网络威胁:您当前的工业安全战略是否完备?

网络威胁:您当前的工业安全战略是否完备?

现在,服务器和客户端已恢复正常,诸如控制、可视化和批处理等生产系统也重新开始运转,工厂生产也恢复如初,是时候反思最近事件了。

我还清楚地记得这一切是如何开始的。各大网络媒体在头条报道:“勒索软件横行!制造公司系统瘫痪,生产中断!”这是您夏日一早醒来最不愿意面对的事情。

罪魁祸首是一种被称为 Nyetya 或 NotPetya 的恶意软件。NotPetya 最初被认为是勒索软件,但是实质上是采用蠕虫传播方法的 Wiper 病毒。从现在开始,我们称之为 WiperWorm。

Webinar: Protect Your Plant and Enterprise from Ransomware with Security Solutions. Join us Tuesday, August 10, 2017 from 12:00 p.m. - 1:00 p.m. CT.

有计划的团队谨慎地选择应对措施,并有目的地执行。有效的应对方法通常涉及计算机安全事件处理指南 (美国国家标准与技术研究所特别报告 800-61) 中提及的以下过程。

首先,评估影响范围并分析事件成因,以便采取适当的措施来控制事件。但在许多情况下,这是不可能的。

不知何故,几乎所有连接到工业控制系统网络的 Windows 计算机都受到了 NotPetya WiperWorm 的攻击。随着恢复受感染系统的希望越来越渺茫,接下来的逻辑步骤是开始搜索现有的系统备份并试图恢复。如果没有备份,所有生产系统都需要从头开始重建,这将是一个代价高昂、费时费力的难题。

对于那些幸运儿,备份提供了希望,但严格的恢复策略还涉及确保将恢复的系统置于一个孤立的网络中,以防止再次感染。优秀的网络安全研究人员和工程师快速采取行动,就如何防止再次感染提供了关键情报。

  • 修补 MS17-010 漏洞,防止 EternalBlue 和 EternalRomance 漏洞成功入侵系统。
  • 禁用 wmic。
  • 执行注册表修复,关闭所有管理共享 (如 C$ADMIN$),切断传播途径。

在恢复过程中也会面临一些挑战,比如某些 WiperWorm 传播渠道也是生产应用的关键功能,因此禁用或限制访问并非总是可行。

结论是什么?如果您愿意的话,最有效的 WiperWorm 预防措施便是遵循良好的安全惯例:“从基础做起”。关于这个主题的文章不计其数,但要点无非是:

  • 在投入生产之前强化系统
  • 尽量使用受限用户帐户运行
  • 修补系统,并投资于完善的反病毒或端点安全解决方案

关键支持服务可帮助您在工业控制系统环境中实施良好的安全惯例。

订阅经过验证的 Windows 修补程序

此类订阅服务可为您的工业计算环境提供经过验证的最新 Windows 修补程序。例如,我们在稳健的测试环境中验证自身,以尽量减少应用影响的风险。通过将您的 Windows 服务器更新服务 (WSUS) 服务器连接到我们基于云的托管 WSUS,即可提供修补程序。

在您的 WSUS 上获得修补程序后,您可根据自己的计划将修补程序应用到系统。此外,网络和安全服务还可帮助您根据需要开发/修改内部修补策略。

eBook: Industrial Security: Protecting networks and facilities against a fast-changing threat landscape.

远程修补程序和反病毒管理

此类服务有助于缓解与 Windows 修补程序和反病毒定义陈旧有关的风险,以及与修补步骤不当有关的风险。

例如,我们与工业计算环境建立安全远程连接,以在管理环境变更的同时,监控基础设施和镜像的健康状况。

然后,我们与您一同确立修补和反病毒更新的节奏和规程,以在投入生产之前测试镜像和应用程序的功能。

远程备份管理

最后,此类服务有助于缓解与没有备份和/或无法远程获取专家协助相关的风险,可促进相关服务的快速恢复。该服务提供强大的备份功能,可监控备份完整性并执行恢复。举例来说,我们可以:

  • 在工业计算环境中部署备份设备,配置以满足系统的备份频率和保留要求
  • 对设备和备份的健康状况实施远程监控
  • 根据需要执行远程恢复服务,将镜像恢复到先前已知“良好”的状态

当防御 WiperWorm、勒索软件或大多数其他恶意软件突发事件时;最有效的战略仍然是做好充分准备!

修补和强化系统以防止突发事件,如果您无法阻止,则确保已准备好从备份恢复关键生产系统。

使生产系统恢复正常运行,还是只能彻底重建生产系统——是否做好充分准备决定了您的命运。

借助我们的工业安全服务,确保各运营环节远离安全威胁。

Pascal Ackerman
发布 2017-十一月-06 作者 Pascal Ackerman, Senior Consultant of Industrial Cyber Security, Rockwell Automation

博客

作为工业自动化、动力、过程控制和信息解决方案的全球供应商,我们愿帮您了解您所在行业的最新发展动态,助您在未来取得成功。此博客不仅是我们的员工与客座博主之间分享技术和探讨行业相关主题的平台,同时还为您提供了参与讨论并分享您的见解的机会。