仇澤宇，王曉鵬

（綠盟科技集團(tuán)股份有限公司，北京 100089）

0 引言

勒索病毒是一種極具破壞性、傳播性的惡意軟件，勒索攻擊是近年來最常見的針對IT基礎(chǔ)設(shè)施的攻擊形式，可造成潛在的數(shù)據(jù)丟失，或者讓企業(yè)面臨為尋回關(guān)鍵系統(tǒng)數(shù)據(jù)或防止數(shù)據(jù)泄露而支付贖金所造成的損失，甚至?xí)斐晒暨^程中與攻擊后的業(yè)務(wù)中斷、商譽(yù)損害。隨著網(wǎng)絡(luò)安全威脅從傳統(tǒng)IT系統(tǒng)延伸到工業(yè)生產(chǎn)系統(tǒng)，網(wǎng)絡(luò)安全事件也不再只停留于虛擬世界的“軟破壞”，而演變成了對現(xiàn)實(shí)世界的“硬摧毀”。工業(yè)企業(yè)具有復(fù)雜、多樣的特點(diǎn)，主要行業(yè)包括制造、電力、交通、石油石化等。為了找到工業(yè)領(lǐng)域勒索病毒的防護(hù)措施，需先理解工業(yè)系統(tǒng)與IT系統(tǒng)之間運(yùn)行的差異性，才能更清楚針對工業(yè)領(lǐng)域勒索攻擊[1]的特點(diǎn)，使安全防護(hù)措施更有針對性。

1 工業(yè)系統(tǒng)與IT系統(tǒng)之間運(yùn)行的差異性

1.1 差異性分析

工業(yè)安全與網(wǎng)絡(luò)安全之間有交集，同時(shí)也存在差異。工業(yè)安全更加關(guān)注由工藝過程所帶來的輸入和輸出的確定性，與失效性風(fēng)險(xiǎn)的避免，尤其是流程化工業(yè)，會采用功能安全的分析方法來進(jìn)行分析，使風(fēng)險(xiǎn)處于可控的狀態(tài)；而對于網(wǎng)絡(luò)安全的需求則首先著眼于邊界的安全防護(hù)，目前工業(yè)企業(yè)對網(wǎng)絡(luò)安全的需求也在向縱深發(fā)展。IT系統(tǒng)安全更聚焦于保密性、可靠性和完整性的要求，更多從外部人為的安全威脅所導(dǎo)致的影響來尋求安全防護(hù)措施。

不過，功能安全和網(wǎng)絡(luò)安全的分析方法，有很多相似之處，在計(jì)算方法上都采用故障分析方法。

1.2 工業(yè)系統(tǒng)在網(wǎng)絡(luò)安全設(shè)計(jì)方面存在不足

粗放的安全策略：目前工業(yè)系統(tǒng)的安全策略基本以直通的方式來配置，一旦問題出現(xiàn)，會對生產(chǎn)帶來多米諾牌式的影響。

缺乏有效的安全運(yùn)維手段：運(yùn)維過程中缺乏可以適配于工業(yè)應(yīng)用屬性的安全設(shè)備進(jìn)行安全運(yùn)維、網(wǎng)絡(luò)運(yùn)維和安全相關(guān)性的分析和處理。

應(yīng)急處置手段不足：缺乏有效的安全應(yīng)急處置流程和手段，導(dǎo)致問題出現(xiàn)后無法第一時(shí)間進(jìn)行有效處置。容易使問題影響擴(kuò)大。

缺乏有效的業(yè)務(wù)運(yùn)行安全管理：基于業(yè)務(wù)運(yùn)行屬性的安全管理依然缺乏，設(shè)備管理不等于業(yè)務(wù)運(yùn)行安全管理，需要關(guān)注業(yè)務(wù)運(yùn)行中的安全。

2 工業(yè)領(lǐng)域勒索病毒特點(diǎn)

