工业领域勒索病毒安全防护的思考

仇泽宇，王晓鹏

（绿盟科技集团股份有限公司，北京 100089）

0 引言

勒索病毒是一种极具破坏性、传播性的恶意软件，勒索攻击是近年来最常见的针对IT基础设施的攻击形式，可造成潜在的数据丢失，或者让企业面临为寻回关键系统数据或防止数据泄露而支付赎金所造成的损失，甚至会造成攻击过程中与攻击后的业务中断、商誉损害。随着网络安全威胁从传统IT系统延伸到工业生产系统，网络安全事件也不再只停留于虚拟世界的“软破坏”，而演变成了对现实世界的“硬摧毁”。工业企业具有复杂、多样的特点，主要行业包括制造、电力、交通、石油石化等。为了找到工业领域勒索病毒的防护措施，需先理解工业系统与IT系统之间运行的差异性，才能更清楚针对工业领域勒索攻击[1]的特点，使安全防护措施更有针对性。

1 工业系统与IT系统之间运行的差异性

1.1 差异性分析

工业安全与网络安全之间有交集，同时也存在差异。工业安全更加关注由工艺过程所带来的输入和输出的确定性，与失效性风险的避免，尤其是流程化工业，会采用功能安全的分析方法来进行分析，使风险处于可控的状态；而对于网络安全的需求则首先着眼于边界的安全防护，目前工业企业对网络安全的需求也在向纵深发展。IT系统安全更聚焦于保密性、可靠性和完整性的要求，更多从外部人为的安全威胁所导致的影响来寻求安全防护措施。

不过，功能安全和网络安全的分析方法，有很多相似之处，在计算方法上都采用故障分析方法。

1.2 工业系统在网络安全设计方面存在不足

粗放的安全策略：目前工业系统的安全策略基本以直通的方式来配置，一旦问题出现，会对生产带来多米诺牌式的影响。

缺乏有效的安全运维手段：运维过程中缺乏可以适配于工业应用属性的安全设备进行安全运维、网络运维和安全相关性的分析和处理。

应急处置手段不足：缺乏有效的安全应急处置流程和手段，导致问题出现后无法第一时间进行有效处置。容易使问题影响扩大。

缺乏有效的业务运行安全管理：基于业务运行属性的安全管理依然缺乏，设备管理不等于业务运行安全管理，需要关注业务运行中的安全。

2 工业领域勒索病毒特点

2.1 工业领域勒索病毒攻击特点

针对性：工业领域数据价值高，易成为攻击对象。勒索病毒团伙越来越多地将高价值大型政企机构作为重点攻击对象。为了追求利益最大化，多数情况下，攻击者在攻陷企业一台网络资产后，会利用该资产持续渗透更多资产，从而迫使受害者在业务系统大面积瘫痪的情况下交付赎金，不付赎金就公开企业机密，或进行进一步勒索。

脆弱性：大多数工控系统在最初设计时并没有考虑到互联网环境，因此主要通过隔离实现其安全性管理。但随着互联网迅速发展及效率的提高，IT/OT一体化迅速发展，工控系统中越来越多设备与互联网互连，开放性与日俱增，系统暴露、系统漏洞、远程维护成为导致勒索病毒入侵的主要因素。

攻击路径多样化：除了运营管理人员，可将设备带入工控系统的还有软硬件供应商。勒索病毒可通过预先感染供应商设备，在工控系统安装新设备时将勒索病毒融入到工控系统中，再利用勒索蠕虫病毒内置漏洞在内网中进行横向渗透，一旦发现存在漏洞，就对设备进行感染，从而导致文件不可用，影响正常的业务过程。

2.2 工业领域勒索病毒攻击途径

（1）邮件附件传播。勒索软件通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件[2]，在附件中夹带含有恶意代码的脚本文件。一旦用户打开邮件附件，便会执行里面的脚本，释放勒索软件。这类病毒传播方式的针对性较强，主要瞄准具有一定价值的企业或者研究机构文档。通过对文档的加密导致相关运行环节中需要的文件无法导入或者加载，影响正常的工作秩序，迫使公司为了止损而不得不交付赎金。

（2）文件传播。工业环境中一些文件需要借助于网络进行传输，大部分的文件生产在IT环境中完成，需要通过FTP（File Transfer Protocol 文件传输协议）、SMB（Server Message Block 是一个协议名，它能被用于Web连接和客户端与服务器之间的信息沟通）等协议实现文件的传输。当IT系统的文件被攻击导致恶意代码植入文件中，在工业生产系统获取到该文件重新加载时会导致生产加工系统的HMI（Human Machine Interface人机界面）端或者DNC（Distributed Numerical Control 分布式数控）的系统感染，导致相关的工业操作、控制界面或者存储的文件被锁定，生产系统在需要这些文件资源时无法装载。

