今日頭條
官方微信
官方抖音
案例頻道啟明星辰集團(tuán) 張曄
北京時(shí)間2017年5月1 2日, 全球爆發(fā)大規(guī)模WannaCry勒索軟件感染事件,已有至少100多個(gè)國(guó)家和地區(qū)的上萬(wàn)臺(tái)電腦受到感染,我國(guó)是此次蠕蟲(chóng)事件受感染的重災(zāi)區(qū),政府社會(huì)服務(wù)和企事業(yè)單位生產(chǎn)受到嚴(yán)重影響。為什么最近幾年勒索軟件不斷涌現(xiàn),而且大行其道,大有不斷擴(kuò)大的趨勢(shì);勒索軟件會(huì)對(duì)我們的社會(huì)造成什么樣的影響?勒索軟件會(huì)對(duì)工業(yè)控制系統(tǒng)下手嗎?針對(duì)勒索軟件,我們應(yīng)該做好哪些防范工作?本文作者將就這些問(wèn)題進(jìn)行分析。
1 什么是勒索軟件?
勒索軟件是一種流行的木馬,通過(guò)騷擾、恐嚇甚至采用綁架用戶(hù)文件等方式,使用戶(hù)數(shù)據(jù)資產(chǎn)或計(jì)算資源無(wú)法正常使用,并以此為條件向用戶(hù)勒索錢(qián)財(cái)。這類(lèi)用戶(hù)數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫(kù)、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實(shí)貨幣、比特幣或其它虛擬貨幣。
勒索軟件開(kāi)發(fā)成本低,惡意擴(kuò)散范圍大,傳播速度快,恢復(fù)數(shù)據(jù)成本高。相對(duì)用戶(hù)通過(guò)合法途徑恢復(fù)數(shù)據(jù)的成本來(lái)說(shuō),交付贖金對(duì)用戶(hù)來(lái)說(shuō)更合適。勒索軟件對(duì)于惡意發(fā)布者來(lái)說(shuō),是一本萬(wàn)利,因此最近幾年勒索軟件不斷涌現(xiàn),在全世界大行其道。
隨著技術(shù)的發(fā)展,新型勒索軟件還會(huì)不斷出現(xiàn),在不久的將來(lái),網(wǎng)絡(luò)犯罪者可能會(huì)直接攻擊關(guān)鍵基礎(chǔ)設(shè)施,包括工業(yè)控制系統(tǒng)。除此之外,具有國(guó)家背景的攻擊者,也可能會(huì)利用勒索軟件,對(duì)其他國(guó)家的工業(yè)控制系統(tǒng)進(jìn)行惡意攻擊,從而隱藏其真實(shí)網(wǎng)絡(luò)戰(zhàn)爭(zhēng)意圖。
2 勒索軟件造成的危害
勒索事件不像一般攻擊事件,其發(fā)起者只想訪問(wèn)數(shù)據(jù)或者獲取資源,勒索者有時(shí)既想要數(shù)據(jù),更想要錢(qián)。勒索軟件不管是對(duì)個(gè)人網(wǎng)絡(luò)用戶(hù)還是企業(yè)用戶(hù)來(lái)說(shuō),都是一個(gè)越來(lái)越嚴(yán)重的犯罪問(wèn)題。受影響的客戶(hù)包括中小企業(yè)的業(yè)務(wù)信息系統(tǒng),甚至包括個(gè)人終端,移動(dòng)設(shè)備。據(jù)美國(guó)FBI的一份報(bào)告顯示,2016年,勒索軟件的非法收入可能達(dá)到10億美元。這一巨大的數(shù)字,很大一部分都是由企業(yè)繳納的贖金組成。
當(dāng)用戶(hù)因?yàn)槔账鬈浖?dǎo)致業(yè)務(wù)中斷,企業(yè)通常會(huì)認(rèn)為支付贖金是取回?cái)?shù)據(jù)最劃算的辦法。這些支付出去的贖金,會(huì)助長(zhǎng)犯罪組織加強(qiáng)勒索軟件的開(kāi)發(fā)。正因如此,勒索攻擊正以驚人的速度不斷發(fā)展,勒索軟件家族也正在不斷地進(jìn)化。
3 勒索軟件何時(shí)會(huì)“青睞”工業(yè)控制系統(tǒng)?
