網路威脅:您當前的工業安全策略是否完備?

網路威脅:您當前的戰工業安全策略是否完備?

現在,伺服器和用戶端已恢復正常,諸如控制、視覺化和批次處理等生產系統也重新開始運轉,工廠生產也恢復如初,是時候反思最近事件了。

我還清楚地記得這一切是如何開始的。各大網路媒體在頭條報導:“勒索軟體橫行!製造公司系統癱瘓,生產中斷!”這是您夏日一早醒來最不願意面對的事情。

罪魁禍首是一種被稱為 Nyetya 或 NotPetya 的惡意軟體。NotPetya 最初被認為是勒索軟體,但是實質上是採用蠕蟲傳播方法的 Wiper 病毒。從現在開始,我們稱之為 WiperWorm。

Webinar: Protect Your Plant and Enterprise from Ransomware with Security Solutions. Join us Tuesday, August 10, 2017 from 12:00 p.m. - 1:00 p.m. CT.

有計劃的團隊謹慎地選擇應對措施,並有目的地執行。有效的應對方法通常涉及電腦安全事件處理指南 (美國國家標準與技術研究所特別報告 800-61) 中提及的以下過程。

首先,評估影響範圍並分析事件成因,以便採取適當的措施來控制事件。但在許多情況下,這是不可能的。

不知何故,幾乎所有連接到工業控制系統網路的 Windows 電腦都受到了 NotPetya WiperWorm 的攻擊。隨著恢復受感染系統的希望越來越渺茫,接下來的邏輯步驟是開始搜索現有的系統備份並試圖恢復。如果沒有備份,所有生產系統都需要從頭開始重建,這將是一個代價高昂、費時費力的難題。

對於那些幸運兒,備份提供了希望,但嚴格的恢復策略還涉及確保將恢復的系統置於一個孤立的網路中,以防止再次感染。

優秀的網路安全研究人員和工程師快速採取行動,就如何防止再次感染提供了關鍵情報。

  • 修補 MS17-010 漏洞,防止 EternalBlue 和 EternalRomance 漏洞成功入侵系統。
  • 禁用 wmic。
  • 執行註冊表修復,關閉所有管理共用 (如 C$ADMIN$),切斷傳播途徑。

在恢復過程中也會面臨一些挑戰,比如某些 WiperWorm 傳播管道也是生產應用的關鍵功能,因此禁用或限制訪問並非總是可行.

結論是什麼?如果您願意的話,最有效的 WiperWorm 預防措施便是遵循良好的安全慣例:“從基礎做起”。關於這個主題的文章不計其數,但要點無非是:

  • 在投入生產之前強化系統
  • 儘量使用受限使用者帳戶運行
  • 修補系統,並投資於完善的反病毒或端點安全解決方案

關鍵支援服務可説明您在工業控制系統環境中實施良好的安全慣例。

訂閱經過驗證的 Windows 修補程式

此類訂閱服務可為您的工業計算環境提供經過驗證的最新 Windows 修補程式。例如,我們在穩健的測試環境中驗證自身,以儘量減少應用影響的風險。通過將您的 Windows 伺服器更新服務 (WSUS) 伺服器連接到我們基於雲的託管 WSUS,即可提供修補程式。

在您的 WSUS 上獲得修補程式後,您可根據自己的計畫將修補程式應用到系統。此外,網路和安全服務還可説明您根據需要開發/修改內部修補策略。

eBook: Industrial Security: Protecting networks and facilities against a fast-changing threat landscape.

遠端修補程式和反病毒管理

此類服務有助於緩解與 Windows 修補程式和反病毒定義陳舊有關的風險,以及與修補步驟不當有關的風險。

例如,我們與工業計算環境建立安全遠端連接,以在管理環境變更的同時,監控基礎設施和鏡像的健康狀況。

然後,我們與您一同確立修補和反病毒更新的節奏和規程,以在投入生產之前測試鏡像和應用程式的功能。

遠端備份管理

最後,此類服務有助於緩解與沒有備份和/或無法遠端獲取專家協助相關的風險,可促進相關服務的快速恢復。該服務提供強大的備份功能,可監控備份完整性並執行恢復。舉例來說,我們可以:

  • 在工業計算環境中部署備份設備,配置以滿足系統的備份頻率和保留要求
  • 對設備和備份的健康狀況實施遠端監控
  • 根據需要執行遠端恢復服務,將鏡像恢復到先前已知“良好”的狀態

當防禦 WiperWorm、勒索軟體或大多數其他惡意軟體突發事件時;最有效的戰略仍然是做好充分準備!

修補和強化系統以防止突發事件,如果您無法阻止,則確保已準備好從備份恢復關鍵生產系統。

使生產系統恢復正常運行,還是只能徹底重建生產系統——是否做好充分準備決定了您的命運。

借助我們的工業安全服務,確保各營運環節遠離安全威脅。

Pascal Ackerman
2017--14 Pascal Ackerman, Senior Consultant of Industrial Cyber Security, Rockwell Automation

部落格

Rockwell Automation部落格是一個分享科技新知與產業訊息的平台,持續為您提供業界第一手動態消息,與潮流接軌。