智能制造企业应对新型安全威胁“勒索软件”探讨

徐金伟++郝军雷++刘权峰++潘鲁

摘 要：2017年5月12日，随着名为“Wanna Cry”的勒索病毒大规模爆发，一种新型的具备自我传播特性的勒索软件及其变种，成为了全球互联网的新型安全威胁。伴随着“中国制造2025”发展战略的推进，制造企业“深度两化融合”工作的开展，智能制造企业也不可避免地面临恶意勒索软件的威胁。论文以智能制造企业如何应对恶意勒索软件的入侵和攻击展开初步探讨，以期对从事信息安全建设的单位和同行有所借鉴。

关键词：恶意勒索软件；智能制造企业；安全策略

1 引言

当前，新型恶意“勒索软件”【注1】带来的网络安全隐患，正在威胁着全球互联网的安全。2016年可谓是“勒索软件爆发年”，仅仅在前3个月，勒索软件的敲诈金额就高达数亿美元，其攻击的目标用户数量增加了6倍。为了逃避部署在网络边界的安全设备的检测、识别和阻截，勒索软件正在不断进行自我技术演进：主动探测、主动扫描、主动攻击和主动传播将是勒索软件下一阶段的发展目标。2017年5月12日起，随着名为“Wanna Cry”的勒索病毒大规模爆发，一种新型的具备自我传播特性的勒索软件及其变种，成为了全球互联网的新型安全威胁。随着该勒索软件大规模地入侵和攻击全球电脑网络，影响波及到近100個国家和地区，其中我国部分高校、部分政府机关和企事业单位的网络应用系统也受到了该勒索软件的攻击，尤其是公安行业的部分信息服务系统和能源企业的部分加油站点受到的影响更为严重。

这次爆发的恶意软件“Wanna Cry”，是一种呈现为蠕虫病毒模式的恶意勒索软件，通过利用编号为MS17-010的Windows操作系统漏洞，主动扫描和攻击，主动传播和感染Windows 10版本之外，其他未能及时安装补丁的Windows操作系统。在成功入侵计算机或服务器等主机后，“Wanna Cry”恶意勒索软件对计算机或服务器等主机上存储的文件进行加密操作，并弹出勒索页面索要赎金，并威胁如果在规定时间内不交出赎金，将毁掉被加密的文件和数据等重要资产信息。

“WannaCry”勒索软件的大规模传播，使网络信息安全再次面临严峻的挑战，已成为各行业信息系统和公众关注的焦点。虽然目前这次安全事件的影响暂告一段落，但是勒索软件的安全威胁并没有消失，它继续呈现出常态化的趋势并不断演变出新的变种，继“WannaCry”勒索软件之后，又有新的恶意勒索软件不断出现，与被称为 Petrwrap和GoldenEye等的Petya类勒索软件存在明显不同，部分安全专家将这个新的勒索软件变种命名为“Nyetya”。该变种利用 EternalBlue、EternalRomance等漏洞和新型网络攻击工具，利用WMI和PsExec等公共通信或共享业务端口，在被其成功入侵后的网络内部进行横向渗透和传播。与“WannaCry”不同，新型变种的“Nyetya”勒索软件，因没有包含外部扫描组件，更难以被发现、识别和阻截，进一步增加了其网络安全威胁程度。

面对新型的不断演变的网络信息安全威胁，尤其是恶意勒索软件所产生的严重影响和后果，我们敏感地意识到：必须加强对恶意勒索软件的机理研究，改进安全防护手段，以确保网络信息系统的安全稳定运行。我们组织专项课题组，通过近一年的时间对该新型恶意软件进行跟踪与分析发现，恶意勒索软件虽然目前是以互联网上的计算机终端和服务器等主机为主要攻击目标。但是，随着“中国制造2025”发展目标的实施，制造企业的智能化发展步伐的加快，企业内部的管理信息系统、工业物联网系统和工业制造控制系统之间实现纵向集成联通后，下一步将成为网络违法犯罪分子觊觎的重点目标，更会成为恶意勒索软件攻击和入侵的目标。为此，我们有必要未雨绸缪，深入研究和分析恶意勒索软件有可能对智能制造企业的攻击和入侵等产生的危害和影响，探讨智能制造企业应对恶意勒索软件的安全防护方案。

2 恶意勒索软件的入侵途径和技术特点

勒索软件是通过使用各种加密技术手段，来阻止用户访问被攻击的文件和数据，以实现最终控制目标资源为目的的一种恶意软件。早期的恶意勒索软件，通过使用各种加密技术来锁定计算机的访问权限或者拒绝访问文件和数据（例如修改 ACL 以及禁止访问系统工具、桌面等），而较新版本的勒索软件，目前主要使用强加密算法（例如 AES、RSA 等）来加密用户的文件和数据。勒索软件专门以用户的文件和数据为攻击目标，同时尽量会避免破坏攻击目标上的系统文件。原因是，一方面可以确保用户会收到相关通知：他们的文件遭受到了攻击；另一方面，用户也能在支付赎金后取回他们的文件。