（3）介质传播。工业系统中的数据导入和导出是目前工业系统常用的数据备份、利用和存储的方式。在不同的介质在不同系统中传递数据时，如果其中一个环节在数据传输或者存储中被恶意代码所感染，再传递到其他环节，尤其是传递到生产系统中，将会导致恶意代码对于文件或者数据进行加密，从而使数据或者文件失去可用性，导致勒索事件的发生。

（4）软件供应链攻击传播。软件供应链攻击是指利用软件供应商[3]与最终用户之间的信任关系，在合法软件正常传播和升级过程中，利用软件供应商的各种疏忽或漏洞，对合法软件进行劫持或篡改，从而绕过传统安全产品检查达到非法目的的攻击类型。2017年爆发的Fireball、暗云III、异鬼II、XShellGhost、CCleaner等，2018年12月被曝光的国产“Cheat”后门事件，以及2020年12月发生的“Solar Winds”事件均属于软件供应链攻击。

3 工业领域勒索病毒防护举措

3.1 工业应急与IT应急的差异性分析

3.2 工业勒索病毒应急过程简述

针对工业勒索病毒的应急，需要涵盖事前、事中和事后几个步骤来展开相关工作。

（1）准备阶段。准备阶段主要包括在事件处理过程中可用工具和资源的示例，建立安全保障措施，制定安全事件应急预案，进行应急演练，对系统进行安装和配置加固等内容。

（2）检测阶段。系统维护人员使用检测设备或技术进行检测，确定系统是否出现异常，在发现异常情况后，形成安全事件报告，并由安全技术人员介入进行高级检测来查找安全事件的真正原因，明确安全事件的特征影响范围和标识安全事件对受影响的系统所带来的改变。

（3）事件告警。可通过防病毒服务器的病毒报告发现病毒名称、种类以及确认爆发规模和影响程度；在日常运维工作或检查中可用于检测系统异常、网络流量异常等情况；当安全设备出现恶意样本类型时可形成事件告警日志。

（4）事件分析。通过收集的勒索病毒信息和系统特征，根据经验进行判断，是否受到病毒攻击。如判断系统未被病毒感染，则直接执行事件报告和安全加固操作。

（5）事件确认及报告。确认受到勒索病毒攻击后，监控负责人应对此次安全事件级别进行研判，确定此次安全事件的类型、性质、影响范围、级别和原因，并上报至网络安全负责人或系统运维部门领导。对于非特别重大事件可直接启动相应的安全事件应急处置方案，若属于特别重大事件应当上报至应急领导小组启动相应应急预案。

（6）抑制阶段。针对上一检测阶段发现的攻击特征，采取有针对性的安全补救工作，以防止攻击进一步加深和扩大。确认服务器受到攻击后，维护负责人应备份重要文件，联系网络安全负责人，根据事件情况选择抑制措施，确定工业现场目前的运行状况，如不涉及重要操作或者紧急停车可以进入下面步骤：

对被感染服务器进行隔离，必要时可采取物理断网的操作；

优先使用ACL网段访问控制做网络层的隔离处理；

若无法采取网络隔离时可对服务器进行物理断网操作；

通过安全设备告警记录，对攻击IP填加黑名单进行封锁；

快速将被感染服务器镜像，协助用户备份数据，然后恢复至之前正常的备份，恢复服务；

与防病毒公司等合作伙伴联系或采取其他方式，索取最新系统补丁及防毒杀毒工具，由外部应急机构提供电话、远程和现场技术支持，进行全盘的病毒扫描查杀。

（7）根除阶段。根除阶段是在抑制的基础上，对引起该类安全问题的最终技术原因进行完全的杜绝，并对这类安全问题所造成的后果进行弥补和消除。判断指标如下：

若存在相关服务漏洞可评估业务需求关闭存在漏洞的服务；

若存在相关系统漏洞可从官方获取相关安全补丁进行升级；

若由不安全的配置导致的漏洞可修改相关配置进行防护；

若无法及时进行修复工作可开启相关安全设备动作为阻断进行安全防护，或其他临时解决办法。

（8）恢复阶段。在根除阶段能彻底恢复配置，清除系统上的恶意文件，并且能够确定系统经过根除并已经完全将系统的所有变化根除的情况下，可以通过直接恢复业务系统的方式来恢复。这种恢复方式的优点是时间短、系统恢复快、系统维护人员工作量小，对业务的影响较小。在根除阶段不能彻底恢复配置和清除系统上的恶意文件或不能肯定系统是否经过根除后已干净时，则一定要彻底的重装系统。系统重装往往是系统最可靠的系统恢复手段。

