想哭之殇：工业控制系统安全防护策略

    WannaCry勒索病毒软件,不法分子利用NSA（National Security Agency，美国国家安全局）泄露的危险漏洞“EternalBlue”（永恒之蓝）进行传播，针对微软操作系统，通过扫描TCP 445端口(Server Message Block/SMB)，以蠕虫病毒的方式传播。

    截止目前WannaCry 勒索病毒出现了变种：WannaCry 2.0，取消Kill Switch传播速度或更快，WannaCry造成至少有150个国家受到网络攻击，已经影响到金融、市政、能源、医疗、生产制造等行业，对国济民生造成较大影响。国内目前至少28388个企业/机构受到感染，其影响范围如下表所示：

（上图表来自360）

    随着时间推移，WannaCry 勒索病毒有愈演愈烈之势，其威胁会逐步扩散到工业控制领域，由于工业控制领域历来重safety安全轻security安全，面对WannaCry新型威胁，工业控制领域防护显得弱不经风。具体体现为：

网络层面：

    工业控制网络内部缺少入侵检测及威胁感知的技术和手段，各生产区域边界划分及边界管控缺失，便于WannaCry病毒扩散传播。

终端层面：

    工业控制领域中，上位机、工程师站、操作员站、服务器等终端系统绝大多数使用Windows操作系统，为了保证可用性，以上系统不允许更新升级厂家补丁程序，并且基本不会安全装防病毒软件，为WannaCry病毒提供传播感染的目标。

数据层面：

    工业控制系统领域，工程文件的传输和共享多采用ftp方式，缺少有效的数据备份和安全存储。一旦爆发病毒，会造成整体系统文件的丢失。

管理层面：

    由于安全意识的薄弱，存在移动存取介质的违规使用以及网络的非法外联等隐患，为WannaCry病毒打开了方便之门。

    综上可见，由于工业控制领域的先天不足，给WannaCry的扩散和传播提供了广泛的空间和沃土，给不法人员提供了新的机遇与敛财之道。严重威胁了生产、生活的有序进行。

    匡恩网络作为国内专业工业物联网安全领导厂商，通过对WannaCry病毒原理及传播机制解析，并结合工业控制领域行业特性，从根源上提出了解决之道，如下：

网络层面：

    严格进行网络分区，加强区域之间通信管控，结合白名单及工业协议的深度解析技术，从而有效地阻断WannaCry网络内和系统间的传输；部署入侵检测设备，对网内威胁第一时间感知，从而启动相应的联动机制，追根溯源，做到风险可控。

终端层面：

    对终端主机、服务器实现应用白名单机制，确保应用可信，防止病毒的启动。对终端设备外设接口进行监管，从而阻断病毒来源，在此基础上关闭终端主机TCP445等无关端口。

数据层面：

    通过统一数据存储备份管理平台，完成重要数据的集中安全存储隔离。

管理层面：通过平台化管理，对整个工控网络要有整体威胁感知能力，完善应急响应和演练机制，加强人员安全培训与教育。

    最后，通过此次事件对各大安全厂商的能力也是有效的检验，建议后期各单位，尤其是涉及我国关键信息基础设施的部门，在选择安全厂商时，要选择能力型厂商，当发生紧急安全事件时能够第一时间为企业提供解决方法，避免“安全产品上线，就是安全产品失效”的尴尬，服务＋产品＋平台，才是避免此类事件再次发生的根本。