雷鋒網(wǎng)編者按：這段時間，“永恒之藍(lán)”校園網(wǎng)絡(luò)勒索蠕蟲（WannaCry）事件席卷全球，大家從加油站、火車站、個人電腦、公司網(wǎng)絡(luò)等各處感受到了該蠕蟲病毒的威力。本文為綠盟科技投稿，展現(xiàn)了一則國內(nèi)大型企業(yè)用戶遭受攻擊的實(shí)例，為WannaCry勒索蠕蟲下的工控安全敲響了警鐘。

一、  現(xiàn)場紀(jì)實(shí)

2017年5月12日，20:31，綠盟科技某分支技術(shù)經(jīng)理接到某大型企業(yè)用戶一陣急促的電話，“快！救急！生產(chǎn)網(wǎng)疑似遭到網(wǎng)絡(luò)攻擊?。　?。本地應(yīng)急小組火速就位該企業(yè)生產(chǎn)調(diào)度中心。

“Ooops，被勒索了”，隨之各生產(chǎn)場站電話陸續(xù)響起……

1. 應(yīng)急響應(yīng)

生產(chǎn)調(diào)度中心被攻擊主機(jī)主要表現(xiàn)為數(shù)百種文件被加密，生產(chǎn)網(wǎng)場站也出現(xiàn)上位機(jī)藍(lán)屏現(xiàn)象。結(jié)合12日外界已傳播的“永恒之藍(lán)”校園網(wǎng)絡(luò)勒索蠕蟲（WannaCry）事件現(xiàn)象，初步判定勒索蠕蟲，立即啟動應(yīng)急響應(yīng)：

1) 將被攻擊主機(jī)進(jìn)行斷網(wǎng)隔離，同時關(guān)閉核心交換生產(chǎn)網(wǎng)通訊鏈路，防止WannaCry跨域擴(kuò)散；

2) 聯(lián)絡(luò)并指導(dǎo)各場站接口負(fù)責(zé)人立即就位，以減少場站工作人員恐慌；

3)同時，緊急聯(lián)系綠盟科技應(yīng)急響應(yīng)中心，協(xié)調(diào)安全專家協(xié)助遠(yuǎn)程排查分析；

4)通過現(xiàn)場對被攻擊主機(jī)異常進(jìn)程、端口、服務(wù)進(jìn)行分析，很快發(fā)現(xiàn)是mssecsvc.exe進(jìn)程在局域網(wǎng)中通過ARP廣播包進(jìn)行主機(jī)探測，利用基于445端口的SMB漏洞（MS17-010）共享進(jìn)行傳播；

5)對加密程序（@WanaDecryptor@.exe）樣本進(jìn)行搜集，并發(fā)送至應(yīng)急響應(yīng)中心，啟動樣本分析；

6)重點(diǎn)對疑似被攻擊藍(lán)屏的場站上位機(jī)進(jìn)行分析排查，同樣發(fā)現(xiàn)被攻擊痕跡，在斷網(wǎng)重啟后系統(tǒng)恢復(fù)正常，初步判斷是在被攻擊過程中導(dǎo)致系統(tǒng)藍(lán)屏，勒索未遂，幸免于難，否則將對場站核心生產(chǎn)業(yè)務(wù)產(chǎn)生較大影響。

2. 防護(hù)預(yù)案

1) 由于辦公網(wǎng)和生產(chǎn)網(wǎng)主機(jī)規(guī)模較多（約2400+終端），因此，首先將所有三層交換機(jī)及防火墻啟用ACL策略禁止135~138、445端口；

2)針對各場站重要業(yè)務(wù)系統(tǒng)，屏蔽系統(tǒng)445服務(wù)端口后，進(jìn)行微軟MS17-010安全補(bǔ)丁升級測試；

3)至13日上午9點(diǎn)，隨著事態(tài)逐漸平穩(wěn)，綠盟科技應(yīng)急響應(yīng)中心完成樣本分析，第一份應(yīng)急預(yù)警通告啟動發(fā)布；

