工業領域勒索病毒安全防護的思考

仇澤宇，王曉鵬

（綠盟科技集團股份有限公司，北京 100089）

0 引言

勒索病毒是一種極具破壞性、傳播性的惡意軟件，勒索攻擊是近年來最常見的針對IT基礎設施的攻擊形式，可造成潛在的數據丟失，或者讓企業面臨為尋回關鍵系統數據或防止數據泄露而支付贖金所造成的損失，甚至會造成攻擊過程中與攻擊后的業務中斷、商譽損害。隨著網絡安全威脅從傳統IT系統延伸到工業生產系統，網絡安全事件也不再只停留于虛擬世界的“軟破壞”，而演變成了對現實世界的“硬摧毀”。工業企業具有復雜、多樣的特點，主要行業包括制造、電力、交通、石油石化等。為了找到工業領域勒索病毒的防護措施，需先理解工業系統與IT系統之間運行的差異性，才能更清楚針對工業領域勒索攻擊[1]的特點，使安全防護措施更有針對性。

1 工業系統與IT系統之間運行的差異性

1.1 差異性分析

工業安全與網絡安全之間有交集，同時也存在差異。工業安全更加關注由工藝過程所帶來的輸入和輸出的確定性，與失效性風險的避免，尤其是流程化工業，會采用功能安全的分析方法來進行分析，使風險處于可控的狀態；而對于網絡安全的需求則首先著眼于邊界的安全防護，目前工業企業對網絡安全的需求也在向縱深發展。IT系統安全更聚焦于保密性、可靠性和完整性的要求，更多從外部人為的安全威脅所導致的影響來尋求安全防護措施。

不過，功能安全和網絡安全的分析方法，有很多相似之處，在計算方法上都采用故障分析方法。

1.2 工業系統在網絡安全設計方面存在不足

粗放的安全策略：目前工業系統的安全策略基本以直通的方式來配置，一旦問題出現，會對生產帶來多米諾牌式的影響。

缺乏有效的安全運維手段：運維過程中缺乏可以適配于工業應用屬性的安全設備進行安全運維、網絡運維和安全相關性的分析和處理。

應急處置手段不足：缺乏有效的安全應急處置流程和手段，導致問題出現后無法第一時間進行有效處置。容易使問題影響擴大。

缺乏有效的業務運行安全管理：基于業務運行屬性的安全管理依然缺乏，設備管理不等于業務運行安全管理，需要關注業務運行中的安全。

2 工業領域勒索病毒特點

2.1 工業領域勒索病毒攻擊特點

針對性：工業領域數據價值高，易成為攻擊對象。勒索病毒團伙越來越多地將高價值大型政企機構作為重點攻擊對象。為了追求利益最大化，多數情況下，攻擊者在攻陷企業一臺網絡資產后，會利用該資產持續滲透更多資產，從而迫使受害者在業務系統大面積癱瘓的情況下交付贖金，不付贖金就公開企業機密，或進行進一步勒索。

脆弱性：大多數工控系統在最初設計時并沒有考慮到互聯網環境，因此主要通過隔離實現其安全性管理。但隨著互聯網迅速發展及效率的提高，IT/OT一體化迅速發展，工控系統中越來越多設備與互聯網互連，開放性與日俱增，系統暴露、系統漏洞、遠程維護成為導致勒索病毒入侵的主要因素。

攻擊路徑多樣化：除了運營管理人員，可將設備帶入工控系統的還有軟硬件供應商。勒索病毒可通過預先感染供應商設備，在工控系統安裝新設備時將勒索病毒融入到工控系統中，再利用勒索蠕蟲病毒內置漏洞在內網中進行橫向滲透，一旦發現存在漏洞，就對設備進行感染，從而導致文件不可用，影響正常的業務過程。

2.2 工業領域勒索病毒攻擊途徑

（1）郵件附件傳播。勒索軟件通過偽裝成產品訂單詳情或圖紙等重要文檔類的釣魚郵件[2]，在附件中夾帶含有惡意代碼的腳本文件。一旦用戶打開郵件附件，便會執行里面的腳本，釋放勒索軟件。這類病毒傳播方式的針對性較強，主要瞄準具有一定價值的企業或者研究機構文檔。通過對文檔的加密導致相關運行環節中需要的文件無法導入或者加載，影響正常的工作秩序，迫使公司為了止損而不得不交付贖金。

（2）文件傳播。工業環境中一些文件需要借助于網絡進行傳輸，大部分的文件生產在IT環境中完成，需要通過FTP（File Transfer Protocol 文件傳輸協議）、SMB（Server Message Block 是一個協議名，它能被用于Web連接和客戶端與服務器之間的信息溝通）等協議實現文件的傳輸。當IT系統的文件被攻擊導致惡意代碼植入文件中，在工業生產系統獲取到該文件重新加載時會導致生產加工系統的HMI（Human Machine Interface人機界面）端或者DNC（Distributed Numerical Control 分布式數控）的系統感染，導致相關的工業操作、控制界面或者存儲的文件被鎖定，生產系統在需要這些文件資源時無法裝載。

