近日,“WannaCry”勒索软件在全球范围内爆发,英国、俄罗斯、整个欧洲、中国等诸多国家的国家机构、大型企业、医院、高校等受到影响。事件发生后,海天炜业接到很多用户的来电,咨询他们的工控系统安全问题,有些用户还将原定的项目实施方案提前进行。为什么流程工业用户对“WannaCry”事件如此敏感?这要先从“WannaCry”感染利用的系统安全漏洞说起。
没有被及时关注和管理的Windows系统安全漏洞,
给了“WannaCry”爆发的“后门”
“WannaCry”事件中,“WannaCry”勒索软件是借助“永恒之蓝”漏洞利用工具,利用Windows操作系统在445端口的安全漏洞(CNNVD-201703-721 ~ CNNVD-201703-726),潜入电脑的。
针对这一安全漏洞,微软对Win7及Win7以上系统均已有补丁支持,而Windows XP等目前已不受微软支持的版本,没有提供补丁。尽管“WannaCry”事件爆发后,微软提供了Windows XP等版本系统的补丁,但是对于已经感染的用户而言,已经无效。
与此同时,在被感染的用户中,有相当部分的Win7及Win7以上系统用户,并未安装微软已经发布的补丁,因此感染。
在信息爆炸的互联网时代,信息安全风险无处不在,防不胜防。
没有被及时关注和管理的Windows系统安全漏洞,给了“WannaCry”爆发的“后门”。值得注意的是,在国内工业控制系统中,Windows XP、Windows 2003等Windows系统版本仍然在广泛大量的应用,这也是为什么事件发生后,用户纷纷向海天炜业咨询的原因。
中国工控系统的运行特性:更高的感染风险和更大的损失
企业生产系统网络庞大、接入方式复杂、设备数量众多、敏感数据多、系统运行时间长,这些特点决定了,工业控制系统具有更高的感染风险。流程工业企业一旦感染WannaCry或其他病毒,带来的将是巨大的安全隐患和不可估量的损失:主机和工控软件以及系统软件的失效、主机瘫痪、生产失控、系统停车、其他重大安全事故等都有可能发生。
系统复杂、老旧:目前,中国的工业控制系统中,Windows XP、Win2003、Win7被大量使用,甚至更早版本的系统也在运行,相较于新系统而言,防御能力很差,工控系统感染风险大。
大量开放端口:因为工控软件运行需要尽可能宽泛的系统资源,有些工控系统的网络端口存在非必要开放的现象,如445端口、139等。在Win系统中有些端口是默认打开的,即使工控软件不必使用它们,系统仍然是开放的,而且有些工控软件会开放一系列网络端口作为备用,这很容易被病毒利用。这些因素导致工控系统防范病毒传播的能力较弱,如果在不采取措施的情况下,一旦有一台工控主机被感染,会迅速传播到整个局域网的主机。
另一方面,在工控系统主机上做端口关闭需要经过严格的论证和测试:基于稳定运行的需要,工控系统很少主动关闭非必要的网络端口,担心在未知的情况下影响系统的使用,因此,为工控系统提供网络防护时,安全策略的制定需要在仿真系统上经过较长一段时间论证或者测试才能进一步在真实生产系统上逐步推行,而仅仅根据网络上一些通用的防护方法,直接关闭端口,可能会影响系统使用,影响系统正常运行。
告别“永恒之蓝”:海天炜业“主动防御”的整体解决方案
就目前的统计,应用海天炜业安全解决方案的用户的工控系统并未出现WannaCry病毒感染的事件,这是因为海天炜业的安全解决方案从主机层、网络层、监控层、服务层四个层面对 “WannaCry ”等病毒实现主动防御,有效保护工控系统的安全:
主机层:海天炜业通过进程白名单防护,防止恶意代码和病毒程序的运行,起到病毒防护的作用;
网络层:海天炜业应用白名单,通过配置严格的安全策略,杜绝高位以及敏感端口被攻击的可能性;
监测层:海天炜业系统对高位和敏感端口进行实时监测,发现正在运行或者发动攻击的高危行为时可以实时报警;
服务层:用户如发现系统问题,海天炜业工程师将制定定制化的解决方案,通过实验室进行测试,确保将对原有生产最有利的可行性解决方案运行到用户系统中。
海天炜业深知工控网络安全对用户生产安全的重要性,深耕工控网络安全板块业务,不断优化研发以及解决方案竞争力,目前,海天炜业已经建立了集评估评测、研发、销售、安全服务于一体的工控网络安全服务体系,可以为用户提供从工控网络安全延伸到工业生产安全的一体化解决方案,打造业内领先的工控网络安全服务平台,在保证用户工业控制系统的网络安全、主机安全、应用安全、工控数据安全的同时,实现持续防御,为用户工业控制网络的全生命周期提供系统的安全解决方案。
声明:该文观点仅代表作者本人,权责归原作者所有,本站系信息发布平台,仅提供信息存储空间服务,如有侵权或违规内容请及时与我方联系,我们将及时进行处理。
暂无评论
要发表评论,您必须先 登录