4)結(jié)合綠盟科技陸續(xù)發(fā)布的威脅預(yù)警、防護(hù)建議、分析報告及Windows防火墻一鍵加固工具，協(xié)助用戶制定有效的防護(hù)方案。

二、  工業(yè)控制系統(tǒng)安全的深思

1.安全認(rèn)知

目前，縱觀國內(nèi)涉及關(guān)鍵信息基礎(chǔ)設(shè)施的大型生產(chǎn)企業(yè)，對于生產(chǎn)網(wǎng)工業(yè)控制系統(tǒng)安全的認(rèn)知是：生產(chǎn)網(wǎng)是封閉的隔離網(wǎng)絡(luò)，即可高枕無憂！

但事實(shí)：大多數(shù)企業(yè)生產(chǎn)網(wǎng)與管理信息網(wǎng)的安全隔離并不是完全物理隔離，而生產(chǎn)網(wǎng)內(nèi)部各場站之間安全域劃分仍然不全面，且不同場站之間的安全防御機(jī)制也不完善，容易造成某一生產(chǎn)系統(tǒng)遭受到攻擊很快就會擴(kuò)散到整個生產(chǎn)網(wǎng)內(nèi)部當(dāng)中。

在親歷本次WannaCry由管理信息網(wǎng)絡(luò)傳播至生產(chǎn)網(wǎng)上位機(jī)的事件之后，我們不禁思考，它僅僅是一次信息安全的勒索病毒攻擊嗎？ 顯然不是，細(xì)思極恐。

2. 傳播與載體

工業(yè)控制系統(tǒng)的安全，突破各路網(wǎng)絡(luò)連接是關(guān)鍵，事實(shí)為了滿足生產(chǎn)企業(yè)統(tǒng)一生產(chǎn)調(diào)度及監(jiān)視等業(yè)務(wù)需求，在部分行業(yè)，依然存在關(guān)鍵工業(yè)控制設(shè)備與管理信息網(wǎng)絡(luò)互聯(lián)互通的現(xiàn)狀，給攻擊行為創(chuàng)造了必要的條件。

本次WannaCry就是利用了Windows 漏洞，與用戶打時間差，幾乎在一個小時內(nèi)，滲透到全球的各個角落，讓理論上的路徑成為了可攻擊的實(shí)際路徑。

1) 如果本次“勒索病毒+蠕蟲”的傳播發(fā)生在在場站工業(yè)控制層，會有什么結(jié)果？

?  操作員站、工程師站、歷史站、Buffer機(jī)等上位機(jī)的組態(tài)配置、歷史數(shù)據(jù)庫、實(shí)時數(shù)據(jù)、過程數(shù)據(jù)等核心文件被加密，讀寫失??；

?  生產(chǎn)業(yè)務(wù)數(shù)據(jù)加載失敗，組態(tài)邏輯失去控制，進(jìn)而下位控制設(shè)備失去管控，很可能將導(dǎo)致安全生產(chǎn)事故，后果不堪設(shè)想；

?  本次應(yīng)急現(xiàn)場，2臺場站上位設(shè)備的藍(lán)屏，已然讓我們著實(shí)緊張了一番，所幸最終無礙。

2) 如果本次攻擊是基于工業(yè)控制系統(tǒng)專有蠕蟲病毒呢？

目前已經(jīng)存在基于工業(yè)控制系統(tǒng)的蠕蟲病毒，該類病毒通常不借助工業(yè)網(wǎng)絡(luò)中的上位機(jī)，僅通過工業(yè)控制器之間即可進(jìn)行互相傳播。

?  蠕蟲病毒會利用工業(yè)控制設(shè)備自身協(xié)議脆弱性，實(shí)現(xiàn)遠(yuǎn)程改變工業(yè)控制器的操控指令，進(jìn)而導(dǎo)致工業(yè)設(shè)備運(yùn)行失控事故；

