0
| 本文作者: 李勤 | 2019-03-06 17:34 |
在 360 企業安全去年處理的 100 多起大型的工業企業安全案例里,因為工業勒索導致生產受到影響甚至停產的大廠多達 30 多個,最慘的一個廠家停產了 21 天。
然而,這些勒索軟件都不是被人故意種過去的,純屬誤傷。
但這也許是一個壞消息。
“我有點擔心,大家知道后會有勒索軟件特別有目的地搞工業勒索,今年已經有苗頭了。”360企業安全集團副總裁左英男對雷鋒網宅客頻道(微信ID:letshome)說。
【左英男】
這是一家知名的汽車制造企業,業務涉及汽車制造、電池生產、電路配件等不同生產線。這家汽車制造商的慘案發生在 2017 年年底,由于慘案已經發生,安全人員能做的就是一臺一臺恢復主機。
難點在于,這個工廠里有很多不同的工業軟件,還有十幾種不同的工業協議,以及各種工業操作系統。在這 17000 多臺工業主機中,Window 7 Server 操作系統占了 50% 以上,排第二位是 Windows XP。
微軟中國早在 2014 年 4 月 8 日宣布停止對 Windows XP 的支持。當然,對于付費的政企用戶,他們還是可以給予定期支持的。
不過,這對工業生產環境而言,并沒有什么用。
工業互聯生產環境,牽一發動全身,更新慢,有時甚至為了生產環境穩定,并不會更新。協議、工業軟件、操作系統十分復雜,加上自身適配較難,在非停產實施的環境下,安全人員花了整整一年,才把這家汽車制造企業所有的工業主機加上了主機防護。
有意思的是,這事本來和這個汽車制造企業沒有半毛錢關系,誰能想到罪魁禍首是 2017 年 5 月 12 號爆發的永恒之藍勒索病毒的變種。
在人們的印象中,都快兩年了,這貨怎么還沒狗帶?很簡單,兩個原因:
第一,變種橫行;
第二,有些系統沒有及時打上補丁,尤其是老舊的工控主機。
遭殃的不僅是這家汽車制造商,去年 8 月,臺積電位于臺灣新竹科學園區的 12 英寸晶圓廠和營運總部,突然傳出電腦遭勒索病毒入侵且生產線全數停擺的消息。隨后位于臺中科學園區的晶圓廠、龍潭封測廠,以及臺南科學園區的晶圓廠也中招,臺積電在臺灣北、中、南的三處重要生產基地均因病毒入侵而導致生產線停擺。
即使到了今年 1 月,國內一家著名的芯片生產線依然中招,它踩的坑叫做 Wanna Miner,就是利用永恒之藍的漏洞挖礦。
一個工業主機本身計算資源量就有限,承擔著 24 小時不停機的工業控制運行,還要被耗費里面大量的資源挖礦,整個生產系統變得極其不穩定,系統開始出問題了……但是,永恒之藍勒索病毒剛開始并非針對工業場景。也就是說,只是因為工業用的某些關鍵設備接入了互聯網,然后不知不覺被感染了。
因此,左英男將之稱為“誤傷”和“躺槍”:“工廠躺槍,這個問題就嚴重了,你家里有電腦,裝了一個挖礦軟件,不就占點資源,慢點無所謂,所以你覺得沒啥關系,但是工業現場的主機不行,我們曾見過最老的一臺工業主機,只有 250 兆內存,硬盤 4 個G。在這么老舊的系統環境下,要是挖個礦,整個崩潰,因為控制邏輯沒有了,接著整個生產線停掉,這叫誤傷。”
這樣的“誤傷”給工廠造成了巨大的損失,可能會給攻擊者“發財致富”提供新思路——專門針對工業主機開展勒索攻擊,隨隨便便要個100萬贖金,不然工廠將因停產、關鍵數據加密等遭受更多的損失。
在一些新聞報道中,臺積電因停擺三天損失超過了 5 億美元。
對抗思路早就有了。
左英男認為,全員身份化這種2007年就提出的理念對于工業互聯網的安全架構而言,可以解決新問題。
區別于傳統互聯網的邊界,工業互聯網的“銅墻鐵壁”已經因為不再封閉而全面瓦解:因為信息的共享需求,除了自己的員工,外有外包商、合作伙伴;除了人,還有各種各樣的工業互聯網設備。多元的設備、平臺、業務讓原來傳統的數據中心變成了虛擬的數據中心,很多數據資產被放在了云上,工業企業不再有100% 的控制權。
2018 年,左英男所在的 360 企業安全對外提出了針對工業互聯網的零信任架構,它的邏輯就是——我在沒有完全確認的情況下,我不應該相信內部和外部任何設備甚至人,我要給他們建立一個身份標識。
這一思路脫胎于以前谷歌針對企業內部提出的零信任架構。
在工業場景下,現階段遇到的最明確的場景就是工業物聯網設備的接入。比如,以前電表不會有智能化網絡的概念,就是經由電線連接,現在很多電表卻是由“一根網線”連接。這意味著,所有的電表將暴露在攻擊者的視野中,他們多了無數條可能切入的入口。
如何確保智能電表不是攻擊者偽裝攻擊的一臺計算機?
