0
本文作者: 李勤 | 2019-03-06 17:34 |
在 360 企业安全去年处理的 100 多起大型的工业企业安全案例里,因为工业勒索导致生产受到影响甚至停产的大厂多达 30 多个,最惨的一个厂家停产了 21 天。
然而,这些勒索软件都不是被人故意种过去的,纯属误伤。
但这也许是一个坏消息。
“我有点担心,大家知道后会有勒索软件特别有目的地搞工业勒索,今年已经有苗头了。”360企业安全集团副总裁左英男对雷锋网宅客频道(微信ID:letshome)说。
【左英男】
这是一家知名的汽车制造企业,业务涉及汽车制造、电池生产、电路配件等不同生产线。这家汽车制造商的惨案发生在 2017 年年底,由于惨案已经发生,安全人员能做的就是一台一台恢复主机。
难点在于,这个工厂里有很多不同的工业软件,还有十几种不同的工业协议,以及各种工业操作系统。在这 17000 多台工业主机中,Window 7 Server 操作系统占了 50% 以上,排第二位是 Windows XP。
微软中国早在 2014 年 4 月 8 日宣布停止对 Windows XP 的支持。当然,对于付费的政企用户,他们还是可以给予定期支持的。
不过,这对工业生产环境而言,并没有什么用。
工业互联生产环境,牵一发动全身,更新慢,有时甚至为了生产环境稳定,并不会更新。协议、工业软件、操作系统十分复杂,加上自身适配较难,在非停产实施的环境下,安全人员花了整整一年,才把这家汽车制造企业所有的工业主机加上了主机防护。
有意思的是,这事本来和这个汽车制造企业没有半毛钱关系,谁能想到罪魁祸首是 2017 年 5 月 12 号爆发的永恒之蓝勒索病毒的变种。
在人们的印象中,都快两年了,这货怎么还没狗带?很简单,两个原因:
第一,变种横行;
第二,有些系统没有及时打上补丁,尤其是老旧的工控主机。
遭殃的不仅是这家汽车制造商,去年 8 月,台积电位于台湾新竹科学园区的 12 英寸晶圆厂和营运总部,突然传出电脑遭勒索病毒入侵且生产线全数停摆的消息。随后位于台中科学园区的晶圆厂、龙潭封测厂,以及台南科学园区的晶圆厂也中招,台积电在台湾北、中、南的三处重要生产基地均因病毒入侵而导致生产线停摆。
即使到了今年 1 月,国内一家著名的芯片生产线依然中招,它踩的坑叫做 Wanna Miner,就是利用永恒之蓝的漏洞挖矿。
一个工业主机本身计算资源量就有限,承担着 24 小时不停机的工业控制运行,还要被耗费里面大量的资源挖矿,整个生产系统变得极其不稳定,系统开始出问题了……但是,永恒之蓝勒索病毒刚开始并非针对工业场景。也就是说,只是因为工业用的某些关键设备接入了互联网,然后不知不觉被感染了。
因此,左英男将之称为“误伤”和“躺枪”:“工厂躺枪,这个问题就严重了,你家里有电脑,装了一个挖矿软件,不就占点资源,慢点无所谓,所以你觉得没啥关系,但是工业现场的主机不行,我们曾见过最老的一台工业主机,只有 250 兆内存,硬盘 4 个G。在这么老旧的系统环境下,要是挖个矿,整个崩溃,因为控制逻辑没有了,接着整个生产线停掉,这叫误伤。”
这样的“误伤”给工厂造成了巨大的损失,可能会给攻击者“发财致富”提供新思路——专门针对工业主机开展勒索攻击,随随便便要个100万赎金,不然工厂将因停产、关键数据加密等遭受更多的损失。
在一些新闻报道中,台积电因停摆三天损失超过了 5 亿美元。
对抗思路早就有了。
左英男认为,全员身份化这种2007年就提出的理念对于工业互联网的安全架构而言,可以解决新问题。
区别于传统互联网的边界,工业互联网的“铜墙铁壁”已经因为不再封闭而全面瓦解:因为信息的共享需求,除了自己的员工,外有外包商、合作伙伴;除了人,还有各种各样的工业互联网设备。多元的设备、平台、业务让原来传统的数据中心变成了虚拟的数据中心,很多数据资产被放在了云上,工业企业不再有100% 的控制权。
2018 年,左英男所在的 360 企业安全对外提出了针对工业互联网的零信任架构,它的逻辑就是——我在没有完全确认的情况下,我不应该相信内部和外部任何设备甚至人,我要给他们建立一个身份标识。
这一思路脱胎于以前谷歌针对企业内部提出的零信任架构。
在工业场景下,现阶段遇到的最明确的场景就是工业物联网设备的接入。比如,以前电表不会有智能化网络的概念,就是经由电线连接,现在很多电表却是由“一根网线”连接。这意味着,所有的电表将暴露在攻击者的视野中,他们多了无数条可能切入的入口。
如何确保智能电表不是攻击者伪装攻击的一台计算机?
