啟明星辰集團 張曄

北京時(shí)間2017年5月1 2日， 全球爆發(fā)大規模WannaCry勒索軟件感染事件，已有至少100多個(gè)國家和地區的上萬(wàn)臺電腦受到感染，我國是此次蠕蟲(chóng)事件受感染的重災區，政府社會(huì )服務(wù)和企事業(yè)單位生產(chǎn)受到嚴重影響。為什么最近幾年勒索軟件不斷涌現，而且大行其道，大有不斷擴大的趨勢；勒索軟件會(huì )對我們的社會(huì )造成什么樣的影響？勒索軟件會(huì )對工業(yè)控制系統下手嗎？針對勒索軟件，我們應該做好哪些防范工作？本文作者將就這些問(wèn)題進(jìn)行分析。

1　什么是勒索軟件？

勒索軟件是一種流行的木馬，通過(guò)騷擾、恐嚇甚至采用綁架用戶(hù)文件等方式，使用戶(hù)數據資產(chǎn)或計算資源無(wú)法正常使用，并以此為條件向用戶(hù)勒索錢(qián)財。這類(lèi)用戶(hù)數據資產(chǎn)包括文檔、郵件、數據庫、源代碼、圖片、壓縮文件等多種文件。贖金形式包括真實(shí)貨幣、比特幣或其它虛擬貨幣。

勒索軟件開(kāi)發(fā)成本低，惡意擴散范圍大，傳播速度快，恢復數據成本高。相對用戶(hù)通過(guò)合法途徑恢復數據的成本來(lái)說(shuō)，交付贖金對用戶(hù)來(lái)說(shuō)更合適。勒索軟件對于惡意發(fā)布者來(lái)說(shuō)，是一本萬(wàn)利，因此最近幾年勒索軟件不斷涌現，在全世界大行其道。

隨著(zhù)技術(shù)的發(fā)展，新型勒索軟件還會(huì )不斷出現，在不久的將來(lái)，網(wǎng)絡(luò )犯罪者可能會(huì )直接攻擊關(guān)鍵基礎設施，包括工業(yè)控制系統。除此之外，具有國家背景的攻擊者，也可能會(huì )利用勒索軟件，對其他國家的工業(yè)控制系統進(jìn)行惡意攻擊，從而隱藏其真實(shí)網(wǎng)絡(luò )戰爭意圖。

2　勒索軟件造成的危害

勒索事件不像一般攻擊事件，其發(fā)起者只想訪(fǎng)問(wèn)數據或者獲取資源，勒索者有時(shí)既想要數據，更想要錢(qián)。勒索軟件不管是對個(gè)人網(wǎng)絡(luò )用戶(hù)還是企業(yè)用戶(hù)來(lái)說(shuō),都是一個(gè)越來(lái)越嚴重的犯罪問(wèn)題。受影響的客戶(hù)包括中小企業(yè)的業(yè)務(wù)信息系統，甚至包括個(gè)人終端，移動(dòng)設備。據美國FBI的一份報告顯示，2016年，勒索軟件的非法收入可能達到10億美元。這一巨大的數字，很大一部分都是由企業(yè)繳納的贖金組成。

當用戶(hù)因為勒索軟件導致業(yè)務(wù)中斷，企業(yè)通常會(huì )認為支付贖金是取回數據最劃算的辦法。這些支付出去的贖金，會(huì )助長(cháng)犯罪組織加強勒索軟件的開(kāi)發(fā)。正因如此，勒索攻擊正以驚人的速度不斷發(fā)展，勒索軟件家族也正在不斷地進(jìn)化。

3　勒索軟件何時(shí)會(huì )“青睞”工業(yè)控制系統？

2016年11月28日，舊金山MUNI城市捷運系統受到勒索加密勒索軟件攻擊，所有的售票站點(diǎn)都顯示出“你被攻擊了，所有數據都被加密”，攻擊者發(fā)出公告索要100比特幣，也就是70000多美元。

2017年1月下旬，一家?jiàn)W地利豪華酒店受到攻擊，阻止給客人制作新的房間鑰匙卡，基本上鎖定他們的房間。由于每個(gè)酒店房間每晚花費高達幾百美元，受害者支付大約1600美元贖金來(lái)恢復系統并繼續正常的業(yè)務(wù)操作。

2017年5月13日，受WannaCry的影響，雷諾宣布法國桑都維爾和羅馬尼亞的工廠(chǎng)停產(chǎn)，防止勒索軟件在系統內擴散。除了雷諾還有一些受害者，日產(chǎn)位于英國東北部桑德蘭（Sunderland）的制造工廠(chǎng)也受到影響。

