愈演愈烈的勒索病毒
在年,全球因勒索病毒攻击造成的经济损失为3.25亿美元,并且有愈演愈烈的趋势。
预计到年,这个数字将上涨到亿美元;其中年中国的勒索病毒感染量就已经跃居全球榜首,占总数的20%。
根据腾讯安全提供的《上半年勒索病毒报告》,国内受感染最为严重的地区主要包括:广东、山东、河南、浙江、上海;按照行业统计,传统行业成为感染勒索病毒的重灾区。
制造业遭受勒索病毒巨大冲击
随着勒索病毒传播的加剧,网络勒索逐渐形成了规模化的地下产业链。从“小作坊”式的零敲碎打,逐步变为商业化的团伙作案,对制造业的网络信息安全造成巨大冲击。
下图展示了近年来,勒索病毒对制造行业造成巨大损失的部分典型事件。
(点击查看大图)
为何受伤的总是制造业
随着智能制造、工业互联的发展,企业开始引进ERP、MES等系统来提高管理效率。
此类业务系统承载的数据价值极高,因此在勒索者眼中,这些业务系统身处的制造业,是获取赎金的最佳攻击目标。
与此同时,信息安全建设工作中普遍存在的缺陷,导致制造业自动化系统在面对勒索病毒攻击时,处于天然劣势的地位。
图中列举出了造成这种天然劣势的主要原因:
首先,制造业的自动化工控系统,往往部署在信息安全建设体系成型之前,并且由于行业特性,业务系统在研发部署阶段,更加重视业务系统的可用性,以便于尽快投入产线,产生效益;此背景下就容易出现安全性把控不严格,造成业务系统经常“带洞”投入使用。
其次,作为生产核心的工控系统,在投入使用后不能轻易中断。为保持生产稳定,系统的更新周期也非常长。最为典型的情况:许多服务器或个人办公主机还在使用十几年前的操作系统(例如WindowsXP、WindowsServer3),此类操作系统往往存在很多的已知高危漏洞,且官方安全加固已经不再提供对此类系统的支持。
第三,过去的几年中,工业自动化控制系统操作技术(以下简称OT),在工业行业领域实现了复杂的技术流程。其初始建设过程中,很少连接到Internet体系,因为这些互联设备的安全功能,很难抵挡黑客攻击。
但是目前随着智能制造时代的到来,远程访问并管理OT中的设备成为了充分必要条件。这样做的目的在于将生产数据集中收集并进行分析,最终通过成熟的IT体系实现数据价值在内部的分享和使用。但两网融合的过程中,无疑会增大企业整体面临的网络风险。在原本较为成熟的IT管理体系之上,加入了目前安全建设并不成熟的OT体系,木桶的整体容水量,因为“短板”的加入而有所下降。
最后,自动化系统本身是比较“脆弱的”。对自动化系统进行漏扫、排毒查杀的时候可能会造成生产故障,因此往往选择以黑白名单为核心构建安全措施。但是这种安全措施是安全事件发生后进行的补充,在第一时间面对层出不穷的勒索病毒时,总是显得有心无力。
勒索病毒“套路”几何
未知攻,焉知防。要想有的放矢地开展针对勒索病毒的防护,了解常见的勒索病毒破坏形式和攻击手段是非常有必要的。
接下来从以上两个方面了解种类繁多的勒索病毒“套路”,详情如下表:
勒索病毒自救指南
快速响应
如果已经发现内部存在客户端主机或业务服务器感染了勒索病毒,那么做出快速响应,防止病毒扩散就是首先要做的工作。
由于等待专业人员的救助需要一定时间,因此需要企业人员采取必要的自救措施,防止等待过程中损失范围进一步扩大。
隔离中毒主机
网络隔离:拔掉网线、关机;对于笔记本电脑等移动接入设备,要关闭无线网络。如确认病毒已经感染重要核心业务系统,需立即将中毒本体与其备份进行隔离,防止备份数据被病毒加密破坏。
访问控制:通过网络安全设备(例如防火墙、终端安全检测软件等)添加安全策略,完成进一步隔离。此步骤主要避免远程桌面服务RDP暴露在公网上(其默认监听端口为),并关闭TCP、UDP、、TCP、等高危端口。
