17000臺(tái)工業(yè)主機(jī)宕機(jī)，讓他開始調(diào)查“工業(yè)相親對(duì)象”黑歷史

在 360 企業(yè)安全去年處理的 100 多起大型的工業(yè)企業(yè)安全案例里，因?yàn)楣I(yè)勒索導(dǎo)致生產(chǎn)受到影響甚至停產(chǎn)的大廠多達(dá) 30 多個(gè)，最慘的一個(gè)廠家停產(chǎn)了 21 天。

然而，這些勒索軟件都不是被人故意種過去的，純屬誤傷。

但這也許是一個(gè)壞消息。

“我有點(diǎn)擔(dān)心，大家知道后會(huì)有勒索軟件特別有目的地搞工業(yè)勒索，今年已經(jīng)有苗頭了?！?60企業(yè)安全集團(tuán)副總裁左英男對(duì)雷鋒網(wǎng)宅客頻道（微信ID：letshome）說。

【左英男】

躺槍與巨額誤傷費(fèi)

這是一家知名的汽車制造企業(yè)，業(yè)務(wù)涉及汽車制造、電池生產(chǎn)、電路配件等不同生產(chǎn)線。這家汽車制造商的慘案發(fā)生在 2017 年年底，由于慘案已經(jīng)發(fā)生，安全人員能做的就是一臺(tái)一臺(tái)恢復(fù)主機(jī)。

難點(diǎn)在于，這個(gè)工廠里有很多不同的工業(yè)軟件，還有十幾種不同的工業(yè)協(xié)議，以及各種工業(yè)操作系統(tǒng)。在這 17000 多臺(tái)工業(yè)主機(jī)中，Window 7 Server 操作系統(tǒng)占了 50% 以上，排第二位是 Windows XP。

微軟中國(guó)早在 2014 年 4 月 8 日宣布停止對(duì) Windows XP 的支持。當(dāng)然，對(duì)于付費(fèi)的政企用戶，他們還是可以給予定期支持的。

不過，這對(duì)工業(yè)生產(chǎn)環(huán)境而言，并沒有什么用。

工業(yè)互聯(lián)生產(chǎn)環(huán)境，牽一發(fā)動(dòng)全身，更新慢，有時(shí)甚至為了生產(chǎn)環(huán)境穩(wěn)定，并不會(huì)更新。協(xié)議、工業(yè)軟件、操作系統(tǒng)十分復(fù)雜，加上自身適配較難，在非停產(chǎn)實(shí)施的環(huán)境下，安全人員花了整整一年，才把這家汽車制造企業(yè)所有的工業(yè)主機(jī)加上了主機(jī)防護(hù)。

有意思的是，這事本來(lái)和這個(gè)汽車制造企業(yè)沒有半毛錢關(guān)系，誰(shuí)能想到罪魁禍?zhǔn)资?2017 年 5 月 12 號(hào)爆發(fā)的永恒之藍(lán)勒索病毒的變種。

在人們的印象中，都快兩年了，這貨怎么還沒狗帶？很簡(jiǎn)單，兩個(gè)原因：

第一，變種橫行；

第二，有些系統(tǒng)沒有及時(shí)打上補(bǔ)丁，尤其是老舊的工控主機(jī)。

遭殃的不僅是這家汽車制造商，去年 8 月，臺(tái)積電位于臺(tái)灣新竹科學(xué)園區(qū)的 12 英寸晶圓廠和營(yíng)運(yùn)總部，突然傳出電腦遭勒索病毒入侵且生產(chǎn)線全數(shù)停擺的消息。隨后位于臺(tái)中科學(xué)園區(qū)的晶圓廠、龍?zhí)斗鉁y(cè)廠，以及臺(tái)南科學(xué)園區(qū)的晶圓廠也中招，臺(tái)積電在臺(tái)灣北、中、南的三處重要生產(chǎn)基地均因病毒入侵而導(dǎo)致生產(chǎn)線停擺。

即使到了今年 1 月，國(guó)內(nèi)一家著名的芯片生產(chǎn)線依然中招，它踩的坑叫做 Wanna Miner，就是利用永恒之藍(lán)的漏洞挖礦。