在对文件和数据进行加密后，恶意勒索软件往往在自我删除后将会留下相应文档，该文档会指示受害者如何支付赎金，并重新获得对加密文件的访问权限。使用恶意勒索软件的攻击者，大多以勒索赎金为目标，但也有极少数带有政治背景或以恶意竞争为目的的攻击者，则可能以窃取、删除、破坏智能制造企业的重要文件和核心数据为主要目标，从而达到破坏智能制造企业的生产和正常运行的目的。对于这类以破坏企业生产和正常运营为目标的危害更大的恶意攻击行为，我们必须给于高度重视，并进一步强化安全防范的技术措施予以应对。

早期的恶意勒索软件，往往表现为木马病毒模式，采用传统的网络钓鱼方法进行入侵；如通过钓鱼邮件，恶意广告等手段，利用用户计算机上的操作系统漏洞完成入侵和攻击。而“Wanna Cry”恶意勒索软件的入侵和攻击，一改原来的被动钓鱼模式，改为探测扫描Windows操作系统的漏洞后，主动向目标主机推送漏洞攻击包，从而完成入侵和攻击行为，同时也从传统的木马模式变为主动传播扩散的蠕虫病毒模式，如果再借助目前多种新型的网络入侵和攻击手段，如高级可持续性攻击（APT）和高级逃避技术攻击（AET），将会造成更大范围内的恶性网络安全事件；面对各种网络攻击，智能制造企业将会首当其冲，优先成为其恶意入侵和攻击的目标，其危害后果必将严重影响智能制造企业的正常生产和运营。endprint

3 恶意勒索软件的防范技术措施

由于勒索软件可以通过多种方式完成渗透和攻击行为，所以减少勒索软件感染的风险需要基于安全产品组合的方案，而不是仅依靠某个安全产品或某项安全技术。为了防范勒索软件攻击，必须及时和快速地检测其是否已经侵入网络系统并进行控制以降低损害程度，对Web和邮件等勒索软件的重要传播路径实现高效防护和拦截，应对勒索软件采取的安全策略应是实现“一次发现，全面防护”。

在防范恶意勒索软件的时候，可首先考虑采取常规的预防措施来阻止攻击者的扫描和探测行为。例如：及时发现和修补系统中的漏洞，防止网络钓鱼行为，强化DMZ区域的安全防护等。安全防护措施主要包含五个方面。

（1）定期进行端口扫描，查看实际与互联网链接的业务系统和操作系统的情况。通过采取将公共地址映射到私有地址的技术措施，减少连接到公共互联网的业务系统和操作系统，缩小攻击者的攻击范围；定期使用漏洞扫描工具对其进行扫描，尽快修复扫描报告中的高危漏洞。

（2）定期执行补丁更新。在对网络进行常规的系统安全维护时，确保定期执行补丁维护，确保 DMZ 系统日志连接到日志采集器/SIEM，需要身份验证的公开系统/服务都应当使用强口令，减少弱口令的使用，还可以考虑实施双因子身份验证等技术措施。同时，需要进行身份验证的公开系统/服务都应具有限制功能，例如设置口令次数，超出阀值后将中断系统/服务，以阻止外部攻击者的暴力破解攻击行为，实现保护网络系统的目的。

（3）加强网络边界防护能力。在互联网出口检测并阻挡恶意勒索软件的扫描和入侵，借助下一代防火墙（NGFW）和下一代网络入侵防御（NGIPS）设备，采用威胁防御为核心的网络架构设计，确保在勒索攻击发生的整个过程能够提供有效的威胁保护。同时采用可实时监控、管理和感知网络内部安全事件的统一集中管理平台（SIEM），实现网络内部高危漏洞与资产表的清晰对应管理，根据安全预警迅速摸清网络内的漏洞分布情况及危险程度，及时进行漏洞的修补和处理，防患于未然。利用SIEM平台可实时发现和判断勒索软件的入侵和攻击情况，以便及时和快速地采取应对措施，阻断勒索软件的后续入侵和攻击，降低勒索软件可能造成的影响范围和损失程度。同时，在网络内部采用设置安全分区和强化隔离等技术手段，

