工业勒索软件的预防和应急
勒索软件是指黑客加密用户计算机资产的一种恶意程序,黑客利用勒索软件加密用户数据和程序,使用户无法正常使用,并以此为条件要求用户支付费用解密恢复。
近两年无论国内还是国外的制造业越来越多工业控制系统遇到勒索软件的情况。从2020年4月,葡萄牙跨国能源公司EDP(Energias de Portugal)遭到勒索软件攻击。攻击者声称,已获取EDP公司10TB的敏感数据文件,并且索要了1580的比特币赎金(折合约1090万美元/990万欧元)。2020年6月8日,日本汽车制造商本田(Honda)表示,其服务器受到Ekans勒索软件攻击后。该事件影响公司在全球的业务,包括生产及销售。2021年美国输油管道公司Colonial Pipline遭Dark-side勒索软件攻击,导致东海岸液体燃料停止运营。
勒索软件主要形式:
1、文件加密勒索
2、系统锁定勒索
3、数据泄露勒索
工业勒索软件主要传播方式:
1、钓鱼邮件
2、漏洞传播
3、移动介质
4、供应链传播
工业勒索软件防御:
1、工控资产梳理和分级管理
用户需要针对自己所管理工控系统的资产建立装机量评估,梳理完整自动化资产清单,同时需要整理自动化资产的系统版本,IP地址,MAC地址,是否存在漏洞和必要补丁等。同时要建立与第三方系统链接(非工控系统之外均为第三方,比如IT,供应商等)风险识别,建立数据和控制的分类。
2、通过虚拟化减少攻击面
勒索软件90%主要是针对windows平台,用户通过采用虚拟化技术集合瘦客户机来替换实体工控机,虚拟化平台很好屏蔽针对windows勒索软件同时可以集中管理虚拟机,瘦客户机可以屏蔽传统计算机U口风险入侵。同时虚拟化可以通过快照形式快速回滚到未受感染的环境。
3、建立数据和系统的备份
OS系统和重要的文件或者数据要定期进行备份并采用隔离措施,严格限制对备份设备和备份数据的访问,同时备份系统要基于linux系统防止勒索软件横向对备份数据加密。
4、减少弱密码使用
传统工控系统的用户名和密码用户很少修改,增加勒索软件突破风险。建议密码不要少于8位,大小写字母+符号,同时每三个月更换一次密码,对于局域网内设备严禁使用同一密码。
5、建立杀软/补丁和端口管理
安装工控系统兼容的杀毒软件,并及时更新病毒库。同时根据工控系统厂商建议定期安装系统和工控软件的补丁,关闭不必要的端口,比如3389远程访问,22 ssh端口,以及135/139/445等局域网共享端口等。
6、建立身份和权限管理
建设基于工控系统的AD域控制器,加强用户的权限管理和身份登陆。建议使用双因子身份认证(用户名+密码和员工卡),细化权限管理,遵守最小特权原则和指责分离原则合理配置访问权限授权,尤其是第三方供应商。
7、建立IT/OT的隔离
采用IDMZ(工业隔离区)加强IT/OT网络之间的隔离和业务互通,采用代理分段技术实现信息互通和网络隔离,禁止直接IT网络直接访问OT网络设备,严格管理远程访问及端口,采用行为审计技术细化访问授权范围和数据分类,定期梳理访问控制策略。
8、建立工控系统威胁检测
采用工控系统及网络的全流量监控,在工控网络里产生任何流量都会被记录和审计,同时基于勒索软件的特征建立完善的监控机制和报警体系,一旦有勒索软件在工控网络内进行感染或者横向移动,都会第一时间通知用户做出及时的处理。
工业勒索软件应急处理方法:
1、隔离网络
实体工控机采用拔掉网线/虚拟化平台采用禁用网卡等方式切断受感染机器的网络连接,避免网络馁其他机器被进一步感染。
2、及时回滚
采用虚拟化技术上位机或者工作站,可以采用快照回滚的方式,让虚拟机恢复到未受感染的环境。
3、数据恢复
通过备份系统手动找到虚拟机的备份或者基于数据的数据备份,让系统能够快速恢复数据完整性。
4、专业排查
请类似工业安全红队IRTeam专业网络安全团队,查找勒索软件并溯源,彻底切断感染源。