?  結(jié)合各類下位機(jī)漏洞操作，精確制導(dǎo)安全事故；

?  結(jié)合下位機(jī)高級蠕蟲病毒，在控制器間蠕蟲傳播進(jìn)而完成大面積控制設(shè)備事故；

?  結(jié)合流程工業(yè)盜取病毒，準(zhǔn)備偷盜核心工藝流程等事故。

3)細(xì)思，如果這次攻擊是針對國家關(guān)鍵信息基礎(chǔ)設(shè)施？

本次事件，該蠕蟲已然成功滲透至各生產(chǎn)場站網(wǎng)絡(luò)，并在內(nèi)網(wǎng)急速傳播，如果配合特定的工業(yè)控制系統(tǒng)脆弱性，實(shí)施的就是一次針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊事故，也許又是一次“震網(wǎng)事件”！

3. 深思

近幾年，針對涉及關(guān)鍵信息基礎(chǔ)設(shè)施的大型生產(chǎn)企業(yè)，國家或行業(yè)對其生產(chǎn)網(wǎng)與管理信息網(wǎng)絡(luò)的安全隔離要求逐步加強(qiáng)，比如：

?  針對發(fā)電、電網(wǎng)企業(yè)，2014年國家發(fā)改委發(fā)布了《電力監(jiān)控系統(tǒng)安全防護(hù)規(guī)定》，管理信息大區(qū)與生產(chǎn)控制大區(qū)之間必須安全隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間需采用具有訪問控制功能的防火墻或者相當(dāng)功能的設(shè)施，實(shí)現(xiàn)邏輯隔離。

?  針對石油、石化企業(yè)，分別在“十三五”規(guī)劃中明確了工業(yè)控制系統(tǒng)安全隔離的必要性。比如油田生產(chǎn)現(xiàn)場（井口、站庫、管線等）用于生產(chǎn)數(shù)據(jù)實(shí)時采集和遠(yuǎn)程控制的網(wǎng)絡(luò)，容易受到來自外部的搭線攻擊。有效的安全隔離是確保安全生產(chǎn)的根本。

?  針對煙草工業(yè)企業(yè)，行業(yè)發(fā)布了《YC/T 494-2014 煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》的行業(yè)標(biāo)準(zhǔn)，煙草工業(yè)企業(yè)應(yīng)在規(guī)劃設(shè)計網(wǎng)絡(luò)時應(yīng)考慮生產(chǎn)網(wǎng)、管理網(wǎng)及其他網(wǎng)絡(luò)互聯(lián)的安全隔離要求。

但是，經(jīng)過本次工業(yè)生產(chǎn)網(wǎng)的應(yīng)急紀(jì)實(shí)，對整個事件應(yīng)急過程處理，從發(fā)布預(yù)警，樣本分析、攻擊路徑確認(rèn)、各級策略防護(hù)，及終端修復(fù)加固等流程，依然深有感慨：