一個(gè)工業(yè)主機(jī)本身計(jì)算資源量就有限，承擔(dān)著 24 小時(shí)不停機(jī)的工業(yè)控制運(yùn)行，還要被耗費(fèi)里面大量的資源挖礦，整個(gè)生產(chǎn)系統(tǒng)變得極其不穩(wěn)定，系統(tǒng)開始出問題了……但是，永恒之藍(lán)勒索病毒剛開始并非針對(duì)工業(yè)場(chǎng)景。也就是說，只是因?yàn)楣I(yè)用的某些關(guān)鍵設(shè)備接入了互聯(lián)網(wǎng)，然后不知不覺被感染了。

因此，左英男將之稱為“誤傷”和“躺槍”：“工廠躺槍，這個(gè)問題就嚴(yán)重了，你家里有電腦，裝了一個(gè)挖礦軟件，不就占點(diǎn)資源，慢點(diǎn)無(wú)所謂，所以你覺得沒啥關(guān)系，但是工業(yè)現(xiàn)場(chǎng)的主機(jī)不行，我們?cè)娺^最老的一臺(tái)工業(yè)主機(jī)，只有 250 兆內(nèi)存，硬盤 4 個(gè)G。在這么老舊的系統(tǒng)環(huán)境下，要是挖個(gè)礦，整個(gè)崩潰，因?yàn)榭刂七壿嫑]有了，接著整個(gè)生產(chǎn)線停掉，這叫誤傷。”

這樣的“誤傷”給工廠造成了巨大的損失，可能會(huì)給攻擊者“發(fā)財(cái)致富”提供新思路——專門針對(duì)工業(yè)主機(jī)開展勒索攻擊，隨隨便便要個(gè)100萬(wàn)贖金，不然工廠將因停產(chǎn)、關(guān)鍵數(shù)據(jù)加密等遭受更多的損失。

在一些新聞報(bào)道中，臺(tái)積電因停擺三天損失超過了 5 億美元。

冰冷工業(yè)“銅墻鐵壁”瓦解

對(duì)抗思路早就有了。

左英男認(rèn)為，全員身份化這種2007年就提出的理念對(duì)于工業(yè)互聯(lián)網(wǎng)的安全架構(gòu)而言，可以解決新問題。

區(qū)別于傳統(tǒng)互聯(lián)網(wǎng)的邊界，工業(yè)互聯(lián)網(wǎng)的“銅墻鐵壁”已經(jīng)因?yàn)椴辉俜忾]而全面瓦解：因?yàn)樾畔⒌墓蚕硇枨螅俗约旱膯T工，外有外包商、合作伙伴；除了人，還有各種各樣的工業(yè)互聯(lián)網(wǎng)設(shè)備。多元的設(shè)備、平臺(tái)、業(yè)務(wù)讓原來(lái)傳統(tǒng)的數(shù)據(jù)中心變成了虛擬的數(shù)據(jù)中心，很多數(shù)據(jù)資產(chǎn)被放在了云上，工業(yè)企業(yè)不再有100% 的控制權(quán)。

2018 年，左英男所在的 360 企業(yè)安全對(duì)外提出了針對(duì)工業(yè)互聯(lián)網(wǎng)的零信任架構(gòu)，它的邏輯就是——我在沒有完全確認(rèn)的情況下，我不應(yīng)該相信內(nèi)部和外部任何設(shè)備甚至人，我要給他們建立一個(gè)身份標(biāo)識(shí)。

這一思路脫胎于以前谷歌針對(duì)企業(yè)內(nèi)部提出的零信任架構(gòu)。

在工業(yè)場(chǎng)景下，現(xiàn)階段遇到的最明確的場(chǎng)景就是工業(yè)物聯(lián)網(wǎng)設(shè)備的接入。比如，以前電表不會(huì)有智能化網(wǎng)絡(luò)的概念，就是經(jīng)由電線連接，現(xiàn)在很多電表卻是由“一根網(wǎng)線”連接。這意味著，所有的電表將暴露在攻擊者的視野中，他們多了無(wú)數(shù)條可能切入的入口。

如何確保智能電表不是攻擊者偽裝攻擊的一臺(tái)計(jì)算機(jī)？

“你要做確認(rèn)、驗(yàn)證、持續(xù)的驗(yàn)證，度量它的風(fēng)險(xiǎn)。因?yàn)殡姳砜梢栽L問后端業(yè)務(wù)系統(tǒng)，采集、交互數(shù)據(jù)，是一個(gè)非常穩(wěn)定的模型，你發(fā)現(xiàn)有異常，突然出來(lái)一個(gè)WannaMiner這樣的協(xié)議，那肯定有問題，所以也是基于行為的方式發(fā)現(xiàn)現(xiàn)有問題，就及時(shí)對(duì)它做出動(dòng)態(tài)的調(diào)整，這就是零信任架構(gòu)核心的理念?！弊笥⒛袑?duì)雷鋒網(wǎng)說。

