工控安全工业网络病毒的防范与治理
由于工控网络的相对封闭性,目前针对工控系统的攻击以APT(恶意软件为载体)、病毒、木马、勒索软件等恶意程序为主。恶意程序通过自我复制、主动探测、自动传播等方式,可在工业网络内快速扩散,造成网络延迟、主机失效、业务波动,甚至造成物理损坏、业务停产等严重后果,对工业企业安全生产构成极大威胁。
1. 当前问题与风险
- 随着工控安全行业的蓬勃发展,工控系统漏洞发现数量与日俱增,为网络攻击以及病毒的滋生与传播创造了适宜环境。
- 当前工业系统、工业网络大多以“物理隔离”为核心安全手段,内部工业系统处于“原始裸机”状态。
- 以勒索软件为代表的新型恶意软件不断出现,对工业系统安全运营构成威胁。
- 针对工业领域的网络攻击呈组织化、递增化发展,且攻击方式呈现多样性。
2. 传统杀毒与白名单软件
2.1. 传统杀毒软件的不足
- 工业企业当前网络安全意识以及安全建设水平较低,无法适应新环境、新技术、新政策下的工控安全需求。
- 传统防病毒软件以查杀引擎和漏洞库为核心,由于工业环境的相对封闭性无法保证杀毒软件的及时更新,导致防病毒措施形同虚设。
- 传统防病毒软件存在误杀、误报,从而对工业主机系统、控制软件、组态软件的稳定运行产生不利影响。
- 工业环境存在大量windows XP、windows 2003等老旧操作系统,传统杀毒软件由于追求新特性、新功能的需要,对老旧操作系统以及软件存在部分兼容性问题。
- 大量现存工业主机系统由于投入运行时间较长,系统性能普遍较低,安装杀毒软件可能造成业务系统波动。
2.2. 白名单软件的适用性
- 工业主机系统承载业务功能稳定。
- 工业主机系统配置稳定。
- 工业主机系统软件应用稳定。
- 工业主机系统网络流量相对稳定。
基于以上特点,白名单软件产品可良好适用于工业场景,有效免疫病毒、木马、勒索软件等可执行程序的滋生与运行。
3. 病毒的防范与治理
根据工业网络、工业系统的运行与使用特点,病毒防治可从三个要素入手:终端、网络(可分为网络通信和网络边界)、人。
3.1. 终端病毒防治
工业终端指具有信息输入、处理以及输出的泛终端,既包括PC、手机、平板等传统设备,也包括控制设备、智能仪器仪表、人机交互等工业现场设备。由于各类型终端设备使用场景的不同,目前病毒滋生主要以传统设备为“温床”,因此终端病毒防治以传统终端防治为主,以其他控制以及智能化终端为辅。
防治核心:防止病毒滋生、运行、传播,消除病毒载体隐患。
措施:白名单软件、主机安全加固。
3.1.1. 白名单软件
事前病毒防治:根据工业企业生产业务建立相应的业务软件(工具)库,并对各软件完整性进行校验,保证工业企业软件分发源头的安全,防止带毒软件、带毒工具被分发到各终端系统,实现事前预防。
事中病毒防治:通过白名单软件对终端系统内的可执行文件进行执行权限控制,只允许经授权、认证的程序运行,实现事中的主动防御。
事后病毒防治:通过对主机系统日志、文件日志、操作日志的审计,实现对事后安全事件的调查取证与操作审计。
3.1.2. 主机加固
主机加固在主机上线前或离线进行,以保障主机系统的可用性以及工业业务的连续性。
主机加固包含但不限于以下内容:
- 主机补丁验证与修复
- 主机病毒查杀与免疫
- 主机账号权限体系检查
- 主机密码体系检查
- 主机配置基线检查
还可根据现场业务需求对主机进行内核加固、双因子认证等安全加固措施。
3.2. 网络通信病毒防治
网络通信病毒防治以协议的深度解析以及数据流量、数据包逆向还原为基础,并结合现场工业业务以及工业网络建立通信数据模型,通过协议、数据包、流量、业务、行为的综合分析实现病毒发现与预警。
防治核心:病毒发现、传播控制、病毒传播预警。
措施:基于协议深度解析的流量、业务、行为的综合审计与监测。
流量业务审计与监测包括但不限于以下内容:
- 异常网络连接
- 异常端口
- 异常数据指令
- 异常请求访问
- 协议类型异常
- 协议通讯异常
- 业务流波动
- 业务流变动
- 业务流超限(行为基线)
- 控制行为异常
网络通信的病毒防治应与现场业务流程紧密结合,以协议、流量数据为基础,以业务流程为核心进行审计与病毒监测,从而减少误报。
未完待续。