（3）介質傳播。工業系統中的數據導入和導出是目前工業系統常用的數據備份、利用和存儲的方式。在不同的介質在不同系統中傳遞數據時，如果其中一個環節在數據傳輸或者存儲中被惡意代碼所感染，再傳遞到其他環節，尤其是傳遞到生產系統中，將會導致惡意代碼對于文件或者數據進行加密，從而使數據或者文件失去可用性，導致勒索事件的發生。

（4）軟件供應鏈攻擊傳播。軟件供應鏈攻擊是指利用軟件供應商[3]與最終用戶之間的信任關系，在合法軟件正常傳播和升級過程中，利用軟件供應商的各種疏忽或漏洞，對合法軟件進行劫持或篡改，從而繞過傳統安全產品檢查達到非法目的的攻擊類型。2017年爆發的Fireball、暗云III、異鬼II、XShellGhost、CCleaner等，2018年12月被曝光的國產“Cheat”后門事件，以及2020年12月發生的“Solar Winds”事件均屬于軟件供應鏈攻擊。

3 工業領域勒索病毒防護舉措

3.1 工業應急與IT應急的差異性分析

3.2 工業勒索病毒應急過程簡述

針對工業勒索病毒的應急，需要涵蓋事前、事中和事后幾個步驟來展開相關工作。

（1）準備階段。準備階段主要包括在事件處理過程中可用工具和資源的示例，建立安全保障措施，制定安全事件應急預案，進行應急演練，對系統進行安裝和配置加固等內容。

（2）檢測階段。系統維護人員使用檢測設備或技術進行檢測，確定系統是否出現異常，在發現異常情況后，形成安全事件報告，并由安全技術人員介入進行高級檢測來查找安全事件的真正原因，明確安全事件的特征影響范圍和標識安全事件對受影響的系統所帶來的改變。

（3）事件告警。可通過防病毒服務器的病毒報告發現病毒名稱、種類以及確認爆發規模和影響程度；在日常運維工作或檢查中可用于檢測系統異常、網絡流量異常等情況；當安全設備出現惡意樣本類型時可形成事件告警日志。

（4）事件分析。通過收集的勒索病毒信息和系統特征，根據經驗進行判斷，是否受到病毒攻擊。如判斷系統未被病毒感染，則直接執行事件報告和安全加固操作。

（5）事件確認及報告。確認受到勒索病毒攻擊后，監控負責人應對此次安全事件級別進行研判，確定此次安全事件的類型、性質、影響范圍、級別和原因，并上報至網絡安全負責人或系統運維部門領導。對于非特別重大事件可直接啟動相應的安全事件應急處置方案，若屬于特別重大事件應當上報至應急領導小組啟動相應應急預案。

（6）抑制階段。針對上一檢測階段發現的攻擊特征，采取有針對性的安全補救工作，以防止攻擊進一步加深和擴大。確認服務器受到攻擊后，維護負責人應備份重要文件，聯系網絡安全負責人，根據事件情況選擇抑制措施，確定工業現場目前的運行狀況，如不涉及重要操作或者緊急停車可以進入下面步驟：

對被感染服務器進行隔離，必要時可采取物理斷網的操作；

優先使用ACL網段訪問控制做網絡層的隔離處理；

若無法采取網絡隔離時可對服務器進行物理斷網操作；

通過安全設備告警記錄，對攻擊IP填加黑名單進行封鎖；

快速將被感染服務器鏡像，協助用戶備份數據，然后恢復至之前正常的備份，恢復服務；

與防病毒公司等合作伙伴聯系或采取其他方式，索取最新系統補丁及防毒殺毒工具，由外部應急機構提供電話、遠程和現場技術支持，進行全盤的病毒掃描查殺。

（7）根除階段。根除階段是在抑制的基礎上，對引起該類安全問題的最終技術原因進行完全的杜絕，并對這類安全問題所造成的后果進行彌補和消除。判斷指標如下：

若存在相關服務漏洞可評估業務需求關閉存在漏洞的服務；

若存在相關系統漏洞可從官方獲取相關安全補丁進行升級；

若由不安全的配置導致的漏洞可修改相關配置進行防護；

若無法及時進行修復工作可開啟相關安全設備動作為阻斷進行安全防護，或其他臨時解決辦法。

（8）恢復階段。在根除階段能徹底恢復配置，清除系統上的惡意文件，并且能夠確定系統經過根除并已經完全將系統的所有變化根除的情況下，可以通過直接恢復業務系統的方式來恢復。這種恢復方式的優點是時間短、系統恢復快、系統維護人員工作量小，對業務的影響較小。在根除階段不能徹底恢復配置和清除系統上的惡意文件或不能肯定系統是否經過根除后已干凈時，則一定要徹底的重裝系統。系統重裝往往是系統最可靠的系統恢復手段。

