1. 安全事件
事件1:某汽车轮毂制造厂中国大陆第一家铝车轮制造企业,全球最大的铝车轮及铝制底盘零部件供应商。生产制造车间多条生产线出现感染“永恒之蓝”病毒的主机。受感染主机在生产网内扩散传播许多老旧设备由于系统版本问题出现“蓝屏”现象,导致生产停滞。管理员尝试安装杀毒软件方式清理但工控主机系统多为定制化版本、计算资源少无法支持杀软正常部署运行。用于生产的X光机被“永恒之蓝”攻击时连续出现“蓝屏”现象无法通过安装杀软或增打补丁等方式进行修复导致整条生产线停工。
事件2:我国某大型轮胎橡胶制造厂业务遍布全球,具有30多年专业生产制造轮胎的历史。于2018年11月25日出现全网感染WMAMiner挖矿蠕虫,该病毒利用“永恒之蓝”漏洞横向在网内扩散。被感染主机超过120台,其中包括直接控制生产机床工控主机20台,80台左右生产机,约20台服务器。感染范围覆盖6个车间和办公区以及服务器,导致部分生产线直接停产,部分被漏洞攻击工控机出现蓝屏现象。
该厂每天生产值约1300万元左右,此次安全事件直接导致产值减半,直接经济损失约每天600万元,被公安部门责令限期整改。
根据2017年6月1日起施行的《中华人民共和国网络安全法》,运营企业发生以上类型安全事件知情不报,将违反其中第二十一条和第二十五条,公安部门根据第五十九条(网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。)做相应处罚和相关责任人追责。
2. 处置方案
1) 在网络内部部署杰思猎鹰主机安全响应系统,对感染病毒主机安装杰思安全探针。
2) 通过杰思安全管理平台分析具体安全事件现象确认问题根源,定位病毒感染范围。
3) 配置相应防护策略,及时阻止其横向扩散并对病毒主程序和挖矿程序禁止运行并隔离。
4) 对感染病毒主机做定点清除处理,使其快速恢复生产。
3. 防护方案 3.1. 系统安全基线加固
杰思猎鹰主机安全响应系统对全网主机进行安全基线监测提升管理员工作效率快速定位高风险主机中不合规配置并汇总,减少风险识别响应时间。
安全基线核查同时含盖Windows和linux平台,支持帐号与口令检查、密码生存周期检查、远程登录检查、网络与服务检查、日志审计检查、防火墙检查、系统安全配置检查等内容,核查项完全满足工信部等单位要求。 3.2. 网络访问区域隔离 杰思安全依据工控环境主机边界安全防护需求,以主机为保护对象的出、入站访问控制,达到主机网络微隔离。在跨平台、跨操作系统的工控环境中划分安全域,对不同生产线的不同类型主机进行访问控制。管理员有灵活的管理方式,不在受限于任何物理条件限制。 访问对象从地址和端口两个维度定义,结合安全域的划分,IP、端口、防护动作为一体的细粒度东西向访问控制,策略可集中统一管理。
3.3. 病毒入侵扫描防护 暴力破解同样是黑客入侵网络最直接的攻击方式之一,杰思猎鹰主机安全响应系统在网络层面采用了多种防护措施,对TCP洪水攻击、泛洪攻击、端口扫描等网络入侵行为进行检测和拦截。 3.4. 暴力破解防护 暴力破解同样是黑客入侵网络最直接的攻击方式之一,杰思猎鹰主机安全响应系统可针对身份认证暴力破解行为进行拦截,阻断恶意程序破译系统密码。
3.5. 移动存储设备管理 USB移动存储介质是威胁入侵的主要途径之一,没有严格的移动存储设备管理措施,将对整个网络环境安全带来极大的安全隐患。提供移动存储设备管理能力,可限制非可信移动存储设备的使用,并可根据分组或单个主机设定可信的移动存储设备。可有效控制物理主机通过USB口带入的安全威胁。
3.6. 主机环境强化控制 提供了非白即黑的主机运行环境强控机制,通过定义工控类主机安全运行基线,限定仅允许安全范围内已知的程序运行,限定主机最小运行权限,最大程度保障主机运行安全。杜绝一切不在安全范围内的程序运行,可以有效避免有意或无意的病毒传播,对未知威胁进行防护。主机环境强控机制针对具有高度安全防护需求的主机提供最有效、最可靠的安全解决方案。
4. 方案优势
4.1. 定制化系统完全兼容 杰思猎鹰主机安全响应系统能够适配工控系统中定制化的Windows及Linux操作系统,无需变更现有工控主机软、硬件环境就可以进行产品部署实施。系统中已部署ESET NOD32杀毒软件,存在资源占用过高现象,导致工控业务异常;与经过定制化的操作系统不兼容,Windows系统和Linux系统不能同时支持导致整个环境内无法全覆盖实施;病毒库更新不及时,导致对新型恶意程不识别。
4.2. 无感知运行模式 杰思猎鹰主机安全响应系统占用主机资源少对业务系统无影响。无感知的部署运行模式让安装和运维都十分简单,安装、卸载无需重启主机。产品安全防护能力无需依赖恶意程序特征库无需频繁升级,所有事件的呈现、分析、存储都在管理中心由管理员完成,无需现场操作极大的减少了管理员工作量。
4.3. 威胁事件深度溯源 杰思猎鹰主机安全响应系统从主机系统层面定位威胁,抓住威胁产生的源头,在主机系统内部深度追踪,梳理事件发生轨迹,呈现事件访问关系,通过模糊的碎片信息就能对事件做出精准定位。杰思猎鹰主机安全响应系统能够阻断威胁在网络内部的横向扩散,阻断主机系统的二次感染,从主机系统中找出威胁事件根源与扩散范围,管理员通过简单操作即可发现系统内威胁的来龙去脉。通过安全事件溯源能够提高安全事件的响应速度,缩短、响应快、缩短事件处理周期。
5. 方案价值 杰思猎鹰主机安全响应系统能够快速定位工控主机风险问题,溯源威胁影响范围,帮助管理员快速恢复生产。直接经济止损。
大量节约生产系统主机软硬件升级成本和升级改造时间。
|