry的電腦位于油田采氣廠調度中心,中心有兩臺配置完全一樣的計算機,每臺計算機都安裝兩張網卡,一張與采氣廠控制網絡、服務器通信,另外一張與西安總部通信,總部辦公網有多臺計算機感染WannaCry病毒。兩臺計算機都安裝有霍尼韋爾的EPKS組態軟件,其中一臺計算機(計算機B)沒有安裝工控主機衛士軟件,感染了WannaCry病毒,文檔文件以及圖像文件無法正常使用,文件的擴展名也被修改成”.wncry”,同時系統桌面出現勒索信息,如圖1;
另一臺計算機(計算機A)安裝工控主機衛士軟件,并未被病毒感染,病毒文件被工控主機衛士阻止并產生應用程序告警日志,如圖2所示。
圖1 現場WannaCry病毒感染情況
圖2 工控主機衛士阻止記錄和告警日志
兩臺主機對比如下表所示。病毒是通過和總部的信息網連接被感染的,由于工控網和信息網連接在同一臺主機的兩張網卡上,網卡隔離不但沒有起到安全隔離作用,反而成了攻擊的跳板。幸運的是,調度中心的主用計算機安裝了工控主機衛士,阻止了病毒的執行,并進一步阻止了病毒向控制網的擴散,避免了損失的擴大化。
表1 調度中心計算機對比表
在病毒爆發不久,曾有網友在國內知名安全論壇卡飯論壇上發布了對國內外數十款殺毒軟件的啟發測試,結果表明在新病毒出現到殺軟入庫之間的這段空檔期里,這些殺軟全部都不能很好地保護我們的電腦。在掃描測試中,最高的查殺率也不過四分之一,這種比例與面對舊威脅時90%以上的比率形成了鮮明對比。
工控主機衛士卻能在工業現場生效,根本原因是其采用了與殺軟“黑名單”查殺模式完全不同的“白名單”主動防御模式。2016年,工信部在發布的《工業控制系統信息安全防護指南》中的第一條:安全軟件的選擇與管理中,明確提出“在工業主機上采用經過離線環境中充分驗證測試的防病毒軟件或應用程序白名單軟件,只允許經過工業企業自身授權和安全評估的軟件運行”,將白名單軟件放在了和防病毒軟件同等的位置。所謂“白”是指好的、可信的,即只有可信任的設備、軟件和數據,才允許在工控網絡內部流通,其他惡意的、不明確的或者規定不允許的東西都不允許流通使用。這有別于“黑名單“的處理方式,即通過建立病毒庫、逐條匹配查殺,只有設備、軟件和數據被識別為“黑的”,才會被阻止運行。
防護理念的不同決定了效果的不同。不管WannaCry利用了什么漏洞,使用了多么先進的攻擊手法,但是工控主機衛士還是能將之拒之門外。無論其將來出現多少變種,經過多么強大的升級也依然無法對被工控主機衛士保護的主機造成威脅。如果我國的工業主機都能部署工控主機衛士的安全防護,其抵御安全威脅的能力無疑將提高數個級別。
北京市公安局海淀分局備案號:11010802023656號