2.1 工業(yè)領(lǐng)域勒索病毒攻擊特點(diǎn)

針對性：工業(yè)領(lǐng)域數(shù)據(jù)價(jià)值高，易成為攻擊對象。勒索病毒團(tuán)伙越來越多地將高價(jià)值大型政企機(jī)構(gòu)作為重點(diǎn)攻擊對象。為了追求利益最大化，多數(shù)情況下，攻擊者在攻陷企業(yè)一臺網(wǎng)絡(luò)資產(chǎn)后，會利用該資產(chǎn)持續(xù)滲透更多資產(chǎn)，從而迫使受害者在業(yè)務(wù)系統(tǒng)大面積癱瘓的情況下交付贖金，不付贖金就公開企業(yè)機(jī)密，或進(jìn)行進(jìn)一步勒索。

脆弱性：大多數(shù)工控系統(tǒng)在最初設(shè)計(jì)時(shí)并沒有考慮到互聯(lián)網(wǎng)環(huán)境，因此主要通過隔離實(shí)現(xiàn)其安全性管理。但隨著互聯(lián)網(wǎng)迅速發(fā)展及效率的提高，IT/OT一體化迅速發(fā)展，工控系統(tǒng)中越來越多設(shè)備與互聯(lián)網(wǎng)互連，開放性與日俱增，系統(tǒng)暴露、系統(tǒng)漏洞、遠(yuǎn)程維護(hù)成為導(dǎo)致勒索病毒入侵的主要因素。

攻擊路徑多樣化：除了運(yùn)營管理人員，可將設(shè)備帶入工控系統(tǒng)的還有軟硬件供應(yīng)商。勒索病毒可通過預(yù)先感染供應(yīng)商設(shè)備，在工控系統(tǒng)安裝新設(shè)備時(shí)將勒索病毒融入到工控系統(tǒng)中，再利用勒索蠕蟲病毒內(nèi)置漏洞在內(nèi)網(wǎng)中進(jìn)行橫向滲透，一旦發(fā)現(xiàn)存在漏洞，就對設(shè)備進(jìn)行感染，從而導(dǎo)致文件不可用，影響正常的業(yè)務(wù)過程。

2.2 工業(yè)領(lǐng)域勒索病毒攻擊途徑

（1）郵件附件傳播。勒索軟件通過偽裝成產(chǎn)品訂單詳情或圖紙等重要文檔類的釣魚郵件[2]，在附件中夾帶含有惡意代碼的腳本文件。一旦用戶打開郵件附件，便會執(zhí)行里面的腳本，釋放勒索軟件。這類病毒傳播方式的針對性較強(qiáng)，主要瞄準(zhǔn)具有一定價(jià)值的企業(yè)或者研究機(jī)構(gòu)文檔。通過對文檔的加密導(dǎo)致相關(guān)運(yùn)行環(huán)節(jié)中需要的文件無法導(dǎo)入或者加載，影響正常的工作秩序，迫使公司為了止損而不得不交付贖金。

（2）文件傳播。工業(yè)環(huán)境中一些文件需要借助于網(wǎng)絡(luò)進(jìn)行傳輸，大部分的文件生產(chǎn)在IT環(huán)境中完成，需要通過FTP（File Transfer Protocol 文件傳輸協(xié)議）、SMB（Server Message Block 是一個協(xié)議名，它能被用于Web連接和客戶端與服務(wù)器之間的信息溝通）等協(xié)議實(shí)現(xiàn)文件的傳輸。當(dāng)IT系統(tǒng)的文件被攻擊導(dǎo)致惡意代碼植入文件中，在工業(yè)生產(chǎn)系統(tǒng)獲取到該文件重新加載時(shí)會導(dǎo)致生產(chǎn)加工系統(tǒng)的HMI（Human Machine Interface人機(jī)界面）端或者DNC（Distributed Numerical Control 分布式數(shù)控）的系統(tǒng)感染，導(dǎo)致相關(guān)的工業(yè)操作、控制界面或者存儲的文件被鎖定，生產(chǎn)系統(tǒng)在需要這些文件資源時(shí)無法裝載。

