在 360 企業(yè)安全去年處理的 100 多起大型的工業(yè)企業(yè)安全案例里，因為工業(yè)勒索導致生產(chǎn)受到影響甚至停產(chǎn)的大廠多達 30 多個，最慘的一個廠家停產(chǎn)了 21 天。

然而，這些勒索軟件都不是被人故意種過去的，純屬誤傷。

但這也許是一個壞消息。

“我有點擔心，大家知道后會有勒索軟件特別有目的地搞工業(yè)勒索，今年已經(jīng)有苗頭了?！?60企業(yè)安全集團副總裁左英男對雷鋒網(wǎng)宅客頻道（微信ID：letshome）說。

【左英男】

躺槍與巨額誤傷費

這是一家知名的汽車制造企業(yè)，業(yè)務涉及汽車制造、電池生產(chǎn)、電路配件等不同生產(chǎn)線。這家汽車制造商的慘案發(fā)生在 2017 年年底，由于慘案已經(jīng)發(fā)生，安全人員能做的就是一臺一臺恢復主機。

難點在于，這個工廠里有很多不同的工業(yè)軟件，還有十幾種不同的工業(yè)協(xié)議，以及各種工業(yè)操作系統(tǒng)。在這 17000 多臺工業(yè)主機中，Window 7 Server 操作系統(tǒng)占了 50% 以上，排第二位是 Windows XP。

微軟中國早在 2014 年 4 月 8 日宣布停止對 Windows XP 的支持。當然，對于付費的政企用戶，他們還是可以給予定期支持的。

不過，這對工業(yè)生產(chǎn)環(huán)境而言，并沒有什么用。

工業(yè)互聯(lián)生產(chǎn)環(huán)境，牽一發(fā)動全身，更新慢，有時甚至為了生產(chǎn)環(huán)境穩(wěn)定，并不會更新。協(xié)議、工業(yè)軟件、操作系統(tǒng)十分復雜，加上自身適配較難，在非停產(chǎn)實施的環(huán)境下，安全人員花了整整一年，才把這家汽車制造企業(yè)所有的工業(yè)主機加上了主機防護。

有意思的是，這事本來和這個汽車制造企業(yè)沒有半毛錢關(guān)系，誰能想到罪魁禍首是 2017 年 5 月 12 號爆發(fā)的永恒之藍勒索病毒的變種。

在人們的印象中，都快兩年了，這貨怎么還沒狗帶？很簡單，兩個原因：

第一，變種橫行；

第二，有些系統(tǒng)沒有及時打上補丁，尤其是老舊的工控主機。

遭殃的不僅是這家汽車制造商，去年 8 月，臺積電位于臺灣新竹科學園區(qū)的 12 英寸晶圓廠和營運總部，突然傳出電腦遭勒索病毒入侵且生產(chǎn)線全數(shù)停擺的消息。隨后位于臺中科學園區(qū)的晶圓廠、龍?zhí)斗鉁y廠，以及臺南科學園區(qū)的晶圓廠也中招，臺積電在臺灣北、中、南的三處重要生產(chǎn)基地均因病毒入侵而導致生產(chǎn)線停擺。

即使到了今年 1 月，國內(nèi)一家著名的芯片生產(chǎn)線依然中招，它踩的坑叫做 Wanna Miner，就是利用永恒之藍的漏洞挖礦。

一個工業(yè)主機本身計算資源量就有限，承擔著 24 小時不停機的工業(yè)控制運行，還要被耗費里面大量的資源挖礦，整個生產(chǎn)系統(tǒng)變得極其不穩(wěn)定，系統(tǒng)開始出問題了……但是，永恒之藍勒索病毒剛開始并非針對工業(yè)場景。也就是說，只是因為工業(yè)用的某些關(guān)鍵設(shè)備接入了互聯(lián)網(wǎng)，然后不知不覺被感染了。

因此，左英男將之稱為“誤傷”和“躺槍”：“工廠躺槍，這個問題就嚴重了，你家里有電腦，裝了一個挖礦軟件，不就占點資源，慢點無所謂，所以你覺得沒啥關(guān)系，但是工業(yè)現(xiàn)場的主機不行，我們曾見過最老的一臺工業(yè)主機，只有 250 兆內(nèi)存，硬盤 4 個G。在這么老舊的系統(tǒng)環(huán)境下，要是挖個礦，整個崩潰，因為控制邏輯沒有了，接著整個生產(chǎn)線停掉，這叫誤傷。”

這樣的“誤傷”給工廠造成了巨大的損失，可能會給攻擊者“發(fā)財致富”提供新思路——專門針對工業(yè)主機開展勒索攻擊，隨隨便便要個100萬贖金，不然工廠將因停產(chǎn)、關(guān)鍵數(shù)據(jù)加密等遭受更多的損失。

在一些新聞報道中，臺積電因停擺三天損失超過了 5 億美元。

冰冷工業(yè)“銅墻鐵壁”瓦解

對抗思路早就有了。

左英男認為，全員身份化這種2007年就提出的理念對于工業(yè)互聯(lián)網(wǎng)的安全架構(gòu)而言，可以解決新問題。

區(qū)別于傳統(tǒng)互聯(lián)網(wǎng)的邊界，工業(yè)互聯(lián)網(wǎng)的“銅墻鐵壁”已經(jīng)因為不再封閉而全面瓦解：因為信息的共享需求，除了自己的員工，外有外包商、合作伙伴；除了人，還有各種各樣的工業(yè)互聯(lián)網(wǎng)設(shè)備。多元的設(shè)備、平臺、業(yè)務讓原來傳統(tǒng)的數(shù)據(jù)中心變成了虛擬的數(shù)據(jù)中心，很多數(shù)據(jù)資產(chǎn)被放在了云上，工業(yè)企業(yè)不再有100% 的控制權(quán)。

