今日頭條
官方微信
官方抖音
案例頻道啟明星辰集團(tuán) 張曄
北京時(shí)間2017年5月1 2日, 全球爆發(fā)大規(guī)模WannaCry勒索軟件感染事件,已有至少100多個(gè)國家和地區(qū)的上萬臺電腦受到感染,我國是此次蠕蟲事件受感染的重災(zāi)區(qū),政府社會服務(wù)和企事業(yè)單位生產(chǎn)受到嚴(yán)重影響。為什么最近幾年勒索軟件不斷涌現(xiàn),而且大行其道,大有不斷擴(kuò)大的趨勢;勒索軟件會對我們的社會造成什么樣的影響?勒索軟件會對工業(yè)控制系統(tǒng)下手嗎?針對勒索軟件,我們應(yīng)該做好哪些防范工作?本文作者將就這些問題進(jìn)行分析。
1 什么是勒索軟件?
勒索軟件是一種流行的木馬,通過騷擾、恐嚇甚至采用綁架用戶文件等方式,使用戶數(shù)據(jù)資產(chǎn)或計(jì)算資源無法正常使用,并以此為條件向用戶勒索錢財(cái)。這類用戶數(shù)據(jù)資產(chǎn)包括文檔、郵件、數(shù)據(jù)庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實(shí)貨幣、比特幣或其它虛擬貨幣。
勒索軟件開發(fā)成本低,惡意擴(kuò)散范圍大,傳播速度快,恢復(fù)數(shù)據(jù)成本高。相對用戶通過合法途徑恢復(fù)數(shù)據(jù)的成本來說,交付贖金對用戶來說更合適。勒索軟件對于惡意發(fā)布者來說,是一本萬利,因此最近幾年勒索軟件不斷涌現(xiàn),在全世界大行其道。
隨著技術(shù)的發(fā)展,新型勒索軟件還會不斷出現(xiàn),在不久的將來,網(wǎng)絡(luò)犯罪者可能會直接攻擊關(guān)鍵基礎(chǔ)設(shè)施,包括工業(yè)控制系統(tǒng)。除此之外,具有國家背景的攻擊者,也可能會利用勒索軟件,對其他國家的工業(yè)控制系統(tǒng)進(jìn)行惡意攻擊,從而隱藏其真實(shí)網(wǎng)絡(luò)戰(zhàn)爭意圖。
2 勒索軟件造成的危害
勒索事件不像一般攻擊事件,其發(fā)起者只想訪問數(shù)據(jù)或者獲取資源,勒索者有時(shí)既想要數(shù)據(jù),更想要錢。勒索軟件不管是對個(gè)人網(wǎng)絡(luò)用戶還是企業(yè)用戶來說,都是一個(gè)越來越嚴(yán)重的犯罪問題。受影響的客戶包括中小企業(yè)的業(yè)務(wù)信息系統(tǒng),甚至包括個(gè)人終端,移動設(shè)備。據(jù)美國FBI的一份報(bào)告顯示,2016年,勒索軟件的非法收入可能達(dá)到10億美元。這一巨大的數(shù)字,很大一部分都是由企業(yè)繳納的贖金組成。
當(dāng)用戶因?yàn)槔账鬈浖?dǎo)致業(yè)務(wù)中斷,企業(yè)通常會認(rèn)為支付贖金是取回?cái)?shù)據(jù)最劃算的辦法。這些支付出去的贖金,會助長犯罪組織加強(qiáng)勒索軟件的開發(fā)。正因如此,勒索攻擊正以驚人的速度不斷發(fā)展,勒索軟件家族也正在不斷地進(jìn)化。
3 勒索軟件何時(shí)會“青睞”工業(yè)控制系統(tǒng)?
2016年11月28日,舊金山MUNI城市捷運(yùn)系統(tǒng)受到勒索加密勒索軟件攻擊,所有的售票站點(diǎn)都顯示出“你被攻擊了,所有數(shù)據(jù)都被加密”,攻擊者發(fā)出公告索要100比特幣,也就是70000多美元。
2017年1月下旬,一家奧地利豪華酒店受到攻擊,阻止給客人制作新的房間鑰匙卡,基本上鎖定他們的房間。由于每個(gè)酒店房間每晚花費(fèi)高達(dá)幾百美元,受害者支付大約1600美元贖金來恢復(fù)系統(tǒng)并繼續(xù)正常的業(yè)務(wù)操作。
2017年5月13日,受WannaCry的影響,雷諾宣布法國桑都維爾和羅馬尼亞的工廠停產(chǎn),防止勒索軟件在系統(tǒng)內(nèi)擴(kuò)散。除了雷諾還有一些受害者,日產(chǎn)位于英國東北部桑德蘭(Sunderland)的制造工廠也受到影響。
以上事件已經(jīng)說明,勒索軟件已經(jīng)開始逐漸向工業(yè)控制系統(tǒng)進(jìn)行滲透。規(guī)模比較小的入侵組織,一般會選擇對社會影響有限,失控后不會造成生產(chǎn)事故和人身事故,但數(shù)據(jù)恢復(fù)成本大于贖金成本,如門禁系統(tǒng)、地鐵支付系統(tǒng)、智能樓宇系統(tǒng)等。如果是有國家背景的入侵組織發(fā)起,那么會對國家關(guān)鍵信息基礎(chǔ)設(shè)施發(fā)起攻擊,造成比較大的社會影響,如電力系統(tǒng)、石油石化系統(tǒng)、智慧城市等。
為了防止勒索軟件對工業(yè)控制系統(tǒng)造成威脅,近期我們需要關(guān)注軌道交通自動售檢票系統(tǒng)(AFC)、酒店門禁系統(tǒng)、智能樓宇系統(tǒng)、遠(yuǎn)程視頻監(jiān)控系統(tǒng)、智慧城市等影響到日常生活生產(chǎn)的控制系統(tǒng)。從長遠(yuǎn)來看,我們更要關(guān)注電力、水利、石油石化等關(guān)鍵基礎(chǔ)設(shè)施的控制系統(tǒng)安全。
4 如何防范勒索軟件對工業(yè)控制系統(tǒng)造成的威脅?