（3）介質(zhì)傳播。工業(yè)系統(tǒng)中的數(shù)據(jù)導(dǎo)入和導(dǎo)出是目前工業(yè)系統(tǒng)常用的數(shù)據(jù)備份、利用和存儲的方式。在不同的介質(zhì)在不同系統(tǒng)中傳遞數(shù)據(jù)時(shí)，如果其中一個環(huán)節(jié)在數(shù)據(jù)傳輸或者存儲中被惡意代碼所感染，再傳遞到其他環(huán)節(jié)，尤其是傳遞到生產(chǎn)系統(tǒng)中，將會導(dǎo)致惡意代碼對于文件或者數(shù)據(jù)進(jìn)行加密，從而使數(shù)據(jù)或者文件失去可用性，導(dǎo)致勒索事件的發(fā)生。

（4）軟件供應(yīng)鏈攻擊傳播。軟件供應(yīng)鏈攻擊是指利用軟件供應(yīng)商[3]與最終用戶之間的信任關(guān)系，在合法軟件正常傳播和升級過程中，利用軟件供應(yīng)商的各種疏忽或漏洞，對合法軟件進(jìn)行劫持或篡改，從而繞過傳統(tǒng)安全產(chǎn)品檢查達(dá)到非法目的的攻擊類型。2017年爆發(fā)的Fireball、暗云III、異鬼II、XShellGhost、CCleaner等，2018年12月被曝光的國產(chǎn)“Cheat”后門事件，以及2020年12月發(fā)生的“Solar Winds”事件均屬于軟件供應(yīng)鏈攻擊。

3 工業(yè)領(lǐng)域勒索病毒防護(hù)舉措

3.1 工業(yè)應(yīng)急與IT應(yīng)急的差異性分析

3.2 工業(yè)勒索病毒應(yīng)急過程簡述

針對工業(yè)勒索病毒的應(yīng)急，需要涵蓋事前、事中和事后幾個步驟來展開相關(guān)工作。

（1）準(zhǔn)備階段。準(zhǔn)備階段主要包括在事件處理過程中可用工具和資源的示例，建立安全保障措施，制定安全事件應(yīng)急預(yù)案，進(jìn)行應(yīng)急演練，對系統(tǒng)進(jìn)行安裝和配置加固等內(nèi)容。

（2）檢測階段。系統(tǒng)維護(hù)人員使用檢測設(shè)備或技術(shù)進(jìn)行檢測，確定系統(tǒng)是否出現(xiàn)異常，在發(fā)現(xiàn)異常情況后，形成安全事件報(bào)告，并由安全技術(shù)人員介入進(jìn)行高級檢測來查找安全事件的真正原因，明確安全事件的特征影響范圍和標(biāo)識安全事件對受影響的系統(tǒng)所帶來的改變。

（3）事件告警?？赏ㄟ^防病毒服務(wù)器的病毒報(bào)告發(fā)現(xiàn)病毒名稱、種類以及確認(rèn)爆發(fā)規(guī)模和影響程度；在日常運(yùn)維工作或檢查中可用于檢測系統(tǒng)異常、網(wǎng)絡(luò)流量異常等情況；當(dāng)安全設(shè)備出現(xiàn)惡意樣本類型時(shí)可形成事件告警日志。

（4）事件分析。通過收集的勒索病毒信息和系統(tǒng)特征，根據(jù)經(jīng)驗(yàn)進(jìn)行判斷，是否受到病毒攻擊。如判斷系統(tǒng)未被病毒感染，則直接執(zhí)行事件報(bào)告和安全加固操作。