以上事件已經(jīng)說(shuō)明，勒索軟件已經(jīng)開(kāi)始逐漸向工業(yè)控制系統進(jìn)行滲透。規模比較小的入侵組織，一般會(huì )選擇對社會(huì )影響有限，失控后不會(huì )造成生產(chǎn)事故和人身事故，但數據恢復成本大于贖金成本，如門(mén)禁系統、地鐵支付系統、智能樓宇系統等。如果是有國家背景的入侵組織發(fā)起，那么會(huì )對國家關(guān)鍵信息基礎設施發(fā)起攻擊，造成比較大的社會(huì )影響，如電力系統、石油石化系統、智慧城市等。

為了防止勒索軟件對工業(yè)控制系統造成威脅，近期我們需要關(guān)注軌道交通自動(dòng)售檢票系統（AFC）、酒店門(mén)禁系統、智能樓宇系統、遠程視頻監控系統、智慧城市等影響到日常生活生產(chǎn)的控制系統。從長(cháng)遠來(lái)看，我們更要關(guān)注電力、水利、石油石化等關(guān)鍵基礎設施的控制系統安全。

4　如何防范勒索軟件對工業(yè)控制系統造成的威脅？

為了防范勒索軟件對工業(yè)控制系統造成威脅，需要做好以下幾個(gè)方面的工作：

（1）對工業(yè)控制系統的組態(tài)數據進(jìn)行安全備份

組態(tài)數據作為工業(yè)控制系統正常運行的核心元素，組態(tài)數據備份和恢復措施是發(fā)生被勒索事件挽回損失的重要工作，數據備份恢復是企業(yè)的最后一道防線(xiàn)，在最壞的情況下，它將是企業(yè)最后的堡壘，而企業(yè)需要建立不定期進(jìn)行數據備份的策略，以確保在最壞的情況有備份措施。

（2）做好第一道防線(xiàn)，防止勒索軟件進(jìn)入管理信息網(wǎng)

管理信息網(wǎng)內部要進(jìn)行分區分域的細粒度劃分，區域邊界要做好訪(fǎng)問(wèn)控制和準入機制。同時(shí)要及時(shí)發(fā)現并修復業(yè)務(wù)系統存在的漏洞；或者拒絕點(diǎn)擊網(wǎng)絡(luò )釣魚(yú)等不明惡意鏈接和郵件/社交工程。

（3）做好第二道防線(xiàn)，杜絕勒索軟件通過(guò)管理信息網(wǎng)進(jìn)入生產(chǎn)網(wǎng)

管理網(wǎng)與生產(chǎn)網(wǎng)進(jìn)行強隔離，杜絕管理網(wǎng)與生產(chǎn)網(wǎng)建立任何通訊連接，只能進(jìn)行數據交換，這樣就可以杜絕勒索軟件通過(guò)管理信息網(wǎng)滲透到生產(chǎn)控制網(wǎng)。也就是說(shuō)，生產(chǎn)控制網(wǎng)和管理信息網(wǎng)絡(luò )之間應該通過(guò)網(wǎng)閘進(jìn)行安全隔離。

（4）做好全面監控工作

無(wú)論是管理信息網(wǎng)，還是生產(chǎn)控制網(wǎng)，都要做好安全監控工作，實(shí)時(shí)監控網(wǎng)絡(luò )異常行為、僵木蠕惡意行為、異常流量、異常網(wǎng)序，以及違規運維行為等，進(jìn)行提前預警，把風(fēng)險消滅在萌芽期。

（5）定期進(jìn)行風(fēng)險評估

定期對信息系統資產(chǎn)進(jìn)行安全漏洞掃描，對發(fā)現的漏洞，要盡快進(jìn)行修復，同時(shí)日常也應該不定期關(guān)注軟件廠(chǎng)商發(fā)布的安全漏洞信息和補丁信息，及時(shí)做好漏洞修復管理工作。

作者簡(jiǎn)介：

張曄（1973-），男，本科，現就職于啟明星辰集團電力事業(yè)部，主要研究方向為工業(yè)控制系統信息安全。發(fā)明了工業(yè)控制系統現場(chǎng)運維審計與管理系統，填補了國內該產(chǎn)品的空白；發(fā)明了動(dòng)態(tài)安全保障體系模型和等級保護技術(shù)架構模型；在國內首次提出了工控系統信息安全的“四化”理念。

摘自《自動(dòng)化博覽》2017年8月刊