查行為：堪比調(diào)查相親對(duì)象黑歷史

查出攻擊者經(jīng)歷了“三代”過程。

第一代技術(shù)屬于“查黑”。從 1986 年到 2000 年，病毒種類比較少，每年幾百個(gè)，傳播速度比較慢，只要病毒一出來(lái)，研究它的特征，提取后放在黑名單里，只要在黑名單里，肯定是壞人，這是查黑的技術(shù)。

從 2000 年到 2010 年，互聯(lián)網(wǎng)蓬勃發(fā)展，病毒也出現(xiàn)兩個(gè)特征，第一，傳播速度非?？欤^去一個(gè)病毒可能在幾周，甚至幾個(gè)月里傳播量也不會(huì)太大。第二，在互聯(lián)網(wǎng)時(shí)代，病毒有自己的獲取經(jīng)濟(jì)利益的模式，病毒的樣本變異非常快，每天面對(duì)的可能是百萬(wàn)級(jí)的病毒樣本，再把病毒一個(gè)個(gè)搞出來(lái)查殺，顯然不可行。

黑名單變得龐大無(wú)比，變得不可運(yùn)行，所以就出現(xiàn)了第二代白名單技術(shù)——不去管壞的，把可以信任的程序添加到名單，只要在名單，就允許運(yùn)行，不在名單里，就徹底不讓它運(yùn)行。

在工業(yè)場(chǎng)景下，白名單技術(shù)大有用武之地。在一臺(tái)工業(yè)主機(jī)上，運(yùn)行的工業(yè)軟件非常有限，僅是工業(yè)軟件在控制傳感器運(yùn)行，數(shù)量很有限，只要把設(shè)置白名單，其他任何程序進(jìn)程都不允許運(yùn)行，這樣就能有效避免病毒和惡意代碼攻擊。

2015 年，攻擊者進(jìn)化了。他們開始利用可信的程序，甚至是 Windows 操作系統(tǒng)的進(jìn)程執(zhí)行惡意操作，簡(jiǎn)直就是“披著羊皮的狼”，繞過了白名單的控制機(jī)制。

于是，第三代惡意代碼防范技術(shù)來(lái)了。這代技術(shù)的核心堪比篩選相親對(duì)象——任何一個(gè)程序在終端上的所有行為都要被記錄且比對(duì)，它開展了哪些進(jìn)程，打開了哪些文件，調(diào)用了什么函數(shù)，做了哪些操作，包括在網(wǎng)絡(luò)上的行為，連接了哪些網(wǎng)絡(luò)端口，使用什么協(xié)議，發(fā)送什么樣的數(shù)據(jù)。

雷鋒網(wǎng)了解到，因?yàn)槠涔δ苁窍鄬?duì)確定的，行為也是相對(duì)確定的，通過數(shù)據(jù)采集與分析建模，能夠建立起軟件程序的行為極限。一旦發(fā)現(xiàn)異常行為，就要開始告警，并引入人工分析，有效地清理發(fā)生異常行為的程序，這就是查詢技術(shù)的源頭。

第三代查行為技術(shù)十分依賴大數(shù)據(jù)、數(shù)據(jù)建模和機(jī)器學(xué)習(xí)。左英男認(rèn)為，優(yōu)秀的查行為技術(shù)要通過長(zhǎng)期的數(shù)據(jù)采集與大量數(shù)據(jù)采集建模，不斷優(yōu)化模型，建模建得越準(zhǔn)，異常操作就越能準(zhǔn)確發(fā)現(xiàn)。另外，查行為技術(shù)還要配合長(zhǎng)期運(yùn)營(yíng)和優(yōu)化。

左英男很有信心。他想，既然在非工業(yè)互聯(lián)的場(chǎng)景里，數(shù)據(jù)可以記錄人們長(zhǎng)期用鼠標(biāo)、摸手機(jī)的習(xí)慣，最后甚至可以實(shí)現(xiàn)不需要用戶輸入口令就能打開設(shè)備，那么在這些技術(shù)創(chuàng)新之下，冷冰冰的巨型工業(yè)設(shè)備，也許也能敞開溫暖的懷抱，知道你就是你。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。