（5）事件確認(rèn)及報(bào)告。確認(rèn)受到勒索病毒攻擊后，監(jiān)控負(fù)責(zé)人應(yīng)對此次安全事件級別進(jìn)行研判，確定此次安全事件的類型、性質(zhì)、影響范圍、級別和原因，并上報(bào)至網(wǎng)絡(luò)安全負(fù)責(zé)人或系統(tǒng)運(yùn)維部門領(lǐng)導(dǎo)。對于非特別重大事件可直接啟動相應(yīng)的安全事件應(yīng)急處置方案，若屬于特別重大事件應(yīng)當(dāng)上報(bào)至應(yīng)急領(lǐng)導(dǎo)小組啟動相應(yīng)應(yīng)急預(yù)案。

（6）抑制階段。針對上一檢測階段發(fā)現(xiàn)的攻擊特征，采取有針對性的安全補(bǔ)救工作，以防止攻擊進(jìn)一步加深和擴(kuò)大。確認(rèn)服務(wù)器受到攻擊后，維護(hù)負(fù)責(zé)人應(yīng)備份重要文件，聯(lián)系網(wǎng)絡(luò)安全負(fù)責(zé)人，根據(jù)事件情況選擇抑制措施，確定工業(yè)現(xiàn)場目前的運(yùn)行狀況，如不涉及重要操作或者緊急停車可以進(jìn)入下面步驟：

對被感染服務(wù)器進(jìn)行隔離，必要時(shí)可采取物理斷網(wǎng)的操作；

優(yōu)先使用ACL網(wǎng)段訪問控制做網(wǎng)絡(luò)層的隔離處理；

若無法采取網(wǎng)絡(luò)隔離時(shí)可對服務(wù)器進(jìn)行物理斷網(wǎng)操作；

通過安全設(shè)備告警記錄，對攻擊IP填加黑名單進(jìn)行封鎖；

快速將被感染服務(wù)器鏡像，協(xié)助用戶備份數(shù)據(jù)，然后恢復(fù)至之前正常的備份，恢復(fù)服務(wù)；

與防病毒公司等合作伙伴聯(lián)系或采取其他方式，索取最新系統(tǒng)補(bǔ)丁及防毒殺毒工具，由外部應(yīng)急機(jī)構(gòu)提供電話、遠(yuǎn)程和現(xiàn)場技術(shù)支持，進(jìn)行全盤的病毒掃描查殺。

（7）根除階段。根除階段是在抑制的基礎(chǔ)上，對引起該類安全問題的最終技術(shù)原因進(jìn)行完全的杜絕，并對這類安全問題所造成的后果進(jìn)行彌補(bǔ)和消除。判斷指標(biāo)如下：

若存在相關(guān)服務(wù)漏洞可評估業(yè)務(wù)需求關(guān)閉存在漏洞的服務(wù)；

若存在相關(guān)系統(tǒng)漏洞可從官方獲取相關(guān)安全補(bǔ)丁進(jìn)行升級；

若由不安全的配置導(dǎo)致的漏洞可修改相關(guān)配置進(jìn)行防護(hù)；

若無法及時(shí)進(jìn)行修復(fù)工作可開啟相關(guān)安全設(shè)備動作為阻斷進(jìn)行安全防護(hù)，或其他臨時(shí)解決辦法。

（8）恢復(fù)階段。在根除階段能徹底恢復(fù)配置，清除系統(tǒng)上的惡意文件，并且能夠確定系統(tǒng)經(jīng)過根除并已經(jīng)完全將系統(tǒng)的所有變化根除的情況下，可以通過直接恢復(fù)業(yè)務(wù)系統(tǒng)的方式來恢復(fù)。這種恢復(fù)方式的優(yōu)點(diǎn)是時(shí)間短、系統(tǒng)恢復(fù)快、系統(tǒng)維護(hù)人員工作量小，對業(yè)務(wù)的影響較小。在根除階段不能徹底恢復(fù)配置和清除系統(tǒng)上的惡意文件或不能肯定系統(tǒng)是否經(jīng)過根除后已干凈時(shí)，則一定要徹底的重裝系統(tǒng)。系統(tǒng)重裝往往是系統(tǒng)最可靠的系統(tǒng)恢復(fù)手段。

