随着工业化与信息化融合的浪潮,工业控制系统(Industrial Control System, ICS)与IT系统已经密不可分。现代工控系统自身正逐步采用通用的TCP/IP标准协议、通用的操作系统,同业务系统等其它信息系统的连接也越来越多。原来相对封闭的工控网络环境日趋开放,越来越多的工控安全事件表明,来自智能工厂信息网络、移动存储介质、互联网以及其他因素导致的网络安全问题正逐渐在控制系统中扩散。我们总结智能工厂工程师站常见问题及应对措施给大家来分享。
通过建立完善的终端安全防护体系,包含防病毒、身份鉴别、外设管控,确保智能生产过程主机的安全性,防止外部和内部的非法操作,做到主机安全的有效防御。
工业主机如何防范各类勒索病毒及变种的攻击行为,如何确保生产线的连续性生产?
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。该病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。这种病毒利用各种加密算法对文件进行加密,被感染者一般无法解密,必须拿到解密的私钥才有可能破解。
(1) 网站挂马:用户浏览挂有木马病毒的网站,上网终端计算机系统极可能被植入木马并感染上勒索病毒。
(2) 邮件传播:邮件传播是目前互联网上常见的病毒传播方式。攻击者通过利用当前热门字样,在互联网上撒网式发送垃圾邮件、钓鱼邮件,一旦收件人点开带有勒索病毒的链接或附件,勒索病毒就会在计算机后台静默运行,实施勒索。
(3) 漏洞传播:通过计算机操作系统和应用软件的漏洞攻击并植入病毒是近年来流行的病毒传播方式。最典型的案例是2017年在国内泛滥的WannaCry大规模勒索事件,攻击者正是利用微软445端口协议漏洞,进行感染传播网内计算机。
(4) 捆绑传播:攻击者将勒索病毒与其他软件尤其是盗版软件、非法破解软件、激活工具进行捆绑,从而诱导用户点击下载安装,并随着宿主文件的捆绑安装进而感染用户的计算机系统。
(5) 介质传播:攻击者通过提前植入或通过交叉使用感染等方式将携有勒索病毒的U盘、光盘等介质进行勒索病毒的移动式传播。此种传播途径往往发生在文印店、公共办公区域等高频交叉使用可移动存储介质的场所,也可能通过广告活动派发、街区丢弃等方式实现诱导用户使用携带勒索病毒的U盘、光盘。携带勒索病毒的光盘、U盘一旦接入计算机,勒索病毒即可能随着其自动运行或用户点击运行导致计算机被感染。
工业卫士软件通过丰富的外设管控策略、白名单过滤策略、数据防篡改策略、非法外联管控策略、端口管理策略、敏感动作管理策略等,从病毒传播途径、病毒检测、病毒运行动作、病毒执行、数据保护等方面加强对勒索病毒、挖矿病毒的防护力度,有效防护工控主机遭受勒索病毒、挖矿病毒侵扰。
根据智能工厂产线柔性生产的需求,MES系统定期更新与病毒防范的冲突如何解决?
MES即制造执行系统(Manufacturing Execution System),它是一套面向制造企业车间执行层的生产信息化管理系统,可以为企业提供包括制造数据管理、计划排程管理、生产调度管理、库存管理、质量管理、人力资源管理、工作中心/设备管理等等多项管理模块。通过这些管理模块对整个车间制造过程进行优化管理,从而提高生产效率和质量。
由于MES系统是不断更新的,每当更新后,系统的相关文件也会发生变化,因此通过普通的文件MD5特征值对文件进行保护的方式无法针对于此类不断更新的文件进行有效保护。
传统的白名单防护模式无法针对不断变化的文件进行检测,我司工业卫士可以通过以下两种途径既能满足用户的白名单需求,同时可以针对此类问题进行防护:
(1)通过文件的绝对路径,此防护模式可以通过比对文件的存储路径,从而实现当文件更新后对该路径下MD5发生变化的文件还能实现防护效果。
(2)开启自动追踪功能后可自动跟踪应用程序安装过程,监测安装过程中产生的所有应用程序,并将其特征码自动添加到应用程序白名单库中。
如何防范工业终端的注册表被修改,导致工程师站无法工作?
注册表是windows操作系统中的一个核心数据库,其中存放着各种参数,直接控制着Windows的启动、硬件驱动程序的装载以及一些Windows应用程序的运行,从而在整个系统中起着核心作用。这些作用包括了软、硬件的相关配置和状态信息,比如注册表中保存有应用程序和资源管理器外壳的初始条件、首选项和卸载数据等,联网计算机的整个系统的设置和各种许可,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性,性能记录和其他底层的系统状态信息,以及其他数据等。
如果注册表受到了破坏,轻则使Windows的启动过程出现异常,重则可能会导致整个Windows系统的完全瘫痪。因此正确地认识、使用,特别是及时备份以及有问题恢复注册表对Windows用户来说就显得非常重要。
工业卫士软件可以从多个方面对主机进行安全加固,提高系统的安全性,防止操作系统被恶意程序破坏。工业卫士能自动获取当前运行的程序调用的所有端口,可在端口状态部分对相应的端口进行封禁或放行。工业卫士还支持注册表、敏感动作防护,一键开启对勒索病毒、蠕虫病毒和挖矿病毒的增强防护,可从注册表、敏感动作和端口等多途径进阻断病毒传播。
如何破解工程师站非法连接互联网的问题?
工业现场的主机一般都是与互联网隔绝的,但是有部分现场的人员通过一些途径,让内网的主机连接互联网,导致了内网的工控主机暴漏在互联网上。
病毒通过访问外联的主机侵入内网。利用该机作为跳板,攻击、传染重要服务器,导致整个内部网络瘫痪。
工业卫士可以通过一键开启外联探测,定时对主机的访问进行循环检测,如果主机非法外联会有相应的事件记录。此外还可对内网地址进行定时循环检测,如果无权限用户访问特定网段或数据库,工业卫士会有相应的事件记录。
如何对生产线的工程师站主机的USB做批量的管控,避免USB接口滥用问题?
在众多的终端安全防护问题中,USB等外设设备的滥用,是一个严重且不断扩大的商业风险。霍尼韦尔工程研究人员指出,有明显的迹象表明,可移动存储已经成为攻击者使用策略的一部分,包括那些使用勒索软件的攻击者。79%来自USB设备或者可移动存储的网络威胁可能会导致工业(OT)环境中的关键业务中断。与此同时,设施中USB设备的使用较去年增加了30%,突显了对可移动存储的依赖,因此加强对外设的防护是我们的重点防护手段之一。
对USB、网卡、软驱、光驱等外设进行白名单认证,仅允许白名单内的外设与主机连接。对于USB设备可设置读写、只读、禁用模式。配套专业安全U盘,保障工控主机数据的摆渡安全。防止USB等外设带毒导致主机中毒,同时保障主机的关键数据、文件等不被非法导出。