（9）跟踪阶段。跟踪阶段主要内容是对抑制或根除的效果进行跟踪和审计，确认系统或终端没有被再次入侵，还需对事件处理情况进行总结，吸取经验教训，对已有安全防护措施和安全事件应急响应预案进行改进。对抑制或根除的效果进行跟踪和审计，确认系统或终端没有被再次入侵。

（10）事件总结。应急工作小组内各负责人提供相关材料，然后由网络安全负责人对事件的整个过程进行完整的记录和分析，形成信息安全事件应急处置报告。应急指挥小组针对各部门上报的应急过程中采取的措施、效果及问题进行分析，如有必要应优化、调整应急预案。

4 工业领域勒索病毒防护政策及产业发展建议

攻击和防御在信息安全领域一直是一个不变的话题。工业企业不仅面临民间黑客攻击，一些基础设施也成为有组织犯罪的重点目标[4]。勒索病毒攻击已成为工业企业面临的最大安全问题之一，勒索攻击产业化、场景多样化、平台多元化的特征会给工业现场的运行带来更大的安全隐患。在工业场景中，勒索病毒惯用的攻击向量主要是弱口令、被盗凭据、RDP服务、USB设备、钓鱼邮件等。面对被勒索病毒攻击的棘手问题，需要构建起有效的安全防护措施来保障障企业数据安全，促进企业良性发展。主要的防护建议如下：

（1）强化端点防护。利用工业软件所具备的安全能力或者加入其他加固类的安全产品，对所有服务器、终端应强行实施复杂口令策略，杜绝弱口令；安全白名单软件对于异常启动的进程进行有效管控；安装经过验证的补丁；服务器开启关键日志收集功能，为安全事件的追溯提供基础。

（2）关闭不需要的端口和服务。严格进行端口管理，根据业务需求通过白名单软件对端口进行动态跟踪，对于端口中传输的数据进行监控，在非必要的情况下关闭一些高风险的端口（RDP 3389端口）隔离限制勒索病毒和其他恶意程序横向扩散。

（3）通过外部的运维设备对系统进行登录权限的设定和控制。为了减少攻击的可能性，需在所有技术解决方案中采用多因素身份验证（MFA）。

（4）全面强化资产细粒度访问。重点关注工业主机资产，做好工业主机防护。增强资产可见性，细化资产访问控制。员工、合作伙伴和客户均以身份和访问管理为中心。合理划分安全域，采取必要的微隔离，落实好最小权限原则。

（5）深入掌控威胁态势。持续加强威胁监测和检测能力，具备资产可见能力、威胁情报共享和态势感知能力，具有识别OT资产中存在哪些安全漏洞以及准确评价每个漏洞带来的风险级别的能力，形成有效的威胁早发现、早隔离、早处置机制。

（6）制定业务连续性计划。强化业务数据备份，对业务系统及数据进行及时备份，并验证备份系统及备份数据的可用性。建立安全灾备预案。同时做好备份系统与主系统的安全隔离，避免主系统和备份系统同时被攻击，影响业务连续性。

（7）加强安全意识培训和教育[5]。员工安全意识淡漠是一个严重的问题。必须经常开展网络安全培训，以确保员工规范使用U盘、移动硬盘等可执行攻击设备，发现并避免潜在的勒索攻击网络钓鱼电子邮件。将该培训与网络钓鱼演练相结合来发现员工安全意识的薄弱点，并且为安全意识最薄弱的员工提供更多支持或安全保障以降低风险。

（8）建立低位、中位、高位能力“三位一体”的工业互联网信息安全产品体系。面对严重的安全威胁，构建防护监测层、安全运营层和态势感知层分别实现不同安全功能。融合联动发展的互联网安全产品体系将成为未来发展的重要趋势。

此外，无论是企业还是个人受害者，都不建议支付赎金。支付赎金不仅变相鼓励了勒索攻击行为，还可能对解密的过程带来新的安全风险。

5 结语

随着“中国制造2025”战略的提出，传统物理隔离工控网络融合了IT网络领域的操作系统、通信协议等技术，导致工控网络面临巨大的安全威胁。工业企业在安全防护上的脆弱使其成为网络黑客的重点攻击目标。相关从业者需要认识到工业领域的勒索病毒攻击在自身特点与攻击途径上都与IT领域的有所不同，用户需要有针对性的做好基础防御工作，构建和扩张深度防御，从而保障工业企业的网络安全。