“你要做确认、验证、持续的验证,度量它的风险。因为电表可以访问后端业务系统,采集、交互数据,是一个非常稳定的模型,你发现有异常,突然出来一个WannaMiner这样的协议,那肯定有问题,所以也是基于行为的方式发现现有问题,就及时对它做出动态的调整,这就是零信任架构核心的理念。”左英男对雷锋网说。
查出攻击者经历了“三代”过程。
第一代技术属于“查黑”。从 1986 年到 2000 年,病毒种类比较少,每年几百个,传播速度比较慢,只要病毒一出来,研究它的特征,提取后放在黑名单里,只要在黑名单里,肯定是坏人,这是查黑的技术。
从 2000 年到 2010 年,互联网蓬勃发展,病毒也出现两个特征,第一,传播速度非常快,过去一个病毒可能在几周,甚至几个月里传播量也不会太大。第二,在互联网时代,病毒有自己的获取经济利益的模式,病毒的样本变异非常快,每天面对的可能是百万级的病毒样本,再把病毒一个个搞出来查杀,显然不可行。
黑名单变得庞大无比,变得不可运行,所以就出现了第二代白名单技术——不去管坏的,把可以信任的程序添加到名单,只要在名单,就允许运行,不在名单里,就彻底不让它运行。
在工业场景下,白名单技术大有用武之地。在一台工业主机上,运行的工业软件非常有限,仅是工业软件在控制传感器运行,数量很有限,只要把设置白名单,其他任何程序进程都不允许运行,这样就能有效避免病毒和恶意代码攻击。
2015 年,攻击者进化了。他们开始利用可信的程序,甚至是 Windows 操作系统的进程执行恶意操作,简直就是“披着羊皮的狼”,绕过了白名单的控制机制。
于是,第三代恶意代码防范技术来了。这代技术的核心堪比筛选相亲对象——任何一个程序在终端上的所有行为都要被记录且比对,它开展了哪些进程,打开了哪些文件,调用了什么函数,做了哪些操作,包括在网络上的行为,连接了哪些网络端口,使用什么协议,发送什么样的数据。
雷锋网了解到,因为其功能是相对确定的,行为也是相对确定的,通过数据采集与分析建模,能够建立起软件程序的行为极限。一旦发现异常行为,就要开始告警,并引入人工分析,有效地清理发生异常行为的程序,这就是查询技术的源头。
第三代查行为技术十分依赖大数据、数据建模和机器学习。左英男认为,优秀的查行为技术要通过长期的数据采集与大量数据采集建模,不断优化模型,建模建得越准,异常操作就越能准确发现。另外,查行为技术还要配合长期运营和优化。
左英男很有信心。他想,既然在非工业互联的场景里,数据可以记录人们长期用鼠标、摸手机的习惯,最后甚至可以实现不需要用户输入口令就能打开设备,那么在这些技术创新之下,冷冰冰的巨型工业设备,也许也能敞开温暖的怀抱,知道你就是你。
雷峰网原创文章,未经授权禁止转载。详情见转载须知。