雷鋒網(wǎng)編者按:這段時間,“永恒之藍”校園網(wǎng)絡(luò)勒索蠕蟲(WannaCry)事件席卷全球,大家從加油站、火車站、個人電腦、公司網(wǎng)絡(luò)等各處感受到了該蠕蟲病毒的威力。本文為綠盟科技投稿,展現(xiàn)了一則國內(nèi)大型企業(yè)用戶遭受攻擊的實例,為WannaCry勒索蠕蟲下的工控安全敲響了警鐘。
一、 現(xiàn)場紀實
2017年5月12日,20:31,綠盟科技某分支技術(shù)經(jīng)理接到某大型企業(yè)用戶一陣急促的電話,“快!救急!生產(chǎn)網(wǎng)疑似遭到網(wǎng)絡(luò)攻擊!!”。本地應(yīng)急小組火速就位該企業(yè)生產(chǎn)調(diào)度中心。
“Ooops,被勒索了”,隨之各生產(chǎn)場站電話陸續(xù)響起……
1. 應(yīng)急響應(yīng)
生產(chǎn)調(diào)度中心被攻擊主機主要表現(xiàn)為數(shù)百種文件被加密,生產(chǎn)網(wǎng)場站也出現(xiàn)上位機藍屏現(xiàn)象。結(jié)合12日外界已傳播的“永恒之藍”校園網(wǎng)絡(luò)勒索蠕蟲(WannaCry)事件現(xiàn)象,初步判定勒索蠕蟲,立即啟動應(yīng)急響應(yīng):
1) 將被攻擊主機進行斷網(wǎng)隔離,同時關(guān)閉核心交換生產(chǎn)網(wǎng)通訊鏈路,防止WannaCry跨域擴散;
2) 聯(lián)絡(luò)并指導各場站接口負責人立即就位,以減少場站工作人員恐慌;
3)同時,緊急聯(lián)系綠盟科技應(yīng)急響應(yīng)中心,協(xié)調(diào)安全專家協(xié)助遠程排查分析;
4)通過現(xiàn)場對被攻擊主機異常進程、端口、服務(wù)進行分析,很快發(fā)現(xiàn)是mssecsvc.exe進程在局域網(wǎng)中通過ARP廣播包進行主機探測,利用基于445端口的SMB漏洞(MS17-010)共享進行傳播;
5)對加密程序(@WanaDecryptor@.exe)樣本進行搜集,并發(fā)送至應(yīng)急響應(yīng)中心,啟動樣本分析;
6)重點對疑似被攻擊藍屏的場站上位機進行分析排查,同樣發(fā)現(xiàn)被攻擊痕跡,在斷網(wǎng)重啟后系統(tǒng)恢復(fù)正常,初步判斷是在被攻擊過程中導致系統(tǒng)藍屏,勒索未遂,幸免于難,否則將對場站核心生產(chǎn)業(yè)務(wù)產(chǎn)生較大影響。
2. 防護預(yù)案
1) 由于辦公網(wǎng)和生產(chǎn)網(wǎng)主機規(guī)模較多(約2400+終端),因此,首先將所有三層交換機及防火墻啟用ACL策略禁止135~138、445端口;
2)針對各場站重要業(yè)務(wù)系統(tǒng),屏蔽系統(tǒng)445服務(wù)端口后,進行微軟MS17-010安全補丁升級測試;
3)至13日上午9點,隨著事態(tài)逐漸平穩(wěn),綠盟科技應(yīng)急響應(yīng)中心完成樣本分析,第一份應(yīng)急預(yù)警通告啟動發(fā)布;
4)結(jié)合綠盟科技陸續(xù)發(fā)布的威脅預(yù)警、防護建議、分析報告及Windows防火墻一鍵加固工具,協(xié)助用戶制定有效的防護方案。
二、 工業(yè)控制系統(tǒng)安全的深思
1.安全認知
目前,縱觀國內(nèi)涉及關(guān)鍵信息基礎(chǔ)設(shè)施的大型生產(chǎn)企業(yè),對于生產(chǎn)網(wǎng)工業(yè)控制系統(tǒng)安全的認知是:生產(chǎn)網(wǎng)是封閉的隔離網(wǎng)絡(luò),即可高枕無憂!
