8月7日,已經是臺積電生產網絡及管理總部遭受大面積中毒的第5天,網絡安全企業、媒體都在積極反饋、出謀劃策。但根據媒體廣泛報道來看,作為承擔全球近六成芯片代工業務的高科技公司,其網絡安全建設絕無可能是一張白紙,甚至在5個多月前還有主管防黑客工作在臺積電任職22年的資深副總經理左大川,他主導的安全體系Defense in Depth類似我們常常提到的縱深防御,臺積電內部還開發過一套軟件,只要黑客一有動作,就很快被抓到。但!這次還是在臺灣北、中、南三處重要生產基地同步遭受病毒入侵,導致部分廠區生產停擺。
從臺積電遭遇病毒的過程來看,第一沒有抵擋病毒的入侵;第二沒有監測出病毒的傳播的范圍,第三沒有阻止第二時間病毒的蔓延。
||讓人不禁唏噓,整個生產網絡還是非常脆弱的。對!非常脆弱!工控安全一個必須要接受的事實就是要在生產網絡脆弱性得不到根本改善的前提下開展安全建設且要有相當安全防御能力||
筆者在此不做全面討論,僅針對工業主機安全防護展開探討。在臺積電事件中,有一點不難推論即其工業主機存在遠程溢出漏洞,安全措施缺失或失效。對于工業企業用戶而言,工業主機長時間存在系統漏洞是現狀也是預期,這就是我們必須要接受的事實。如何應對此問題,筆者提出“ABC”工業主機安全防護理念
1、 AWL(Application White List)應用程序(文件級)白名單技術
2、 Before and After 存儲介質使用前、使用后殺毒
3、 Configuration Management主機配置安全管理
AWL(Application White List)
經過近幾年工控安全產業實踐,基于應用程序啟動控制的“白名單”技術由于其資源占用小、兼容性好、可抵御“0day”,尤其是不存在升級且規避了殺毒軟件誤殺的問題已經被廣泛接受和應用。但其實AWL也存在“庫”的問題,即支持的PE(Portable Executable)文件種類。當前惡意程序越來越多的通過“腳本”、“宏”、“遠程溢出”等方式感染,市面大多AWL產品還停留在針對exe、bat、dll文件甚至進程級的控制,面對越來越高級的病毒傳播方式顯得束手無策,自身都漏洞百出??疾煲豢預WL產品是要特別注意以下三點:
1、 AWL產品支持的PE文件類型種類是否豐富
2、 AWL產品自身強壯性是否可靠
3、 AWL產品工程實施是否具備可行性
Before and After
毫無疑問,U盤、移動硬盤等移動存儲介質是工控網絡病毒引入的最主要途徑,AWL作為最后一道防線解決惡意程序執行問題,而Before and After要解決工業主機物理接觸引入病毒問題。這里的“一前一后”要求移動存儲介質使用前使用后都要進行一次完整的病毒查殺動作,確保存儲介質不攜毒。但要注意,配合這個管理動作需要一臺安裝防病毒軟件的“中間機”,對“中間機”要求一不聯網(包括互聯網)、二要持續更新、三要有自身安全防護。經過實踐表明在存儲介質使用過程中完成一次B&A,移動存儲介質攜毒現象幾乎可以降低為零。
Configuration Management
B&A解決了物理接觸引入病毒問題,而配置管理要重點解決工業主機作為網絡中一個節點面臨網絡威脅的問題,包括本次事件以及2017年WannaCry在內,都指向了一個基本問題即操作系統基本安全配置缺失門戶大開,給惡意程序的入侵蔓延提供了“沃土”。安全配置換一個說法其實就是最小化的問題,僅提供工業主機承擔生產業務的最小化環境,關閉或刪除不需要的端口、服務、程序等一切資源。這里的安全配置可以是手工完成,當然對于臺積電這樣體量的生產型企業最好有一套可集中管理、統一策略的主機配置核查管理系統,集中統一提高工業主機的自身強壯性。
以上探討的“ABC”也同時映射了工業主機面臨的3個主要問題:
主要問題1:非法及惡意程序運行
主要問題2:存儲介質引入病毒
主要問題3:網絡入侵
面對這三個問題,筆者建議實施或分步實施“ABC”,“ABC”理念適用同時適應工控網絡的特殊性和獨有特點,具備如下優勢:
1、 “無痛”實施,無需主機打補丁堵漏洞
2、 可防御“0day”攻擊
3、 規范行為,“抹平”人員安全技術能力和意識的差距
最后,筆者還是想給工業企業用戶幾點建議:
① 梳理生產網絡邊界。不少企業遭到攻擊后檢查發現,網絡邊界存在多條自己都不知道的“官道”。
② 不要過分相信運營商網絡。集團型企業租用運營商線路搭建協同生產網絡,而運營商擁有的安全監測和防護能力并不充分,根據誰使用誰負責的原則,企業還是要和運營商共同打造安全的基礎設施。
③ 提升災難恢復能力。逐步建立和提高災難恢復能力,從數據級開始,慢慢上升到應用級甚至業務級。
④ 提高安全危機意識。類似于臺積電這樣的企業,安全問題幾乎是信息化智能化進程中配套的產物,所以生產越是“聰明”安全風險意識就應當越高,這條提給企業負責人。
⑤ 其他關于縱深防御、安全監測就不多做贅述了。