智能制造业现场处置实例
近日,威努特接到某高科技企业生产专业部技术人员反馈,其所在自动化生产车间10多台自控机床内嵌触摸屏无规律地发生蓝屏死机状况,已经影响到生产任务,希望我司技术人员能够进行现场排查并协助处置。
接到客户反馈信息后,我司技术人员第一时间到达现场进行处置,该客户为高新技术企业,生产网为纯内网环境,除设计图纸需移动介质导入导出外,无其他对外接触。
通过前期客户口述,“不定期、无规律”“蓝屏”“死机”等特点,初步怀疑是永恒之蓝引发的安全问题,到达现场后首先本地文件查杀,通过第三方杀毒软件检测发现,存在如下图所示告警:
图1 杀毒软件检测出问题
“Mssecsvc.exe”为WannaCry病毒的一个进程名,然后进行网络访问检查,当主机被攻陷后会主动去发包探索网内80、135、139、445等高危端口,现场情况如下所示:
图2 疑似攻陷主机随机发包
可以看到,主机在主动发包去探索开放445端口主机,结合之前客户蓝屏死机的症状、杀毒软件提示的高危险程序和网络肆意发包,可以断定设备是中了永恒之蓝,从而造成无法正常工作。
由于生产网络的封闭性,现场无法使用传统的杀毒软件、EDR等终端防护产品进行在线病毒库的更新和查杀,而且,客户现场系统老旧操作系统大多数为Windows7系统还有少部分Windows XP系统,现有的传统软件无法在老旧设备进行安装部署,少部分设备有部署免费杀软,但病毒库为2019年版本,未能及时更新病毒库,从而无法起到对应防护作用。结合客户现场实际情况和防护需求,协调我司单机版工控主机卫士进行安全部署,工控主机卫士可自动生成白名单,禁止白名单外的恶意程序和操作的执行,同时利用漏洞补丁功能及时对永恒之蓝等高危漏洞进行修补,最后将终端的运行状态、日志及告警信息等发送到统一安全管理平台进行汇总分析,在不改变客户现有主机设置的前提下解决了安全隐患,保障了生产秩序的稳定。
图3 工控主机卫士拦截永恒之蓝漏洞攻击
智能制造业主机安全痛点
通过上述案例,我们可以发现在智能制造行业中普遍存在以下几个痛点:
1
系统老旧,操作系统版本阉割,缺少安全组件被迫裸奔。
现场设备(工程师站、操作员站、服务器)以Windows操作系统为主,工控主机的操作系统版本老旧,存在大量Windows XP、Windows 2000、Windows2003 Server等老版本的操作系统,且主机性能较低,仅能满足业务软件正常运行的需要。为了保障业务正常运行,这些工控主机没有安全任何主机防护软件,处于无防护的“裸奔”状态,不具备安全防范能力;
2
杀毒软件形同虚设。
在生产系统中,系统的稳定性、连续性优先级要高于安全性,传统杀毒软件由于设计思路和产品规划问题,经常会误杀工控业务软件程序,影响生产业务,为保障业务的可用性,现场人员通常对工控主机中的病毒不做任何处理,且杀毒软件在大多数智能制造企业中无法自动升级病毒库,手动升级的方式则会大大增加运维工作量。
3
高危漏洞肆意利用。
通过上述实例可以看出,由于微软公司放弃对低版本操作系统维护,导致大量高危漏洞被利用,而生产现场为了保障业务系统可用性,也通常不会进行补丁更新,导致智能制造企业工控主机中存在的大量漏洞无法修补,存在极高的安全隐患。
4
移动介质技术管控不严。
现场设备上的USB接口、串口、蓝牙等接口未进行有效控制,在现场走访中发现,大多数采用物理封禁、设备摘除等方式进行外设管控,既不方便也不安全。
5
缺乏应对勒索病毒攻击防护手段。
随着勒索攻击专业化、团队化运作,近年来勒索病毒的种类趋于多样化,越来越多的新型勒索病毒、变种勒索病毒出现在大众的视野,传统的杀毒软件、EDR和备份软件已经无法解决企业面临的勒索病毒问题。
智能制造业主机安全防护策略
威努特提出以工控主机卫士为核心,结合安全U盘、移动介质安检站、统一安全管理平台于一体的解决方案,通过构建工控主机最小化安全运行环境,来保障工控主机安全。工控主机卫士已在数以千计的项目中部署应用超过10万点,充分满足智能制造企业的应用需求。
产品特点
01
低占用、轻量化部署
威努特工控主机卫士是一款轻量级的工控主机防护软件,正常运行时平均占用操作系统CPU8%、内存80M,对业务几乎不产生影响。从大量低性能老旧主机部署的现场案例来看,工控主机卫士能够保障低性能老旧主机的稳定性和高效生产;
02
兼容性好,适配度高
工控主机卫士具备轻量级特点的同时,兼具全面的操作系统兼容性,在全面支持主流Windows操作系统的基础上,也支持Win2000、Win XP、Windows2003 Server等老版本Windows操作系统,能与各种现场工控主机完美适配;
03
“白名单”锁定,构筑防御壁垒
在杀毒软件不适用于智能制造企业现场的情况下,工控主机卫士采用威努特国内首创的“白环境”防护理念,通过“程序白名单”功能模块进行操作系统应用锁定:只有可信任的程序才允许执行。由于智能制造现场业务是固定的,程序白名单无需频繁变动,不会增加运维工作的负担;
04
虚拟补丁防护,杜绝高危漏洞利用
采用虚拟补丁的方式,在保障业务系统可用性的前提下,针对常见的Windows系统高危漏洞进行主动防护,包括震网病毒利用漏洞MS08-067(CVE-2008-4250)、永恒之蓝利用漏洞MS17-010(CVE-2017-0143)、永恒之黑利用漏洞CVE-2020-0796等,并针对高危漏洞的利用行为提供详细的日志记录和告警信息;
05
移动外设管控,运维方便可控
工控主机卫士支持串口、蓝牙、并口、无线网卡、光驱接口管控,满足等保2.0拨号使用控制和控制设备安全要求;可对存储介质进行细粒度权限管控,结合移动介质安检站、安全U盘,可构建“三位一体”的介质管控能力。
结 语
结合智能制造企业的主机安全风险及防护难点,威努特通过白名单策略、威胁检测、移动介质管控体系、虚拟补丁漏洞防护、勒索病毒专项防护等方面实现了对工控主机、服务器的安全加固,防止恶意代码、勒索病毒的传播和对系统的破坏,助力智能制造企业构建生产网络主机安全防御体系,保障智能制造企业生产业务的安全稳定运营。
渠道合作咨询 田先生 15611262709
稿件合作 微信:shushu12121
?发表于:中国 北京