但事實:大多數(shù)企業(yè)生產(chǎn)網(wǎng)與管理信息網(wǎng)的安全隔離并不是完全物理隔離,而生產(chǎn)網(wǎng)內(nèi)部各場站之間安全域劃分仍然不全面,且不同場站之間的安全防御機制也不完善,容易造成某一生產(chǎn)系統(tǒng)遭受到攻擊很快就會擴散到整個生產(chǎn)網(wǎng)內(nèi)部當中。
在親歷本次WannaCry由管理信息網(wǎng)絡(luò)傳播至生產(chǎn)網(wǎng)上位機的事件之后,我們不禁思考,它僅僅是一次信息安全的勒索病毒攻擊嗎? 顯然不是,細思極恐。
2. 傳播與載體
工業(yè)控制系統(tǒng)的安全,突破各路網(wǎng)絡(luò)連接是關(guān)鍵,事實為了滿足生產(chǎn)企業(yè)統(tǒng)一生產(chǎn)調(diào)度及監(jiān)視等業(yè)務(wù)需求,在部分行業(yè),依然存在關(guān)鍵工業(yè)控制設(shè)備與管理信息網(wǎng)絡(luò)互聯(lián)互通的現(xiàn)狀,給攻擊行為創(chuàng)造了必要的條件。
本次WannaCry就是利用了Windows 漏洞,與用戶打時間差,幾乎在一個小時內(nèi),滲透到全球的各個角落,讓理論上的路徑成為了可攻擊的實際路徑。
1) 如果本次“勒索病毒+蠕蟲”的傳播發(fā)生在在場站工業(yè)控制層,會有什么結(jié)果?
Ø 操作員站、工程師站、歷史站、Buffer機等上位機的組態(tài)配置、歷史數(shù)據(jù)庫、實時數(shù)據(jù)、過程數(shù)據(jù)等核心文件被加密,讀寫失敗;
Ø 生產(chǎn)業(yè)務(wù)數(shù)據(jù)加載失敗,組態(tài)邏輯失去控制,進而下位控制設(shè)備失去管控,很可能將導致安全生產(chǎn)事故,后果不堪設(shè)想;
Ø 本次應(yīng)急現(xiàn)場,2臺場站上位設(shè)備的藍屏,已然讓我們著實緊張了一番,所幸最終無礙。
2) 如果本次攻擊是基于工業(yè)控制系統(tǒng)專有蠕蟲病毒呢?
目前已經(jīng)存在基于工業(yè)控制系統(tǒng)的蠕蟲病毒,該類病毒通常不借助工業(yè)網(wǎng)絡(luò)中的上位機,僅通過工業(yè)控制器之間即可進行互相傳播。
Ø 蠕蟲病毒會利用工業(yè)控制設(shè)備自身協(xié)議脆弱性,實現(xiàn)遠程改變工業(yè)控制器的操控指令,進而導致工業(yè)設(shè)備運行失控事故;
Ø 結(jié)合各類下位機漏洞操作,精確制導安全事故;
Ø 結(jié)合下位機高級蠕蟲病毒,在控制器間蠕蟲傳播進而完成大面積控制設(shè)備事故;
Ø 結(jié)合流程工業(yè)盜取病毒,準備偷盜核心工藝流程等事故。
3)細思,如果這次攻擊是針對國家關(guān)鍵信息基礎(chǔ)設(shè)施?
本次事件,該蠕蟲已然成功滲透至各生產(chǎn)場站網(wǎng)絡(luò),并在內(nèi)網(wǎng)急速傳播,如果配合特定的工業(yè)控制系統(tǒng)脆弱性,實施的就是一次針對關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊事故,也許又是一次“震網(wǎng)事件”!
3. 深思
近幾年,針對涉及關(guān)鍵信息基礎(chǔ)設(shè)施的大型生產(chǎn)企業(yè),國家或行業(yè)對其生產(chǎn)網(wǎng)與管理信息網(wǎng)絡(luò)的安全隔離要求逐步加強,比如:
Ø 針對發(fā)電、電網(wǎng)企業(yè),2014年國家發(fā)改委發(fā)布了《電力監(jiān)控系統(tǒng)安全防護規(guī)定》,管理信息大區(qū)與生產(chǎn)控制大區(qū)之間必須安全隔離。生產(chǎn)控制大區(qū)內(nèi)部的安全區(qū)之間需采用具有訪問控制功能的防火墻或者相當功能的設(shè)施,實現(xiàn)邏輯隔離。
Ø 針對石油、石化企業(yè),分別在“十三五”規(guī)劃中明確了工業(yè)控制系統(tǒng)安全隔離的必要性。比如油田生產(chǎn)現(xiàn)場(井口、站庫、管線等)用于生產(chǎn)數(shù)據(jù)實時采集和遠程控制的網(wǎng)絡(luò),容易受到來自外部的搭線攻擊。有效的安全隔離是確保安全生產(chǎn)的根本。
Ø 針對煙草工業(yè)企業(yè),行業(yè)發(fā)布了《YC/T 494-2014 煙草工業(yè)企業(yè)生產(chǎn)網(wǎng)與管理網(wǎng)網(wǎng)絡(luò)互聯(lián)安全規(guī)范》的行業(yè)標準,煙草工業(yè)企業(yè)應(yīng)在規(guī)劃設(shè)計網(wǎng)絡(luò)時應(yīng)考慮生產(chǎn)網(wǎng)、管理網(wǎng)及其他網(wǎng)絡(luò)互聯(lián)的安全隔離要求。
