制造行业再遭一年前爆发过的WannaCry勒索病毒重击

2018-11-29 11:17:24
近日又有一家知名半导体公司合晶科技位于大陆的工厂全线感染WannaCry勒索病毒,造成产线瘫痪,工厂全部停产!虽然合晶科技病毒并未对外公布具体损失,但参考台积电的案例,相信工厂停产将对企业本年度生产计划和业务收入造成较大影响。

今年8月台积电生产线因感染WannaCry(又名「想哭」)勒索病毒损失 25.96亿 新台币,另据台湾媒体报道,近日又有一家知名半导体公司合晶科技位于大陆的工厂全线感染WannaCry勒索病毒,造成产线瘫痪,工厂全部停产!虽然合晶科技病毒并未对外公布具体损失,但参考台积电的案例,相信工厂停产将对企业本年度生产计划和业务收入造成较大影响。

WannaCry勒索文档

        

       腾讯御见威胁情报中心在台积电染毒事件出现后,就曾根据病毒特点,结合安全大数据预测类似案例将持续出现,并提醒企业积极防御,详情参见
《如何评价全球晶圆代工龙头大厂台积电遭勒索病毒攻击而停产?》有台积电的前车之鉴,为什么合晶科技旗下工厂仍然未能避免感染WannaCry病毒?WannaCry病毒为一年多前的老病毒,几乎已经不太可能感染普通网民,但对工业系统却仍然有强大的杀伤力。制造业工厂是否较易遭受勒索病毒攻击?在「工业4.0」和「万物互联」的背景下,相关行业应该如何预防勒索病毒和应急处理?

1.    WannaCry勒索病毒的特点

WannaCry病毒是一种可以利用永恒之蓝漏洞主动传播的蠕虫式勒索病毒,2017511日在全球大范围爆发,数小时内影响近150个国家,致使多个国家政府、教育、医院、能源、通信、交通、制造等诸多关键信息基础设施遭受前所未有的破坏,勒索病毒也由此事件受到空前关注。

WannaCry能瞬间一炮而红,其根本原因是ShadowBrokers(影子经纪人)黑客组织公开了由美国国家安全局掌控的漏洞武器:永恒之蓝。在WannaCry之前,勒索病毒在较长时间内均为零散出现,影响范围较小。由于永恒之蓝漏洞广泛存在于WinXP/Win7Win10各类操作系统,当WannaCry勒索病毒插上永恒之蓝的翅膀,便立刻掀起了影响全球的勒索病毒风暴。

WannaCry勒索病毒一旦感染机器,将立刻并且持续扫描同一内网内所有主机,发送漏洞利用攻击包,进一步扩散感染所有未安装相应补丁的主机,攻击过程中可能造成内网带宽堵塞,被攻击机器无规律蓝屏等现象。攻击成功后立刻加密数据库、文档、照片、视频等有价值文件信息,威逼受害者交纳赎金。为了防止被警方通过银行资金流向追溯,病毒作者要求受害者以比特币等匿名数字货币方式支付赎金。

WannaCry病毒特点可以看出,能发挥其最大威力的环境就是存在大量没有安装永恒之蓝补丁机器的企业内网,而制造业的工厂生产线环境正好符合。

2.    制造业工厂为何难以防御WannaCry

根据腾讯御见在WannaCry爆发一周年时的统计,传统工业排名被攻击行业第二。基于传统安全观点,企业生产网络并不连接互联网,既所谓内外网隔离策略。考虑到这一情况,导致真实的病毒感染量难以统计,工业企业被攻击的数量可能远高于该统计。


工业企业(工厂)生产线环境的典型特点:存在各类使用Windows系统的设备,包括普通PC机器,自动化系统机器,IOT设备,移动存储设备,这些设备通常装有WinXP系统,嵌入式系统WinCE等较早版本的操作系统,部分工厂还会使用精简后的定制化系统。这些系统大多并不连接互联网。

在这种系统中,一方面是部分定制化系统过于老化,微软官方已不提供软件升级服务,另一方面这些系统往往安装工业生产、管理相关的独立软件,由于担心安装操作系统补丁后可能影响业务系统的稳定性、兼容性,厂方通常不会选择升级。因此,留下大量易被攻击的存在已知高危漏洞的系统。

