今日頭條
官方微信
官方抖音
資訊頻道8月7日,已經(jīng)是臺積電生產(chǎn)網(wǎng)絡(luò)及管理總部遭受大面積中毒的第5天,網(wǎng)絡(luò)安全企業(yè)、媒體都在積極反饋、出謀劃策。但根據(jù)媒體廣泛報(bào)道來看,作為承擔(dān)全球近六成芯片代工業(yè)務(wù)的高科技公司,其網(wǎng)絡(luò)安全建設(shè)絕無可能是一張白紙,甚至在5個(gè)多月前還有主管防黑客工作在臺積電任職22年的資深副總經(jīng)理左大川,他主導(dǎo)的安全體系Defense in Depth類似我們常常提到的縱深防御,臺積電內(nèi)部還開發(fā)過一套軟件,只要黑客一有動作,就很快被抓到。但!這次還是在臺灣北、中、南三處重要生產(chǎn)基地同步遭受病毒入侵,導(dǎo)致部分廠區(qū)生產(chǎn)停擺。
從臺積電遭遇病毒的過程來看,第一沒有抵擋病毒的入侵;第二沒有監(jiān)測出病毒的傳播的范圍,第三沒有阻止第二時(shí)間病毒的蔓延。
||讓人不禁唏噓,整個(gè)生產(chǎn)網(wǎng)絡(luò)還是非常脆弱的。對!非常脆弱!工控安全一個(gè)必須要接受的事實(shí)就是要在生產(chǎn)網(wǎng)絡(luò)脆弱性得不到根本改善的前提下開展安全建設(shè)且要有相當(dāng)安全防御能力||
筆者在此不做全面討論,僅針對工業(yè)主機(jī)安全防護(hù)展開探討。在臺積電事件中,有一點(diǎn)不難推論即其工業(yè)主機(jī)存在遠(yuǎn)程溢出漏洞,安全措施缺失或失效。對于工業(yè)企業(yè)用戶而言,工業(yè)主機(jī)長時(shí)間存在系統(tǒng)漏洞是現(xiàn)狀也是預(yù)期,這就是我們必須要接受的事實(shí)。如何應(yīng)對此問題,筆者提出“ABC”工業(yè)主機(jī)安全防護(hù)理念
1、 AWL(Application White List)應(yīng)用程序(文件級)白名單技術(shù)
2、 Before and After 存儲介質(zhì)使用前、使用后殺毒
3、 Configuration Management主機(jī)配置安全管理
AWL(Application White List)
經(jīng)過近幾年工控安全產(chǎn)業(yè)實(shí)踐,基于應(yīng)用程序啟動控制的“白名單”技術(shù)由于其資源占用小、兼容性好、可抵御“0day”,尤其是不存在升級且規(guī)避了殺毒軟件誤殺的問題已經(jīng)被廣泛接受和應(yīng)用。但其實(shí)AWL也存在“庫”的問題,即支持的PE(Portable Executable)文件種類。當(dāng)前惡意程序越來越多的通過“腳本”、“宏”、“遠(yuǎn)程溢出”等方式感染,市面大多AWL產(chǎn)品還停留在針對exe、bat、dll文件甚至進(jìn)程級的控制,面對越來越高級的病毒傳播方式顯得束手無策,自身都漏洞百出。考察一款A(yù)WL產(chǎn)品是要特別注意以下三點(diǎn):
1、 AWL產(chǎn)品支持的PE文件類型種類是否豐富
2、 AWL產(chǎn)品自身強(qiáng)壯性是否可靠
3、 AWL產(chǎn)品工程實(shí)施是否具備可行性
Before and After
