躲過了「永恆之藍」，但工控系統並非高枕無憂

「永恆之藍」勒索蠕蟲全球攻擊事件漸漸平息，此次蠕蟲攻擊主要波及網際網路、企業內網和機構專網，尚沒有工業控制系統遭遇攻擊的事件發生，但這並非意味著工業控制系統可以高枕無憂，在類似「永恆之藍」這樣的安全威脅面前，工業控制系統也同樣面臨著巨大的安全風險。

工業控制系統大量使用了標準IT產品

工業控制系統（以下簡稱工控系統）基於IT技術，控制反應裝置、生產設備、交通運輸機車車輛等工業設備的運行，被稱為工業系統的「神經中樞」，廣泛應用於電力、核電、石油化工、軌道交通、智能製造等領域。

因IT行業的快速發展，工控系統大量使用了標準化的IT產品，例如標準交換機、PC機，Windows作業系統，軟體中間件等，在提高工控系統性能、降低採購成本的同時，也引入了信息安全風險。

Windows作業系統被用於核電、火電、石油煉化等高危險性流程行業工控系統中的操作員監控、實時資料庫、歷史資料庫等關鍵設備和組件，也被用於軌道交通信號系統的調度、聯鎖監控等關鍵操作。

工業場景圖

工控系統與IT系統在信息安全目標方面有所不同。

從某種意義上說，工控系統在面對信息安全威脅時更「脆弱」。

很多工控系統，特別是火電、核電、石油煉化等流程自動化行業的工控系統需要7*24小時不間斷運行，工控系統非正常停機將造成重大的經濟損失甚至會造成爆炸、環境污染等嚴重的社會危害。

某種信息安全攻擊，即使不對工控系統數據進行篡改或竊取，只是迫使工控系統不運行或不正常運行就會造成嚴重危害。

與此同時，工控系統相對IT系統產品更新換代周期長，一套工控系統普遍要使用十年以上，且大部分工控系統沒有進行充分的信息安全防護。

目前工業現場還大量使用Windows XP,Windows Server 2003等作業系統。

即使使用Win7等系統也普遍同教育網一樣沒有關閉445等埠，甚至有些工業軟體需要使用445埠進行文件傳輸，不能關閉。

這就造成工控系統比企業內網更容易受到病毒攻擊。

永恆之藍（WannaCry）病毒對工控系統的威脅

此次永恆之藍（WannaCry）病毒將Windows用戶文件加密，有可能造成安裝在作業系統上的工業軟體、實時資料庫等不能正常工作，造成整個工控系統不能正常運行。

目前大部分流程自動化和軌道交通行業的工業控制網絡並沒有同網際網路相連，永恆之藍（WannaCry）病毒沒有第一時間大規模侵入工業控制網絡。

如果病毒發生變種，如：潛伏期、U盤傳播等，病毒通過違規外聯、U盤擺渡等方式傳入的風險仍將存在，存在嚴重的安全隱患。

360工業網際網路安全實驗室對典型工控系統進行了永恆之藍（WannaCry）病毒發作推演和復現，發現此病毒嚴重影響工控系統正常運行。

360工業網際網路安全實驗室在仿真系統上試驗圖

針對IT系統的緊急處理措施不適用於工控系統

目前政府相關主管部門和許多機構、企業發布了IT系統應對永恆之藍（WannaCry）病毒的應對指南。

這些緊急處理措施有許多並不適用於工控系統。

例如：

1. 立刻進行作業系統升級，打補丁。
   
   

對於需要7*24小時不間斷運行的工控系統，不能隨意進行作業系統升級。

因為作業系統升級有可能需要重啟系統，也有可能在安裝過程中對工控系統正常運行產生影響，甚至有可能升級的作業系統版本與工業軟體存在兼容性問題。

工控系統的作業系統升級一般在停機檢修時完成，而且在升級前必須經過工控系統廠商嚴格的兼容性測試。

1. 立刻關閉445等埠。
   
   

如上文提到，有些工業軟體會用到445埠，不能關閉。

所以工業客戶如果想關閉445等埠，必須提前經過工控系統廠商確認。

1. 安裝殺毒軟體進行病毒查殺。
   
   

對於安裝殺毒軟體，常規IT系統殺毒軟體不能用於工控系統。

已經發生多起因殺毒軟體誤殺造成的工控系統停機事件。

工業控制系統可採用的應對措施

1. 摸清現狀,儘量做到實時監測。
   
   

立即採用工具或部署旁路檢測設備，監控工控系統網絡病毒感染情況。

目前很多工控系統都屬於信息安全「裸奔」狀態，工業企業對工控系統和工業網絡中的威脅情況一無所知。

緊急部署旁路檢測設備，監控工控系統網絡病毒感染情況是當務之急。

這些旁路檢測設備大部分都使用交換機鏡像流量，可以在工控系統運行時部署。

1. 部署結合大數據威脅情報的新一代工業態勢感知和安全管控平台。
   
   

結合雲端威脅情報大數據能力實時監測工控系統信息安全狀況，發現威脅，甚至可以進行攻擊溯源。

360工業態勢感知和安全管控平台

1. 可能的情況下，儘快升級最新補丁。
   
   

聯絡設備供應商，服務集成商，在確認補丁不會影響業務運營前提下，儘快升級相關補丁。

1. 加強管理，避免病毒傳入。
   
   

目前很多工控系統還沒有聯網，非法計算機接入和U盤可能是病毒最重要的傳播媒介。

所以工業企業須嚴格管理，避免非法計算機接入和非法U盤的使用，這是近期工業企業工控信息安全的重要任務。

雖然簡單，也是非常有效的手段。

1. 立刻備份，制定應急預案。
   
   

建議工業企業檢查自己的數據備份、版本管理情況，嚴格管理。

也需要建立企業的病毒處理預案，建議提前準備好經過安全防護處理的操作員站、伺服器等設備。

如果病毒發作，第一時間斷網，把經過防護處理的計算機投入使用。

有條件的話在工業網絡中架設kill switch域名服務。

1. 在停機檢修期間進行系統升級，部署工控系統專用防護設備和軟體。
   
   

企業在風險和成本分析可行的情況下，部署工控系統專用防護設備和軟體，例如：主機白名單軟體和工控專用防火牆，從而提升縱深防護能力。

此次永恆之藍（WannaCry）病毒的發作給行業敲醒了警鐘，我們切實感受到了勒索病毒的危害。

在RSA 2017大會上，工業勒索是信息安全專家重點關注的內容。

如何應對工業勒索的威脅，甚至考慮到如何系統化處理好工業安全問題，還需要國家高度重視，並進行頂層設計、系統實施、加強監管，需要工業企業、工控系統廠商、安全廠商共同努力。

工業安全需要走的路很長。

作者：360企業安全集團 王弢/楊東曉