项目背景
2019年,威努特技术服务部接到客户技术咨询电话。来电的是国内某知名汽车制造企业,其总装车间疑似受到病毒攻击,近期厂内出现2次生产现场停机事故,同时伴有工位激光刻标机软件死机情况,导致生产停滞。发生故障时,设备软件无法正常运行,电脑主机死机无法进行正常操作。为了防止病毒进一步扩散,威努特立即成立病毒应急处置小组,对现场情况进行分析处置。
通过沟通了解,该汽车制造企业总装车间是在2019年初正式投入使用,车间在各个环节上都有精密的智能化机器作业。车间采用大量先进的工艺和设备,智能化工位占到全部工位数量的80%以上,是目前国内最先进的智能工厂和绿色工厂。
处置和分析过程
处置:
威努特技术工程师第一时间赶到现场后,通过现场检查、工具检查等多种组合方式查出trojan.generic木马病毒文件等共计14项病毒。清除病毒后并重启电脑后,故障暂时解决,恢复生产。
处置步骤:
步骤1:硬盘克隆;
步骤2:克隆盘全盘杀毒;
步骤3:专用工具检测,修复漏洞;
步骤4:安装工控主机卫士,开启防护;
步骤5:克隆盘替换原盘,并进行生产任务测试;
分析:
由于现场工控主机和相关设备的USB接口已通过管理手段全部禁用,初步判断染毒主机通过U盘等外设传播的可能不大,较大概率是遭受工厂内网病毒攻击,最终被传播感染病毒。基于此时的分析,威努特技术服务工程师利用网络威胁感知系统对核心交换机上生产车间流量进行统计,并对病毒进行进一步分析。
利用网络威胁感知系统发现失陷主机12台。如下图所示:
图1 网络威胁感知失陷主机发现
备注:
已失陷:已中毒,存在很大可能已经被控制
高可疑:疑似中毒,被攻击,存在一定可能已经被控制
低可疑:疑似中毒
解决方案
如何彻底解决企业工业生产系统的病毒问题是关键。威努特技术工程师根据集团和工厂工控生产网络的安全现状并结合工控系统运行环境相对稳定,系统更新频率较低的特点,结合工业和信息化部印发的《工业控制系统网络安全防护指南》关于工控主机安全软件的选择与管理中的要求,提出基于“白名单”机制的工业控制系统网络安全高级持续性威胁安全防护解决方案,并采用分步实施的方式对方案进行落地。
第一步:保证主机不被病毒入侵
对生产系统内的工程师站、操作员站、服务器等重要业务主机部署工控主机卫士,利用工控主机卫士的白名单技术对主机进行安全加固,保证只有经过授权的可执行程序才能够执行。绝大多数病毒均以可执行程序的形态存在,一旦病毒无法启动,就能够将病毒的危害降至最低。
图 2 工控主机卫士白名单
第二步:保证关键业务配置文件不被篡改
在此次病毒攻击事件中,病毒对关键的业务程序进行了破坏,这也是业务程序经常出现卡顿、无法正常使用的根源所在。在方案中利用工控主机卫士的强制访问控制功能,利用BIBA和BLP模型对关键业务配置文件进行保护,防止其被非法篡改。
第三步:保证网络内无基于APT的攻击行为
在核心网络中部署网络威胁感知系统,利用基因图谱模糊比对技术,结合恶意代码变种检测技术,将可疑文件映射为无法压缩的灰阶图片,根据相似度判断是否为威胁变种。
通过网络威胁感知系统共发现APT攻击、系统漏洞攻击、情报外联、挖矿行为等多种威胁行为同时基于异常流量主机,中毒设备的排查,最终总共完成59台工控机的排查。
图 3 APT攻击发现
图 4 漏洞攻击发现
图 5 情报外联行为发现
其中,II.HAQO.NET;I.HAQO.NET,疑似挖矿病毒服务器。
图 6 挖矿行为发现
第四步:横向隔离,控制病毒扩散范围
在各生产车间之间安装网络隔离设备并精确配置安全策略,禁止高危端口,定期整理清除无用策略。
解决方案总结
此次工厂生产网总体方案设计如下图所示:
图 7 工控网络总体安全防护图
应用效果
本方案建设完成后全面提升了生产网工控系统的安全性,确保网络系统、主机系统的可靠性、稳定性、高效性,同时提高工业控制系统高持续性威胁防护能力。
可实现对工控系统的主机、服务器的安全防护,通过白名单机制构建可信程序执行基线,阻止病毒木马、恶意软件对操作系统的破坏;可实现对工控系统中的控制器的有效防护,建立基于工控协议深度解析的白名单的访问机制,实现MES系统与上位机、控制器之间的逻辑隔离、报文过滤、访问控制;可实现对工控系统的工控主机、服务器进行基线安全加固,主要加固内容为身份鉴别、资源控制、安全审计等内容;可提高工控网络整体防护能力,通过工控网络的安全体系的建设,使工控生产网络可以有效防护内部、外部、恶意代码、APT等攻击,安全风险降低到可控范围内,减少安全事件的发生,保护工控系统能够高效、稳定运行,减少因为系统停机带来的生产损失。
热门跟贴