补充说明:工控环境下,普遍会有远程运维需要,因此建议对RDP服务所在的端口,通过VPN进行权限管理;如有堡垒机,亦可通过堡垒机中添加指定用户对特定主机端口的访问权限,来进一步强化访问限制。
加强访问控制的第二个方面,是修改登录密码,这里操作的先后顺序:
首先,修改已被感染服务器的登录密码,并禁用陌生的来宾账户;
其次,修改同一局域网下的其他主机、服务器的登录密码;
第三,修改最高级系统管理员账号的登录密码。
修改登录密码的原则为:使用高强度复杂密码,一般要求为:采用大小写字母、数字、特殊符号混合,口令长度在15位以上。
排查业务系统
确认感染主机已被隔离后,立即对核心业务系统进行排查并采取安全加固措施(访问控制权限最小化、业务系统登录密码、中间件密码、数据库密码如果强度不足,则立即升级密码强度);
对备份系统进行检查,如备份系统是安全可靠的,那么可以避免支付赎金。核心服务器和备份系统受影响程度,也直接关系到此次勒索事件的风险等级评定。
联系专业人员
先期处置的同时,建议第一时间联系专业的技术人士,对本次勒索病毒事件进行溯源分析、病毒分析,必要时可求助专业技术认识,协同企业网络管理人员进行灾后重建的安全监督。
常见错误处置
1、发现感染勒索病毒后,依然在中毒主机、服务器上使用U盘、移动硬盘等移动存储介质,造成勒索病毒通过以上设备,进一步完成传播扩散。
2、轻信网上非权威的解密方式或解密工具,对中毒主机磁盘的文件进行反复读写。这种做法,会破坏磁盘空间中的原始文件,进一步降低数据正确恢复的概率。
3、急于恢复生产,未对网络资产全面进行病毒排查,导致残留勒索病毒持续传播。在重装系统,使用备份数据恢复业务后,又遭遇二次勒索。
4、未对中毒主机进行病毒样本、日志文件、系统镜像的留存,导致事后进行事件溯源、病毒分析时无从下手;追究法律责任时,无凭无据。
朝夕戒惧,有备无患
事前搭建完善的防御工事,是保卫战胜利的基石。对于制造业来说,面对勒索病毒攻击,防御工事需要从两个大的方面入手:“管理制度建设”和“技术立体防护”。
针对防范勒索病毒所加强的管理制度建设,主要包括下图所示内容:
其中“三不三要”已经是企业信息安全管理制度建设中老生常谈的问题,但依然有必要再次重申:
"三不三要"
不上钩
标题吸引人的未知邮件不要点开
不打开
不随便打开电子邮件附件
不点击
不随意点击电子邮件中附带网址
要备份
重要资料要备份
要确认
开启电子邮件前确认发件人可信
要更新
系统补丁/安全软件病毒库保持实时更新
从技术角度出发,对于层出不穷的病毒变种,使用单一的技术防护手段往往会成效不佳。一个完整立体的防护体系,可以大大增加对勒索病毒成功防范的概率。
勒索病毒的攻击流程本质是符合“网络杀伤攻击链”的,因此可以基于“网络杀伤攻击链”来建设立体防护体系。如图所示:
需要注意的是,第三道防线的备份系统,是遭遇勒索病毒最重要的手段,备份实践可以考虑以下几点:
●备份文件或系统不要保存在本机上,否则会被病毒一同加密;
●安全备份遵循“原则”,即保留3份数据副本,存储在两种不同介质上,其中有一份是异地备份;
●备份期间不要使用实时同步备份,否则在勒索病毒加密期间,也会同时覆盖掉实时备份的副本数据。
更多专题
1
深挖黑客攻击路径——从网络边界到域控中心
2
制造型企业必须堵住的漏洞!!!——内部安全威胁
3
Windows域环境“3难”?弋搜日志系统教你如何轻松解决!
预览时标签不可点转载请注明:http://www.wangguoqiangq.com/sglbmj/6489.html
