​从终端防护开始，为工业主机勒索病毒防护请个“贴身保镖”

​从终端防护开始，为工业主机勒索病毒防护请个“贴身保镖”-51CTO.COM

据央视新闻，哥斯达黎加政府当地时间5月12日证实，哥斯达黎加总统查韦斯11日宣布政府进入紧急状态并将成立危机紧急应对委员会，负责处理持续了一个多月的政府机构网络遭黑客攻击事件。

今年4月起，哥斯达黎加财政部、海关和人力资源社保机构等多个政府机构的网络系统遭袭，造成多地支付、关税收取系统瘫痪至今。哥斯达黎加政府称，该国正在遭受“网络犯罪分子”和“网络恐怖分子”的攻击，政府拒绝向黑客支付赎金。目前，没有迹象表明黑客扩大了攻击范围，但受影响部门的网络均未恢复正常使用，尚无法准确统计因多部门网络瘫痪造成的直接或间接经济损失。

勒索病毒小知识

勒索病毒是一种新型电脑病毒，主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大，一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密，被感染者一般无法解密，必须拿到解密的私钥才有可能破解。简而言之，勒索病毒是以企业文件和数据为攻击对象、以获取大额赎金为目的网络“绑架犯”。

勒索病毒的“战绩”

1989年，AIDS trojan是世界上第一个被载入史册的勒索病毒，从而开启了勒索病毒的时代。仅在过去的2021年，勒索病毒就在全球范围内掀起了一系列的勒索大事件：

* 勒索病毒赎金节节攀升，破2021年年度最高赎金记录

22021年3月底，美国最大的保险公司之一CNA Financial被勒索软件攻击，在试图恢复文件无果之后，他们开始与攻击者谈判。刚开始的时候，黑客要求的赎金高达6000万美元。最后，CNA Financial在事件发生两周后支付了4000万美元赎金。

* 全球首次因勒索病毒导致国家宣布进入紧急状态

2021年5月，美国最大的成品油管道运营商Colonial Pipeline遭到“Darkside”黑客组织的勒索病毒攻击，被迫关闭东部沿海各州供油的关键燃油网络，美国政府宣布东部17个州以及华盛顿进入紧急状态。

* 年度加密最快的勒索病毒

2021年，老牌病毒Lockbit更新2.0版本，其新版本在20分钟之内就可窃取100GB数据，是普通勒索病毒加密速度的3倍以上，且具备在域控内自动传播的能力。该勒索软件推出不久，全球各地超过50个组织受害，受害者遍及多种产业，全球IT咨询行业巨头埃森哲也遭到LockBit的网络攻击，6TB的内部数据被窃取，2500台计算机遭遇宕机。

勒索病毒的“作案特点”

* 针对企业用户定向攻击

* 以RDP（Remote Desktop Protocol远程桌面登录协议）爆破为主

* 更多使用漏洞攻击

* 入侵企业内网后横向渗透

工业主机需要一个“贴身保镖”

工业主机（工控上位机、服务器）是PLC等工业控制设备与企业的工业控制网络及信息网络的连接点，是连接信息世界和物理世界的“桥梁”，做好工业主机的安全防护和控制是保障工业互联网安全的核心。

但现实情况是，企业的工业主机作为工业数据采集和分析的重要载体，生命周期往往比较长，操作系统老旧，存在大量漏洞，并且由于工业生产连续性的特点，工业主机很难定期升级补丁，大量工业主机处于带洞运行的状态，成为了勒索病毒攻击者的首选目标。因此，做好工业主机的终端安全防护，即相当于为工控文件和数据配备了“贴身保镖”，成为防范勒索病毒的最有力的防线。

“贴身保镖”（工控终端防护系统）的武功秘籍

立思辰安科工控终端防护系统主要由客户端、控制台、服务引擎组成。以终端管理方案为核心，并贯穿数据中心、产品权限控制等多个产品模块，形成产品各模块耦合关系弱、逻辑关系强的管理模式，以保障用户在使用过程中，各模块清晰明确、易于使用的效果，保障终端安全、行为可控。

立思辰安科工控终端防护系统部署拓扑图

其中，工控终端防护客户端系统直接部署在工控系统的工业主机（如工程师站、操作员站）上，实现对工业主机的进程白名单管理，对流量、移动存储介质使用进行管理，有效抵御未知病毒、木马、恶意程序、非法入侵等针对终端的攻击，实现安全防护，构建有效抵御勒索病毒、漏洞、未知恶意代码和高级威胁APT攻击的终端安全防御体系。

“贴身保镖”（工控终端防护系统）的十大招式

1、方案安全完整性检查

通过安全完整性检查方案中的策略配置，确保终端符合安全性检查要求，在检查之后，检查不合格的终端将被隔离到修复区，系统提供自助式修复服务，保障网络及终端安全。

2、终端系统漏洞、病毒防控

终端系统的漏洞、病毒防控功能可帮助用户抵制如勒索病毒等严重影响网络、终端使用的病毒入侵，增强终端自身的防御能力，保证内网办公环境的安全。

3、终端行为安全管理

终端系统的行为安全管理功能从应用、进程、服务等几个概念入手，帮助用户建立起规范、严谨的应用程序监管方案。

4、设备使用管理

系统的设备使用管理功能包括：外部设备管理、可使用设备管理、设备类型管理。

通过对普通外置设备类型、属性的管理，制作合法可使用设备的管理、提供合法设备内数据与普通外置设备内数据中转的管理。从单纯的禁用、到可以合法的使用、再到禁用与合法使用之间的边界管理。

5、系统常规管理

系统可以检查和配置网络终端的 IP 地址、计算机名、网关等系统配置信息。同时，还可以对终端进行集中监控、远程点对多点的配置网络终端，更轻松地实现终端网络的规划和配置。

6、终端行为监控和审计

终端行为监控与审计相关功能可提升用户对于终端某些恶意操作行为的监控能力，可以有针对性的对终端操作进行审计或者记录，便于管理员对违规行为进行有效的追踪、定性定责以及管理。

7、远程维护与管理

网管人员可以通过终端防护系统进行远程故障诊断，查询/修改注册表、锁定/解锁计算机、阻断计算机通信、开启/关闭/重启/注销计算机、发送消息、批量网络配置，直至远程接管桌面等等。

8、日志与报表

系统内置多种常规报表记录，的日志管理功能记录终端报警审计日志、系统用户操作日志、执行情况日志及系统运行日志等日志信息，管理人员可进行查看和检索。

9、客户端管理

客户端管理功能包括对扫描结果修复及策略更新。

10、与安全统一管理平台交互

工控终端防护系统与安全管理平台的对接可实现入口相对接、日志/告警上传、自身监测、策略调用/下发、权限统一管理等。

总结

面对勒索病毒惯用的漏洞攻击手段，立思辰安科认为，应重点在工控网络内部部署工控终端防护系统，有效抵御已知病毒、勒索病毒、漏洞、位置恶意代码等攻击手段，做到对工业主机的“贴身防护”。

同时，为了有效避免勒索病毒在内网传播，工业企业下一步还需不断完善纵深防御体系的建设，从边界防护、准入控制、监测审计等方面入手，建立起勒索病毒的综合防御体系，配合有效的安全管理制度、安全运维体系、员工安全意识培训，可有效提高工业企业的勒索病毒防护能力，保障企业的工控网络安全。