2018 年，左英男所在的 360 企業(yè)安全對外提出了針對工業(yè)互聯(lián)網(wǎng)的零信任架構(gòu)，它的邏輯就是——我在沒有完全確認的情況下，我不應該相信內(nèi)部和外部任何設(shè)備甚至人，我要給他們建立一個身份標識。

這一思路脫胎于以前谷歌針對企業(yè)內(nèi)部提出的零信任架構(gòu)。

在工業(yè)場景下，現(xiàn)階段遇到的最明確的場景就是工業(yè)物聯(lián)網(wǎng)設(shè)備的接入。比如，以前電表不會有智能化網(wǎng)絡(luò)的概念，就是經(jīng)由電線連接，現(xiàn)在很多電表卻是由“一根網(wǎng)線”連接。這意味著，所有的電表將暴露在攻擊者的視野中，他們多了無數(shù)條可能切入的入口。

如何確保智能電表不是攻擊者偽裝攻擊的一臺計算機？

“你要做確認、驗證、持續(xù)的驗證，度量它的風險。因為電表可以訪問后端業(yè)務系統(tǒng)，采集、交互數(shù)據(jù)，是一個非常穩(wěn)定的模型，你發(fā)現(xiàn)有異常，突然出來一個WannaMiner這樣的協(xié)議，那肯定有問題，所以也是基于行為的方式發(fā)現(xiàn)現(xiàn)有問題，就及時對它做出動態(tài)的調(diào)整，這就是零信任架構(gòu)核心的理念?！弊笥⒛袑卒h網(wǎng)說。

查行為：堪比調(diào)查相親對象黑歷史

查出攻擊者經(jīng)歷了“三代”過程。

第一代技術(shù)屬于“查黑”。從 1986 年到 2000 年，病毒種類比較少，每年幾百個，傳播速度比較慢，只要病毒一出來，研究它的特征，提取后放在黑名單里，只要在黑名單里，肯定是壞人，這是查黑的技術(shù)。

從 2000 年到 2010 年，互聯(lián)網(wǎng)蓬勃發(fā)展，病毒也出現(xiàn)兩個特征，第一，傳播速度非常快，過去一個病毒可能在幾周，甚至幾個月里傳播量也不會太大。第二，在互聯(lián)網(wǎng)時代，病毒有自己的獲取經(jīng)濟利益的模式，病毒的樣本變異非?？?，每天面對的可能是百萬級的病毒樣本，再把病毒一個個搞出來查殺，顯然不可行。

黑名單變得龐大無比，變得不可運行，所以就出現(xiàn)了第二代白名單技術(shù)——不去管壞的，把可以信任的程序添加到名單，只要在名單，就允許運行，不在名單里，就徹底不讓它運行。

在工業(yè)場景下，白名單技術(shù)大有用武之地。在一臺工業(yè)主機上，運行的工業(yè)軟件非常有限，僅是工業(yè)軟件在控制傳感器運行，數(shù)量很有限，只要把設(shè)置白名單，其他任何程序進程都不允許運行，這樣就能有效避免病毒和惡意代碼攻擊。

2015 年，攻擊者進化了。他們開始利用可信的程序，甚至是 Windows 操作系統(tǒng)的進程執(zhí)行惡意操作，簡直就是“披著羊皮的狼”，繞過了白名單的控制機制。

于是，第三代惡意代碼防范技術(shù)來了。這代技術(shù)的核心堪比篩選相親對象——任何一個程序在終端上的所有行為都要被記錄且比對，它開展了哪些進程，打開了哪些文件，調(diào)用了什么函數(shù)，做了哪些操作，包括在網(wǎng)絡(luò)上的行為，連接了哪些網(wǎng)絡(luò)端口，使用什么協(xié)議，發(fā)送什么樣的數(shù)據(jù)。

雷鋒網(wǎng)了解到，因為其功能是相對確定的，行為也是相對確定的，通過數(shù)據(jù)采集與分析建模，能夠建立起軟件程序的行為極限。一旦發(fā)現(xiàn)異常行為，就要開始告警，并引入人工分析，有效地清理發(fā)生異常行為的程序，這就是查詢技術(shù)的源頭。

第三代查行為技術(shù)十分依賴大數(shù)據(jù)、數(shù)據(jù)建模和機器學習。左英男認為，優(yōu)秀的查行為技術(shù)要通過長期的數(shù)據(jù)采集與大量數(shù)據(jù)采集建模，不斷優(yōu)化模型，建模建得越準，異常操作就越能準確發(fā)現(xiàn)。另外，查行為技術(shù)還要配合長期運營和優(yōu)化。

左英男很有信心。他想，既然在非工業(yè)互聯(lián)的場景里，數(shù)據(jù)可以記錄人們長期用鼠標、摸手機的習慣，最后甚至可以實現(xiàn)不需要用戶輸入口令就能打開設(shè)備，那么在這些技術(shù)創(chuàng)新之下，冷冰冰的巨型工業(yè)設(shè)備，也許也能敞開溫暖的懷抱，知道你就是你。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。