“你要做確認、驗證、持續的驗證,度量它的風險。因為電表可以訪問后端業務系統,采集、交互數據,是一個非常穩定的模型,你發現有異常,突然出來一個WannaMiner這樣的協議,那肯定有問題,所以也是基于行為的方式發現現有問題,就及時對它做出動態的調整,這就是零信任架構核心的理念。”左英男對雷鋒網說。
查出攻擊者經歷了“三代”過程。
第一代技術屬于“查黑”。從 1986 年到 2000 年,病毒種類比較少,每年幾百個,傳播速度比較慢,只要病毒一出來,研究它的特征,提取后放在黑名單里,只要在黑名單里,肯定是壞人,這是查黑的技術。
從 2000 年到 2010 年,互聯網蓬勃發展,病毒也出現兩個特征,第一,傳播速度非常快,過去一個病毒可能在幾周,甚至幾個月里傳播量也不會太大。第二,在互聯網時代,病毒有自己的獲取經濟利益的模式,病毒的樣本變異非常快,每天面對的可能是百萬級的病毒樣本,再把病毒一個個搞出來查殺,顯然不可行。
黑名單變得龐大無比,變得不可運行,所以就出現了第二代白名單技術——不去管壞的,把可以信任的程序添加到名單,只要在名單,就允許運行,不在名單里,就徹底不讓它運行。
在工業場景下,白名單技術大有用武之地。在一臺工業主機上,運行的工業軟件非常有限,僅是工業軟件在控制傳感器運行,數量很有限,只要把設置白名單,其他任何程序進程都不允許運行,這樣就能有效避免病毒和惡意代碼攻擊。
2015 年,攻擊者進化了。他們開始利用可信的程序,甚至是 Windows 操作系統的進程執行惡意操作,簡直就是“披著羊皮的狼”,繞過了白名單的控制機制。
于是,第三代惡意代碼防范技術來了。這代技術的核心堪比篩選相親對象——任何一個程序在終端上的所有行為都要被記錄且比對,它開展了哪些進程,打開了哪些文件,調用了什么函數,做了哪些操作,包括在網絡上的行為,連接了哪些網絡端口,使用什么協議,發送什么樣的數據。
雷鋒網了解到,因為其功能是相對確定的,行為也是相對確定的,通過數據采集與分析建模,能夠建立起軟件程序的行為極限。一旦發現異常行為,就要開始告警,并引入人工分析,有效地清理發生異常行為的程序,這就是查詢技術的源頭。
第三代查行為技術十分依賴大數據、數據建模和機器學習。左英男認為,優秀的查行為技術要通過長期的數據采集與大量數據采集建模,不斷優化模型,建模建得越準,異常操作就越能準確發現。另外,查行為技術還要配合長期運營和優化。
左英男很有信心。他想,既然在非工業互聯的場景里,數據可以記錄人們長期用鼠標、摸手機的習慣,最后甚至可以實現不需要用戶輸入口令就能打開設備,那么在這些技術創新之下,冷冰冰的巨型工業設備,也許也能敞開溫暖的懷抱,知道你就是你。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