（4）强化邮件安全防护手段切断传播途径。采取技术措施，防止恶意网络钓鱼行为，尤其是钓鱼邮件事件的发生。建议设置邮件安全网关，应具备识别和阻止发送和接收可执行文件（exe、dll、cpl、scr）或带有宏的JavaScript（.js文件）等Office 文档，并可以扫描和识别 .zip 文件的内容。加强对SPF记录进行检查/验证，以减少欺骗性电子邮件的发生，并及时升级邮件安全网关，更新网络钓鱼网站的域名信息。

（5）加强Web安全防护、拦截钓鱼网站访问。为了切断勒索软件利用Web方式进行传播，建议部署Web安全网关，集成URL地址过滤、网站信誉过滤和恶意软件过滤及数据泄露预防功能，对用户上网行为进行全面的监控和防护

（6）强化安全管理制度。严格管理U盘等移动存储介质的使用，切断恶意勒索软件感染系统的途径。要求员工坚决不使用来历不明的U盘等存储介质，在U盘等存储介质应用前，进行病毒扫描和查杀；如果确需在敏感的安全分区使用U盘等存储介质，可以考虑单独准备一批专用介质，并实行专人管理。

4 智能制造企业防范恶意勒索軟件攻击的安全策略

随着“中国制造2025”发展战略的推进，制造企业“深度两化融合”工作的开展，智能制造企业也不可避免地将会面临恶意勒索软件的威胁。本章将以智能制造企业如何应对恶意勒索软件的入侵和攻击进行初步探讨。

在企业向智能制造的演进过程中，智能制造企业的网络架构将分为三个层次：企业管理网络、工业物联网、工业控制系统和工业制造主机。企业的数据类型也分成商业大数据和工业大数据两大种类。在考虑智能制造企业如何应对恶意勒索软件的入侵和攻击时，既要考虑网络的总体安全防护，同时也要考虑企业网络中的不同层次类型，进行有针对性的防护。在考虑企业核心数据安全时，也要针对不同数据类型的特点，进行有针对性的防护。尤其是工业大数据具有实时性和不可替代性的特点，除了做好常规的数据备份和异地容灾工作外，更应该考虑做好存储工业大数据的设备之间的备份热切换和实时同步备份工作。

网络信息安全保护工作是“三分靠技术，七分靠管理”。首先，智能制造企业应按照国家有关《信息安全等级保护》的相应规范，建设和健全企业内部的相关网络和信息安全的各项管理制度。自行开发研制或引入网络信息安全管理软件平台，将写在纸面上的各项规章制度活化起来，做到事事有跟踪，件件有落实，定期统计落实工作的进展情况，与企业的奖惩管理制度结合起来，把网络和信息安全的各项管理制度，全面落实到实处。使恶意勒索软件在企业网络内部无处安身，更无法传播扩散。

在按照国家有关《信息安全等级保护》的相应规范，建设和强化企业网络边界防护的基础上，智能制造企业还应按照信息安全等级保护规范，考虑企业内部各业务系统或其功能模块的实时性质、使用者类比、主要功能归属、设备使用场所、各业务系统间的相互关系、广域网通信方式及对生产制造系统的影响程度等因素，依据企业系统业务流程划分网络内部的安全分区，并将业务系统或其功能模块置于相应的安全分区内。安全分区之间，应采用防火墙或安全交换机实现分区间安全隔离和访问控制，企业的核心安全区采用防火墙+IPS+主机加固软件等综合措施加强安全防护。以防范恶意勒索软件入侵后，在企业网络内部的传播和扩散，将影响限制在最小范围内。

智能制造企业应根据不同安全区域的安全防护要求，确定其安全等级和防护水平。其中，生产控制大区的安全等级高于管理信息大区，业务系统的安全定级按《信息系统安全等级保护定级工作指导意见》进行定级，具体等级标准见下表。（注：待国家四部委颁布新的工业制造企业《信息系统安全等级保护定级工作指导意见》后，请按照新的标准执行）。endprint

智能制造企业应依据国家颁布的有关《信息安全等级保护》的相应规范，以及即将颁布的新修订的《信息安全等级保护》规范，对企业内部网络的不同类别，有针对性的建设多层次的综合安全防护方案。对于涉及企业管理和运营的局域网，应采用强化的互联网和局域网综合安全防护方案；对于企业内部的工业物联网，应采用强化后的物联网安全综合防护方案；对于企业内部的生产制造系统，应采用工业控制逻辑校验方案，确保工业主机的生产运行安全。企业内部的商业大数据和工业大数据应采取分别管理和分别存储的安全防范措施。尤其是工业大数据具有实时性和不可替代性的特点，更应考虑数据的实时同步和存储设备之间的“热备”切换技术措施。