（9）跟蹤階段。跟蹤階段主要內(nèi)容是對抑制或根除的效果進(jìn)行跟蹤和審計(jì)，確認(rèn)系統(tǒng)或終端沒有被再次入侵，還需對事件處理情況進(jìn)行總結(jié)，吸取經(jīng)驗(yàn)教訓(xùn)，對已有安全防護(hù)措施和安全事件應(yīng)急響應(yīng)預(yù)案進(jìn)行改進(jìn)。對抑制或根除的效果進(jìn)行跟蹤和審計(jì)，確認(rèn)系統(tǒng)或終端沒有被再次入侵。

（10）事件總結(jié)。應(yīng)急工作小組內(nèi)各負(fù)責(zé)人提供相關(guān)材料，然后由網(wǎng)絡(luò)安全負(fù)責(zé)人對事件的整個過程進(jìn)行完整的記錄和分析，形成信息安全事件應(yīng)急處置報(bào)告。應(yīng)急指揮小組針對各部門上報(bào)的應(yīng)急過程中采取的措施、效果及問題進(jìn)行分析，如有必要應(yīng)優(yōu)化、調(diào)整應(yīng)急預(yù)案。

4 工業(yè)領(lǐng)域勒索病毒防護(hù)政策及產(chǎn)業(yè)發(fā)展建議

攻擊和防御在信息安全領(lǐng)域一直是一個不變的話題。工業(yè)企業(yè)不僅面臨民間黑客攻擊，一些基礎(chǔ)設(shè)施也成為有組織犯罪的重點(diǎn)目標(biāo)[4]。勒索病毒攻擊已成為工業(yè)企業(yè)面臨的最大安全問題之一，勒索攻擊產(chǎn)業(yè)化、場景多樣化、平臺多元化的特征會給工業(yè)現(xiàn)場的運(yùn)行帶來更大的安全隱患。在工業(yè)場景中，勒索病毒慣用的攻擊向量主要是弱口令、被盜憑據(jù)、RDP服務(wù)、USB設(shè)備、釣魚郵件等。面對被勒索病毒攻擊的棘手問題，需要構(gòu)建起有效的安全防護(hù)措施來保障障企業(yè)數(shù)據(jù)安全，促進(jìn)企業(yè)良性發(fā)展。主要的防護(hù)建議如下：

（1）強(qiáng)化端點(diǎn)防護(hù)。利用工業(yè)軟件所具備的安全能力或者加入其他加固類的安全產(chǎn)品，對所有服務(wù)器、終端應(yīng)強(qiáng)行實(shí)施復(fù)雜口令策略，杜絕弱口令；安全白名單軟件對于異常啟動的進(jìn)程進(jìn)行有效管控；安裝經(jīng)過驗(yàn)證的補(bǔ)??；服務(wù)器開啟關(guān)鍵日志收集功能，為安全事件的追溯提供基礎(chǔ)。

（2）關(guān)閉不需要的端口和服務(wù)。嚴(yán)格進(jìn)行端口管理，根據(jù)業(yè)務(wù)需求通過白名單軟件對端口進(jìn)行動態(tài)跟蹤，對于端口中傳輸?shù)臄?shù)據(jù)進(jìn)行監(jiān)控，在非必要的情況下關(guān)閉一些高風(fēng)險(xiǎn)的端口（RDP 3389端口）隔離限制勒索病毒和其他惡意程序橫向擴(kuò)散。

（3）通過外部的運(yùn)維設(shè)備對系統(tǒng)進(jìn)行登錄權(quán)限的設(shè)定和控制。為了減少攻擊的可能性，需在所有技術(shù)解決方案中采用多因素身份驗(yàn)證（MFA）。