1)工業(yè)控制系統(tǒng)安全刻不容緩，生產(chǎn)安全及信息安全相輔相成；

2)絕對的生產(chǎn)網(wǎng)與管理信息網(wǎng)之間物理隔離安全其實(shí)并不存在；

3)嚴(yán)格控制管理信息網(wǎng)對生產(chǎn)控制系統(tǒng)的非授權(quán)訪問和濫用等違規(guī)操作等行為；

4)各場站全網(wǎng)資產(chǎn)梳理及網(wǎng)絡(luò)拓?fù)湫畔⒓毙枋崂?，?yīng)急時精確制導(dǎo)配合；

5)集合信息安全與生產(chǎn)安全檢查，定期進(jìn)行安全掃描檢測，防患于未然；

6)針對生產(chǎn)網(wǎng)的安全審計，異常告警，數(shù)據(jù)管控，應(yīng)急過程及時阻斷及事后分析；

7)提升場站現(xiàn)場生產(chǎn)人員信息安全意識，增強(qiáng)相關(guān)知識培訓(xùn)，增加應(yīng)急事件自理能力；

8)核心生產(chǎn)數(shù)據(jù)、系統(tǒng)及時備份，備份方式建議不局限一種備份機(jī)制。

三、  綠盟科技官方通告&報告

本次工業(yè)網(wǎng)絡(luò)應(yīng)急工作進(jìn)程中，綠盟科技陸續(xù)對外發(fā)布了威脅預(yù)警、防護(hù)方案、一鍵加固工具及樣本分析報告，以方便更多的企業(yè)用戶參考。

1)《全球爆發(fā)的勒索軟件“Wannacry” 威脅預(yù)警及臨時解決方案》

2) 《勒索軟件“Wannacry”防護(hù)及臨時解決方案》

3) 《綠盟科技針對“Wannacry”勒索事件提供全面防護(hù)建議》（續(xù)）

4)《Wannacry勒索病毒全球爆發(fā)，TAC深度權(quán)威分析》

5) 《綠盟科技發(fā)布“Wannacry”一鍵加固腳本及整體解決方案》

6)《綠盟威脅情報中心公開“Wannacry”勒索病毒樣本分析報告》

7)《“WannaCry”勒索事件應(yīng)急處置手冊》

四、  中長期安全防護(hù)建議

1.  定期漏洞掃描

綠盟科技遠(yuǎn)程安全評估系統(tǒng)（RSAS）已經(jīng)支持對MS17010漏洞的掃描，可以對對應(yīng)的windows主機(jī)進(jìn)行漏洞掃描。對應(yīng)漏洞編號如下：

2.NIPS+威脅分析系統(tǒng)TAC聯(lián)動防護(hù)

3. 工業(yè)安全隔離裝置（ISID）

工業(yè)安全隔離裝置是專門為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計的安全隔離設(shè)備，實(shí)現(xiàn)了生產(chǎn)網(wǎng)絡(luò)與管理信息網(wǎng)絡(luò)之間有效隔離，同時根據(jù)應(yīng)用配置進(jìn)行必要的數(shù)據(jù)擺渡。用于解決生產(chǎn)網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)的問題以及控制網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間安全防護(hù)的問題。

綠盟工業(yè)安全隔離裝置不但實(shí)現(xiàn)了對基于 TCP/IP 協(xié)議體系攻擊的徹底阻斷，而且也實(shí)現(xiàn)了對主流工業(yè)網(wǎng)絡(luò)協(xié)議的廣泛、深入支持和工業(yè)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。典型應(yīng)用領(lǐng)域包括流程工業(yè) DCS 控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)、電力系統(tǒng)現(xiàn)場 IED 設(shè)備的網(wǎng)絡(luò)安全防護(hù)、煤礦、制造等行業(yè)現(xiàn)場控制系統(tǒng)的網(wǎng)絡(luò)安全防護(hù)等。

4. 工業(yè)安全隔離裝置（ISG）

工業(yè)安全網(wǎng)關(guān)不但支持商用網(wǎng)關(guān)的基礎(chǔ)訪問控制功能，更重要的是它提供針對工業(yè)協(xié)議的數(shù)據(jù)級深度過濾，實(shí)現(xiàn)了對 Modbus、OPC 等主流工業(yè)協(xié)議和規(guī)約的細(xì)粒度檢查和過濾，幫助用戶阻斷來自網(wǎng)絡(luò)的病毒傳播、黑客攻擊等行為，避免其對控制網(wǎng)絡(luò)的影響和對生產(chǎn)流程的破壞。

該文由雷鋒網(wǎng)授權(quán)發(fā)布，雷鋒網(wǎng)、雷鋒網(wǎng)、雷鋒網(wǎng)，重要的事情說三遍。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。