智能制造企业应建设基于大数据处理技术的、统一安全事件实时管理和感知平台（SIEM），实现网络安全工作的集中化、实时化管理，在SIEM平台上实现清晰相符的漏洞表与资产表的对应关系管理。通过SIEM平台，实现实时确定安全威胁来源、安全威胁类型，是否已入侵网络，入侵后攻击目标，攻击成功与否，影响后果预判等安全管理目标。同时通过SIEM平台，通过对安全大数据的分析和挖掘，实现对安全威胁的感知与预警，尤其是针对恶意勒索软件的前期大量扫描动作的判断，入侵攻击中可能利用的漏洞类型，通过与资产表的对应关系，及时提供安全预警，指导智能企业网络安全技术人员提前做好相应的防范工作，将恶意勒索软件拒之门外，确保企业网络安全稳定地运行。

制造企业的智能化，使企业的业务系统呈现开放化的趋势，在为企业发展带来新鲜活力的同时，也使得这些系统暴露在互联网的安全威胁之下。智能制造企业应考虑采用前置服务器与后台数据库隔离并实施访问控制的安全措施，既方便业务合作伙伴的工作，同时也要保护好企业的网络和数据安全。

随着移动办公的兴起，极大地方便了企业员工的工作，同时也为企业的网络安全，尤其是数据安全带来了新的隐患。智能制造企业应考虑，对移动办公中数据安全实施全程管理，建议采用VPN技术措施实现终端和传输通道加密，同时辅以安全加密通道内的安全防护（防火墙+IPS）。移动办公的服务器主机，需设置在企业网络内部，通过采取强化安全管理技术措施，确保企业网络和信息数据的安全。

5 结束语

在过去几年里，在全球范围内勒索软件的变种和恶意入侵行为已呈明显的上升态势，国内的网络违法犯罪分子，也在蠢蠢欲动，欲利用恶意勒索软件谋取不义之财，在“Wanna Cry”恶意勒索病毒爆发的过程中，出现了中文版本的勒索通知，就是最好的佐证。在“Wanna Cry”恶意勒索病毒爆发过程中，发现了其呈现了蠕虫病毒的诸多特征 - 快速传播、传送负载（勒索软件）和削弱系统的恢复能力，由此可见自我传播型的恶意勒索软件（或称其为“恶意加密软件”）肆虐的时代即将到来。据国内外安全专家预测，恶意勒索软件的未来发展趋势是，该恶意软件将变种为能够在整个信息网络里面，进行自我传播和半自主的渗透，对互联网用户，尤其是智能制造企业造成毁灭性的恶果。

通过对这次“Wanna Cry”惡意勒索病毒爆发的过程研究和分析，发现这次病毒爆发中受害最严重的医疗行业部门的内部网络，其垂直贯通情况类似于智能制造企业未来演进的模型。但是，大可不必因噎废食停止制造企业向智能制造企业的演进过程，只要认真做好全方位的安全防护，辅以有针对性地做好恶意勒索软件的安全防范工作，即使做不到高枕无忧，也可以将损失范围降到最低，以确保智能制造企业的安全稳定运营。

长期以来，国内制造企业的在网络安全方面投入了大量的资金和精力，在高安全威胁的情况下，保证了企业内部网络安全稳定的运行。在面对自我传播型的恶意勒索软件肆虐的时代即将到来的时刻，制造企业在向智能制造企业演进过程中，同时应做好网络安全规划，扩展和建设立体化、综合化的大纵深多层次安全防御体系，有效地面对愈加严重的网络信息安全威胁，保证智能制造企业安全稳定地运行。

【注1】：恶意勒索软件（Ransomware）的攻击主要以高强度密码学算法加密受害者电脑上的文件，并要求其支付赎金以换取文件解密为目的，因此该软件也被称为恶意加密软件或密锁敲诈类木马。除此之外，近年来在Android手机上也逐渐流行一种锁屏类敲诈木马，这类木马同样是通过锁定受害者手机屏幕，使受害者无法正常使用手机，借机进行敲诈。近年来，因感染敲诈类木马而被迫支付赎金的事时常发生，有些受害者损失高达数万美元。因此，敲诈木马已逐渐成为安全领域内的重点关注对象，据安全公司统计，敲诈木马在所有恶意软件中所占比例，从2015年的第三位上升到了2016年的首位，形势十分严峻。

参考文献

[1] 中国安天实验室.揭开勒索软件的真面目[M].2015年8月5日.

[2] Ransomware[J].Wikipedia，2016年7月.

[3] Intel Security（美国）.迈克菲实验室威胁报告[D].2016年12月13日.

[4] 360互联网安全中心.2016年中国互联网安全报告[D].2017年02月15日.

[5] 美国思科公司. Cisco 2016 Midyear Cybersecurity Report[D]. 2017年2月endprint