（9）跟蹤階段。跟蹤階段主要內容是對抑制或根除的效果進行跟蹤和審計，確認系統或終端沒有被再次入侵，還需對事件處理情況進行總結，吸取經驗教訓，對已有安全防護措施和安全事件應急響應預案進行改進。對抑制或根除的效果進行跟蹤和審計，確認系統或終端沒有被再次入侵。

（10）事件總結。應急工作小組內各負責人提供相關材料，然后由網絡安全負責人對事件的整個過程進行完整的記錄和分析，形成信息安全事件應急處置報告。應急指揮小組針對各部門上報的應急過程中采取的措施、效果及問題進行分析，如有必要應優化、調整應急預案。

4 工業領域勒索病毒防護政策及產業發展建議

攻擊和防御在信息安全領域一直是一個不變的話題。工業企業不僅面臨民間黑客攻擊，一些基礎設施也成為有組織犯罪的重點目標[4]。勒索病毒攻擊已成為工業企業面臨的最大安全問題之一，勒索攻擊產業化、場景多樣化、平臺多元化的特征會給工業現場的運行帶來更大的安全隱患。在工業場景中，勒索病毒慣用的攻擊向量主要是弱口令、被盜憑據、RDP服務、USB設備、釣魚郵件等。面對被勒索病毒攻擊的棘手問題，需要構建起有效的安全防護措施來保障障企業數據安全，促進企業良性發展。主要的防護建議如下：

（1）強化端點防護。利用工業軟件所具備的安全能力或者加入其他加固類的安全產品，對所有服務器、終端應強行實施復雜口令策略，杜絕弱口令；安全白名單軟件對于異常啟動的進程進行有效管控；安裝經過驗證的補丁；服務器開啟關鍵日志收集功能，為安全事件的追溯提供基礎。

（2）關閉不需要的端口和服務。嚴格進行端口管理，根據業務需求通過白名單軟件對端口進行動態跟蹤，對于端口中傳輸的數據進行監控，在非必要的情況下關閉一些高風險的端口（RDP 3389端口）隔離限制勒索病毒和其他惡意程序橫向擴散。

（3）通過外部的運維設備對系統進行登錄權限的設定和控制。為了減少攻擊的可能性，需在所有技術解決方案中采用多因素身份驗證（MFA）。

（4）全面強化資產細粒度訪問。重點關注工業主機資產，做好工業主機防護。增強資產可見性，細化資產訪問控制。員工、合作伙伴和客戶均以身份和訪問管理為中心。合理劃分安全域，采取必要的微隔離，落實好最小權限原則。

（5）深入掌控威脅態勢。持續加強威脅監測和檢測能力，具備資產可見能力、威脅情報共享和態勢感知能力，具有識別OT資產中存在哪些安全漏洞以及準確評價每個漏洞帶來的風險級別的能力，形成有效的威脅早發現、早隔離、早處置機制。

（6）制定業務連續性計劃。強化業務數據備份，對業務系統及數據進行及時備份，并驗證備份系統及備份數據的可用性。建立安全災備預案。同時做好備份系統與主系統的安全隔離，避免主系統和備份系統同時被攻擊，影響業務連續性。

（7）加強安全意識培訓和教育[5]。員工安全意識淡漠是一個嚴重的問題。必須經常開展網絡安全培訓，以確保員工規范使用U盤、移動硬盤等可執行攻擊設備，發現并避免潛在的勒索攻擊網絡釣魚電子郵件。將該培訓與網絡釣魚演練相結合來發現員工安全意識的薄弱點，并且為安全意識最薄弱的員工提供更多支持或安全保障以降低風險。

（8）建立低位、中位、高位能力“三位一體”的工業互聯網信息安全產品體系。面對嚴重的安全威脅，構建防護監測層、安全運營層和態勢感知層分別實現不同安全功能。融合聯動發展的互聯網安全產品體系將成為未來發展的重要趨勢。

此外，無論是企業還是個人受害者，都不建議支付贖金。支付贖金不僅變相鼓勵了勒索攻擊行為，還可能對解密的過程帶來新的安全風險。

5 結語

隨著“中國制造2025”戰略的提出，傳統物理隔離工控網絡融合了IT網絡領域的操作系統、通信協議等技術，導致工控網絡面臨巨大的安全威脅。工業企業在安全防護上的脆弱使其成為網絡黑客的重點攻擊目標。相關從業者需要認識到工業領域的勒索病毒攻擊在自身特點與攻擊途徑上都與IT領域的有所不同，用戶需要有針對性的做好基礎防御工作，構建和擴張深度防御，從而保障工業企業的網絡安全。