（4）全面強(qiáng)化資產(chǎn)細(xì)粒度訪問。重點(diǎn)關(guān)注工業(yè)主機(jī)資產(chǎn)，做好工業(yè)主機(jī)防護(hù)。增強(qiáng)資產(chǎn)可見性，細(xì)化資產(chǎn)訪問控制。員工、合作伙伴和客戶均以身份和訪問管理為中心。合理劃分安全域，采取必要的微隔離，落實(shí)好最小權(quán)限原則。

（5）深入掌控威脅態(tài)勢。持續(xù)加強(qiáng)威脅監(jiān)測和檢測能力，具備資產(chǎn)可見能力、威脅情報(bào)共享和態(tài)勢感知能力，具有識別OT資產(chǎn)中存在哪些安全漏洞以及準(zhǔn)確評價(jià)每個漏洞帶來的風(fēng)險(xiǎn)級別的能力，形成有效的威脅早發(fā)現(xiàn)、早隔離、早處置機(jī)制。

（6）制定業(yè)務(wù)連續(xù)性計(jì)劃。強(qiáng)化業(yè)務(wù)數(shù)據(jù)備份，對業(yè)務(wù)系統(tǒng)及數(shù)據(jù)進(jìn)行及時(shí)備份，并驗(yàn)證備份系統(tǒng)及備份數(shù)據(jù)的可用性。建立安全災(zāi)備預(yù)案。同時(shí)做好備份系統(tǒng)與主系統(tǒng)的安全隔離，避免主系統(tǒng)和備份系統(tǒng)同時(shí)被攻擊，影響業(yè)務(wù)連續(xù)性。

（7）加強(qiáng)安全意識培訓(xùn)和教育[5]。員工安全意識淡漠是一個嚴(yán)重的問題。必須經(jīng)常開展網(wǎng)絡(luò)安全培訓(xùn)，以確保員工規(guī)范使用U盤、移動硬盤等可執(zhí)行攻擊設(shè)備，發(fā)現(xiàn)并避免潛在的勒索攻擊網(wǎng)絡(luò)釣魚電子郵件。將該培訓(xùn)與網(wǎng)絡(luò)釣魚演練相結(jié)合來發(fā)現(xiàn)員工安全意識的薄弱點(diǎn)，并且為安全意識最薄弱的員工提供更多支持或安全保障以降低風(fēng)險(xiǎn)。

（8）建立低位、中位、高位能力“三位一體”的工業(yè)互聯(lián)網(wǎng)信息安全產(chǎn)品體系。面對嚴(yán)重的安全威脅，構(gòu)建防護(hù)監(jiān)測層、安全運(yùn)營層和態(tài)勢感知層分別實(shí)現(xiàn)不同安全功能。融合聯(lián)動發(fā)展的互聯(lián)網(wǎng)安全產(chǎn)品體系將成為未來發(fā)展的重要趨勢。

此外，無論是企業(yè)還是個人受害者，都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為，還可能對解密的過程帶來新的安全風(fēng)險(xiǎn)。

5 結(jié)語

隨著“中國制造2025”戰(zhàn)略的提出，傳統(tǒng)物理隔離工控網(wǎng)絡(luò)融合了IT網(wǎng)絡(luò)領(lǐng)域的操作系統(tǒng)、通信協(xié)議等技術(shù)，導(dǎo)致工控網(wǎng)絡(luò)面臨巨大的安全威脅。工業(yè)企業(yè)在安全防護(hù)上的脆弱使其成為網(wǎng)絡(luò)黑客的重點(diǎn)攻擊目標(biāo)。相關(guān)從業(yè)者需要認(rèn)識到工業(yè)領(lǐng)域的勒索病毒攻擊在自身特點(diǎn)與攻擊途徑上都與IT領(lǐng)域的有所不同，用戶需要有針對性的做好基礎(chǔ)防御工作，構(gòu)建和擴(kuò)張深度防御，從而保障工業(yè)企業(yè)的網(wǎng)絡(luò)安全。