2016年11月28日,舊金山MUNI城市捷運(yùn)系統(tǒng)受到勒索加密勒索軟件攻擊,所有的售票站點(diǎn)都顯示出“你被攻擊了,所有數(shù)據(jù)都被加密”,攻擊者發(fā)出公告索要100比特幣,也就是70000多美元。
2017年1月下旬,一家?jiàn)W地利豪華酒店受到攻擊,阻止給客人制作新的房間鑰匙卡,基本上鎖定他們的房間。由于每個(gè)酒店房間每晚花費(fèi)高達(dá)幾百美元,受害者支付大約1600美元贖金來(lái)恢復(fù)系統(tǒng)并繼續(xù)正常的業(yè)務(wù)操作。
2017年5月13日,受WannaCry的影響,雷諾宣布法國(guó)桑都維爾和羅馬尼亞的工廠停產(chǎn),防止勒索軟件在系統(tǒng)內(nèi)擴(kuò)散。除了雷諾還有一些受害者,日產(chǎn)位于英國(guó)東北部桑德蘭(Sunderland)的制造工廠也受到影響。
以上事件已經(jīng)說(shuō)明,勒索軟件已經(jīng)開(kāi)始逐漸向工業(yè)控制系統(tǒng)進(jìn)行滲透。規(guī)模比較小的入侵組織,一般會(huì)選擇對(duì)社會(huì)影響有限,失控后不會(huì)造成生產(chǎn)事故和人身事故,但數(shù)據(jù)恢復(fù)成本大于贖金成本,如門(mén)禁系統(tǒng)、地鐵支付系統(tǒng)、智能樓宇系統(tǒng)等。如果是有國(guó)家背景的入侵組織發(fā)起,那么會(huì)對(duì)國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)起攻擊,造成比較大的社會(huì)影響,如電力系統(tǒng)、石油石化系統(tǒng)、智慧城市等。
為了防止勒索軟件對(duì)工業(yè)控制系統(tǒng)造成威脅,近期我們需要關(guān)注軌道交通自動(dòng)售檢票系統(tǒng)(AFC)、酒店門(mén)禁系統(tǒng)、智能樓宇系統(tǒng)、遠(yuǎn)程視頻監(jiān)控系統(tǒng)、智慧城市等影響到日常生活生產(chǎn)的控制系統(tǒng)。從長(zhǎng)遠(yuǎn)來(lái)看,我們更要關(guān)注電力、水利、石油石化等關(guān)鍵基礎(chǔ)設(shè)施的控制系統(tǒng)安全。
4 如何防范勒索軟件對(duì)工業(yè)控制系統(tǒng)造成的威脅?
為了防范勒索軟件對(duì)工業(yè)控制系統(tǒng)造成威脅,需要做好以下幾個(gè)方面的工作:
(1)對(duì)工業(yè)控制系統(tǒng)的組態(tài)數(shù)據(jù)進(jìn)行安全備份
組態(tài)數(shù)據(jù)作為工業(yè)控制系統(tǒng)正常運(yùn)行的核心元素,組態(tài)數(shù)據(jù)備份和恢復(fù)措施是發(fā)生被勒索事件挽回?fù)p失的重要工作,數(shù)據(jù)備份恢復(fù)是企業(yè)的最后一道防線(xiàn),在最壞的情況下,它將是企業(yè)最后的堡壘,而企業(yè)需要建立不定期進(jìn)行數(shù)據(jù)備份的策略,以確保在最壞的情況有備份措施。
(2)做好第一道防線(xiàn),防止勒索軟件進(jìn)入管理信息網(wǎng)
管理信息網(wǎng)內(nèi)部要進(jìn)行分區(qū)分域的細(xì)粒度劃分,區(qū)域邊界要做好訪問(wèn)控制和準(zhǔn)入機(jī)制。同時(shí)要及時(shí)發(fā)現(xiàn)并修復(fù)業(yè)務(wù)系統(tǒng)存在的漏洞;或者拒絕點(diǎn)擊網(wǎng)絡(luò)釣魚(yú)等不明惡意鏈接和郵件/社交工程。
(3)做好第二道防線(xiàn),杜絕勒索軟件通過(guò)管理信息網(wǎng)進(jìn)入生產(chǎn)網(wǎng)
管理網(wǎng)與生產(chǎn)網(wǎng)進(jìn)行強(qiáng)隔離,杜絕管理網(wǎng)與生產(chǎn)網(wǎng)建立任何通訊連接,只能進(jìn)行數(shù)據(jù)交換,這樣就可以杜絕勒索軟件通過(guò)管理信息網(wǎng)滲透到生產(chǎn)控制網(wǎng)。也就是說(shuō),生產(chǎn)控制網(wǎng)和管理信息網(wǎng)絡(luò)之間應(yīng)該通過(guò)網(wǎng)閘進(jìn)行安全隔離。
(4)做好全面監(jiān)控工作
無(wú)論是管理信息網(wǎng),還是生產(chǎn)控制網(wǎng),都要做好安全監(jiān)控工作,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)異常行為、僵木蠕惡意行為、異常流量、異常網(wǎng)序,以及違規(guī)運(yùn)維行為等,進(jìn)行提前預(yù)警,把風(fēng)險(xiǎn)消滅在萌芽期。
(5)定期進(jìn)行風(fēng)險(xiǎn)評(píng)估
定期對(duì)信息系統(tǒng)資產(chǎn)進(jìn)行安全漏洞掃描,對(duì)發(fā)現(xiàn)的漏洞,要盡快進(jìn)行修復(fù),同時(shí)日常也應(yīng)該不定期關(guān)注軟件廠商發(fā)布的安全漏洞信息和補(bǔ)丁信息,及時(shí)做好漏洞修復(fù)管理工作。
作者簡(jiǎn)介:
張曄(1973-),男,本科,現(xiàn)就職于啟明星辰集團(tuán)電力事業(yè)部,主要研究方向?yàn)楣I(yè)控制系統(tǒng)信息安全。發(fā)明了工業(yè)控制系統(tǒng)現(xiàn)場(chǎng)運(yùn)維審計(jì)與管理系統(tǒng),填補(bǔ)了國(guó)內(nèi)該產(chǎn)品的空白;發(fā)明了動(dòng)態(tài)安全保障體系模型和等級(jí)保護(hù)技術(shù)架構(gòu)模型;在國(guó)內(nèi)首次提出了工控系統(tǒng)信息安全的“四化”理念。
摘自《自動(dòng)化博覽》2017年8月刊
北京市公安局海淀分局備案號(hào):11010802023656號(hào)