為了防范勒索軟件對工業(yè)控制系統(tǒng)造成威脅,需要做好以下幾個(gè)方面的工作:
(1)對工業(yè)控制系統(tǒng)的組態(tài)數(shù)據(jù)進(jìn)行安全備份
組態(tài)數(shù)據(jù)作為工業(yè)控制系統(tǒng)正常運(yùn)行的核心元素,組態(tài)數(shù)據(jù)備份和恢復(fù)措施是發(fā)生被勒索事件挽回?fù)p失的重要工作,數(shù)據(jù)備份恢復(fù)是企業(yè)的最后一道防線,在最壞的情況下,它將是企業(yè)最后的堡壘,而企業(yè)需要建立不定期進(jìn)行數(shù)據(jù)備份的策略,以確保在最壞的情況有備份措施。
(2)做好第一道防線,防止勒索軟件進(jìn)入管理信息網(wǎng)
管理信息網(wǎng)內(nèi)部要進(jìn)行分區(qū)分域的細(xì)粒度劃分,區(qū)域邊界要做好訪問控制和準(zhǔn)入機(jī)制。同時(shí)要及時(shí)發(fā)現(xiàn)并修復(fù)業(yè)務(wù)系統(tǒng)存在的漏洞;或者拒絕點(diǎn)擊網(wǎng)絡(luò)釣魚等不明惡意鏈接和郵件/社交工程。
(3)做好第二道防線,杜絕勒索軟件通過管理信息網(wǎng)進(jìn)入生產(chǎn)網(wǎng)
管理網(wǎng)與生產(chǎn)網(wǎng)進(jìn)行強(qiáng)隔離,杜絕管理網(wǎng)與生產(chǎn)網(wǎng)建立任何通訊連接,只能進(jìn)行數(shù)據(jù)交換,這樣就可以杜絕勒索軟件通過管理信息網(wǎng)滲透到生產(chǎn)控制網(wǎng)。也就是說,生產(chǎn)控制網(wǎng)和管理信息網(wǎng)絡(luò)之間應(yīng)該通過網(wǎng)閘進(jìn)行安全隔離。
(4)做好全面監(jiān)控工作
無論是管理信息網(wǎng),還是生產(chǎn)控制網(wǎng),都要做好安全監(jiān)控工作,實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)異常行為、僵木蠕惡意行為、異常流量、異常網(wǎng)序,以及違規(guī)運(yùn)維行為等,進(jìn)行提前預(yù)警,把風(fēng)險(xiǎn)消滅在萌芽期。
(5)定期進(jìn)行風(fēng)險(xiǎn)評估
定期對信息系統(tǒng)資產(chǎn)進(jìn)行安全漏洞掃描,對發(fā)現(xiàn)的漏洞,要盡快進(jìn)行修復(fù),同時(shí)日常也應(yīng)該不定期關(guān)注軟件廠商發(fā)布的安全漏洞信息和補(bǔ)丁信息,及時(shí)做好漏洞修復(fù)管理工作。
作者簡介:
張曄(1973-),男,本科,現(xiàn)就職于啟明星辰集團(tuán)電力事業(yè)部,主要研究方向?yàn)楣I(yè)控制系統(tǒng)信息安全。發(fā)明了工業(yè)控制系統(tǒng)現(xiàn)場運(yùn)維審計(jì)與管理系統(tǒng),填補(bǔ)了國內(nèi)該產(chǎn)品的空白;發(fā)明了動態(tài)安全保障體系模型和等級保護(hù)技術(shù)架構(gòu)模型;在國內(nèi)首次提出了工控系統(tǒng)信息安全的“四化”理念。
摘自《自動化博覽》2017年8月刊
北京市公安局海淀分局備案號:11010802023656號