毫無疑問,U盤、移動硬盤等移動存儲介質(zhì)是工控網(wǎng)絡(luò)病毒引入的最主要途徑,AWL作為最后一道防線解決惡意程序執(zhí)行問題,而Before and After要解決工業(yè)主機(jī)物理接觸引入病毒問題。這里的“一前一后”要求移動存儲介質(zhì)使用前使用后都要進(jìn)行一次完整的病毒查殺動作,確保存儲介質(zhì)不攜毒。但要注意,配合這個(gè)管理動作需要一臺安裝防病毒軟件的“中間機(jī)”,對“中間機(jī)”要求一不聯(lián)網(wǎng)(包括互聯(lián)網(wǎng))、二要持續(xù)更新、三要有自身安全防護(hù)。經(jīng)過實(shí)踐表明在存儲介質(zhì)使用過程中完成一次B&A,移動存儲介質(zhì)攜毒現(xiàn)象幾乎可以降低為零。
Configuration Management
B&A解決了物理接觸引入病毒問題,而配置管理要重點(diǎn)解決工業(yè)主機(jī)作為網(wǎng)絡(luò)中一個(gè)節(jié)點(diǎn)面臨網(wǎng)絡(luò)威脅的問題,包括本次事件以及2017年WannaCry在內(nèi),都指向了一個(gè)基本問題即操作系統(tǒng)基本安全配置缺失門戶大開,給惡意程序的入侵蔓延提供了“沃土”。安全配置換一個(gè)說法其實(shí)就是最小化的問題,僅提供工業(yè)主機(jī)承擔(dān)生產(chǎn)業(yè)務(wù)的最小化環(huán)境,關(guān)閉或刪除不需要的端口、服務(wù)、程序等一切資源。這里的安全配置可以是手工完成,當(dāng)然對于臺積電這樣體量的生產(chǎn)型企業(yè)最好有一套可集中管理、統(tǒng)一策略的主機(jī)配置核查管理系統(tǒng),集中統(tǒng)一提高工業(yè)主機(jī)的自身強(qiáng)壯性。
以上探討的“ABC”也同時(shí)映射了工業(yè)主機(jī)面臨的3個(gè)主要問題:
主要問題1:非法及惡意程序運(yùn)行
主要問題2:存儲介質(zhì)引入病毒
主要問題3:網(wǎng)絡(luò)入侵
面對這三個(gè)問題,筆者建議實(shí)施或分步實(shí)施“ABC”,“ABC”理念適用同時(shí)適應(yīng)工控網(wǎng)絡(luò)的特殊性和獨(dú)有特點(diǎn),具備如下優(yōu)勢:
1、 “無痛”實(shí)施,無需主機(jī)打補(bǔ)丁堵漏洞
2、 可防御“0day”攻擊
3、 規(guī)范行為,“抹平”人員安全技術(shù)能力和意識的差距
最后,筆者還是想給工業(yè)企業(yè)用戶幾點(diǎn)建議:
① 梳理生產(chǎn)網(wǎng)絡(luò)邊界。不少企業(yè)遭到攻擊后檢查發(fā)現(xiàn),網(wǎng)絡(luò)邊界存在多條自己都不知道的“官道”。
② 不要過分相信運(yùn)營商網(wǎng)絡(luò)。集團(tuán)型企業(yè)租用運(yùn)營商線路搭建協(xié)同生產(chǎn)網(wǎng)絡(luò),而運(yùn)營商擁有的安全監(jiān)測和防護(hù)能力并不充分,根據(jù)誰使用誰負(fù)責(zé)的原則,企業(yè)還是要和運(yùn)營商共同打造安全的基礎(chǔ)設(shè)施。
③ 提升災(zāi)難恢復(fù)能力。逐步建立和提高災(zāi)難恢復(fù)能力,從數(shù)據(jù)級開始,慢慢上升到應(yīng)用級甚至業(yè)務(wù)級。
④ 提高安全危機(jī)意識。類似于臺積電這樣的企業(yè),安全問題幾乎是信息化智能化進(jìn)程中配套的產(chǎn)物,所以生產(chǎn)越是“聰明”安全風(fēng)險(xiǎn)意識就應(yīng)當(dāng)越高,這條提給企業(yè)負(fù)責(zé)人。
⑤ 其他關(guān)于縱深防御、安全監(jiān)測就不多做贅述了。
北京市公安局海淀分局備案號:11010802023656號