老版本系统或者IOT设备无法安装杀毒软件,支持安装杀软的关键设备也通常选择不装,基本处于裸奔状态。

为了防御病毒威胁生产系统,当外来设备接入生产网络时,工厂会设置标准作业流程(SOP)要求先扫毒再连接内网网络。台积电事件中,由于操作人员没有严格遵循SOP,致使带毒机器直接接入企业内网,藏身其中的勒索病毒WannaCry引发了台积电各地工厂相继被感染。

制造业正迎来「工业4.0」的重大历史契机,面对需要将无处不在的传感器、嵌入式系统、智能控制系统和产品数据、设备数据、研发数据、运营管理数据紧密互联成一个智能网络的新模式,一个全新的安全需求正在产生。腾讯高级副总裁丁珂曾经指出:数字经济时代信息安全已不只是一种基础能力,还是产业发展升级的驱动力之一;安全是所有0前面的1,没有了1,所有0都失去了意义。

4

在这个大背景下,工业企业需要更进一步重视安全工作,重新审视内部安全体系是否符合「工业4.0」新形势下的需求。

3.    工业企业如何改进现有安全防护体系

1).首先要充分重视工业安全,树立“不抓好安全,一定会暴露问题影响生产能力”的观念。2017年本田汽车,2018年3月波音飞机/台积电感染WannaCry的案例就一再说明了这点,切勿再抱有不出事就先不动作的心态。

2).制度建设上明确责任归属。现有模式下公司内IT人员通常负责办公区信息安全工作,但是工厂生产线上的设备维护人员往往只负责保证产线顺利生产,信息安全工作缺少明确负责人。

3).摒弃安全依赖网络隔离+SOP的传统模式。如果隔离内网毫无安全措施,一旦SOP被突破(实际上随着IOT设备,手机,机器人等多类型软硬件体系接入,SOP被突破的可能性越来越大),病毒即可最大化感染。

4).积极梳理现有资产情况,根据重要度等指标进行分区分域,部署全网安全管理类产品(Security Operations Center),形成具备快速反应能力的纵深型防御体系。优秀的安全管理类产品可以通过监测网络流量等,及时发现病毒感染源并进行隔离处理,有效阻断病毒传播。

5).加强主机安全防护能力。首先可以考虑部署合适的终端安全管理软件,对不具备部署条件的机器,在做好兼容性测试的基础上,尽可能的修复系统补丁;如无需使用3389,445等敏感端口则尽量关闭。

6).引入设备供应链安全性评估和管理机制。对于工厂日常使用的各种操作机台、IOT设备,移动设备,采购或使用前自行或者寻找专业安全厂商协助评估安全性,尝试和供应商共同建设漏洞修复机制,设定产品安全准入门槛。

7).定期开展安全评估工作,确保问题发现、在线监测、防护加固、应急处置流程通畅。有条件的企业可以通过模拟突发安全事件进行演习。

4.    写在最后

尽管WannaCry利用永恒之蓝漏洞大范围攻击已过去一年多,但腾讯御见威胁情报中心监控发现,依然有部分企业、机构存在电脑未修复该高危漏洞。一年前爆发流行的WannaCry勒索病毒仍然在某些企业、机关、事业单位内网出现。

以医疗行业安全性相对较高的三甲医院为例:

42%三甲医院内依然有PC电脑存在永恒之蓝漏洞未修复
平均每天有7家三甲医院被检出WannaCry勒索病毒(所幸多为加密功能失效的病毒版本)

2017年受到WannaCry重创的英国健康与社会保障部,已经决定在未来3年投入1.5亿英镑加强该机构信息安全能力,并且成立数字安全运营中心提高防范、检测和应对网络安全事件的能力。

在另一端,勒索病毒团伙为了提高收益,已经将攻击目标从最初的大面积撒网无差别攻击,转向精准攻击高价值目标,比如直接攻击企事业单位、政府机关服务器。包括制造业在内的传统企业面临着日益严峻的安全形势。腾讯智慧安全愿与各行各业携手探讨 -- 「万物互联」的时代大背景下,如何建设与企业业务有机结合的动态安全体系。


参考材料:

1.医疗行业勒索病毒专题报告 

2.WannaCry蠕虫一周年,勒索病毒已花开遍地,还衍生出一个鲜为人知的新产业

3.如何评价全球晶圆代工龙头大厂台积电遭勒索病毒攻击而停产?

4.台积电电脑中毒背后的真正原因:每个工厂都在害怕

5.勒索病毒一个个冲着企业服务器来了,CSO们怕了么?


相关文章
最新资讯