但是,經(jīng)過本次工業(yè)生產(chǎn)網(wǎng)的應(yīng)急紀實,對整個事件應(yīng)急過程處理,從發(fā)布預(yù)警,樣本分析、攻擊路徑確認、各級策略防護,及終端修復(fù)加固等流程,依然深有感慨:
1)工業(yè)控制系統(tǒng)安全刻不容緩,生產(chǎn)安全及信息安全相輔相成;
2)絕對的生產(chǎn)網(wǎng)與管理信息網(wǎng)之間物理隔離安全其實并不存在;
3)嚴格控制管理信息網(wǎng)對生產(chǎn)控制系統(tǒng)的非授權(quán)訪問和濫用等違規(guī)操作等行為;
4)各場站全網(wǎng)資產(chǎn)梳理及網(wǎng)絡(luò)拓撲信息急需梳理,應(yīng)急時精確制導配合;
5)集合信息安全與生產(chǎn)安全檢查,定期進行安全掃描檢測,防患于未然;
6)針對生產(chǎn)網(wǎng)的安全審計,異常告警,數(shù)據(jù)管控,應(yīng)急過程及時阻斷及事后分析;
7)提升場站現(xiàn)場生產(chǎn)人員信息安全意識,增強相關(guān)知識培訓,增加應(yīng)急事件自理能力;
8)核心生產(chǎn)數(shù)據(jù)、系統(tǒng)及時備份,備份方式建議不局限一種備份機制。
三、 綠盟科技官方通告&報告
本次工業(yè)網(wǎng)絡(luò)應(yīng)急工作進程中,綠盟科技陸續(xù)對外發(fā)布了威脅預(yù)警、防護方案、一鍵加固工具及樣本分析報告,以方便更多的企業(yè)用戶參考。
1)《全球爆發(fā)的勒索軟件“Wannacry” 威脅預(yù)警及臨時解決方案》
2) 《勒索軟件“Wannacry”防護及臨時解決方案》
3) 《綠盟科技針對“Wannacry”勒索事件提供全面防護建議》(續(xù))
4)《Wannacry勒索病毒全球爆發(fā),TAC深度權(quán)威分析》
5) 《綠盟科技發(fā)布“Wannacry”一鍵加固腳本及整體解決方案》
6)《綠盟威脅情報中心公開“Wannacry”勒索病毒樣本分析報告》
7)《“WannaCry”勒索事件應(yīng)急處置手冊》
四、 中長期安全防護建議
1. 定期漏洞掃描
綠盟科技遠程安全評估系統(tǒng)(RSAS)已經(jīng)支持對MS17010漏洞的掃描,可以對對應(yīng)的windows主機進行漏洞掃描。對應(yīng)漏洞編號如下:
2.NIPS+威脅分析系統(tǒng)TAC聯(lián)動防護
3. 工業(yè)安全隔離裝置(ISID)
工業(yè)安全隔離裝置是專門為工業(yè)網(wǎng)絡(luò)應(yīng)用設(shè)計的安全隔離設(shè)備,實現(xiàn)了生產(chǎn)網(wǎng)絡(luò)與管理信息網(wǎng)絡(luò)之間有效隔離,同時根據(jù)應(yīng)用配置進行必要的數(shù)據(jù)擺渡。用于解決生產(chǎn)網(wǎng)絡(luò)如何安全接入信息網(wǎng)絡(luò)的問題以及控制網(wǎng)絡(luò)內(nèi)部不同安全區(qū)域之間安全防護的問題。
綠盟工業(yè)安全隔離裝置不但實現(xiàn)了對基于 TCP/IP 協(xié)議體系攻擊的徹底阻斷,而且也實現(xiàn)了對主流工業(yè)網(wǎng)絡(luò)協(xié)議的廣泛、深入支持和工業(yè)網(wǎng)絡(luò)數(shù)據(jù)的安全傳輸。典型應(yīng)用領(lǐng)域包括流程工業(yè) DCS 控制系統(tǒng)的網(wǎng)絡(luò)安全防護、電力系統(tǒng)現(xiàn)場 IED 設(shè)備的網(wǎng)絡(luò)安全防護、煤礦、制造等行業(yè)現(xiàn)場控制系統(tǒng)的網(wǎng)絡(luò)安全防護等。
4. 工業(yè)安全隔離裝置(ISG)
工業(yè)安全網(wǎng)關(guān)不但支持商用網(wǎng)關(guān)的基礎(chǔ)訪問控制功能,更重要的是它提供針對工業(yè)協(xié)議的數(shù)據(jù)級深度過濾,實現(xiàn)了對 Modbus、OPC 等主流工業(yè)協(xié)議和規(guī)約的細粒度檢查和過濾,幫助用戶阻斷來自網(wǎng)絡(luò)的病毒傳播、黑客攻擊等行為,避免其對控制網(wǎng)絡(luò)的影響和對生產(chǎn)流程的破壞。
該文由雷鋒網(wǎng)授權(quán)發(fā)布,雷鋒網(wǎng)、雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))、雷鋒網(wǎng),重要的事情說三遍。