今日頭條
官方微信
官方抖音
資訊頻道2017年5月12日晚20時左右,全球爆發(fā)大規(guī)模WannaCry勒索病毒感染事件,國內(nèi)眾多安全廠家積極響應(yīng),分析報告無數(shù),各家的應(yīng)對方案也接踵而來,但是事后諸葛亮的辦法并不能給人們以更多信心,有哪款產(chǎn)品事前可以預(yù)防此類病毒?面對如此疑問,各家都保持沉默,不禁讓人相當(dāng)?shù)谋^。但是好消息傳來,工控安全專業(yè)公司威努特日前發(fā)消息稱,其在某油田現(xiàn)場部署的工控主機(jī)衛(wèi)士安全軟件,在WannaCry勒索病毒被發(fā)現(xiàn)前即已成功攔截WannaCry運行,保護(hù)了客戶主機(jī)。
事件發(fā)生在某油田第二采氣廠,2016年曾部署威努特公司工控安全防護(hù)產(chǎn)品,其官網(wǎng)有案例可查http://www.winicssec.com/Index/show/catid/17/id/122.html。
發(fā)現(xiàn)WannaCry的電腦位于油田采氣廠調(diào)度中心,中心有兩臺配置完全一樣的計算機(jī),每臺計算機(jī)都安裝兩張網(wǎng)卡,一張與采氣廠控制網(wǎng)絡(luò)、服務(wù)器通信,另外一張與西安總部通信,總部辦公網(wǎng)有多臺計算機(jī)感染W(wǎng)annaCry病毒。兩臺計算機(jī)都安裝有霍尼韋爾的EPKS組態(tài)軟件,其中一臺計算機(jī)(計算機(jī)B)沒有安裝工控主機(jī)衛(wèi)士軟件,感染了WannaCry病毒,文檔文件以及圖像文件無法正常使用,文件的擴(kuò)展名也被修改成”.wncry”,同時系統(tǒng)桌面出現(xiàn)勒索信息,如圖1;
另一臺計算機(jī)(計算機(jī)A)安裝工控主機(jī)衛(wèi)士軟件,并未被病毒感染,病毒文件被工控主機(jī)衛(wèi)士阻止并產(chǎn)生應(yīng)用程序告警日志,如圖2所示。
安全軟件事前即成功攔截6501495795077104532.png "Wannacry并非無解 國內(nèi)安全軟件事前即成功攔截6501495795077104532.png")
安全軟件事前即成功攔截6521495795088794323.png "Wannacry并非無解 國內(nèi)安全軟件事前即成功攔截6521495795088794323.png")
圖1 現(xiàn)場WannaCry病毒感染情況
安全軟件事前即成功攔截6741495795101170276.png "Wannacry并非無解 國內(nèi)安全軟件事前即成功攔截6741495795101170276.png")
安全軟件事前即成功攔截6761495795113666691.png "Wannacry并非無解 國內(nèi)安全軟件事前即成功攔截6761495795113666691.png")
安全軟件事前即成功攔截6791495795122122937.png "Wannacry并非無解 國內(nèi)安全軟件事前即成功攔截6791495795122122937.png")
圖2 工控主機(jī)衛(wèi)士阻止記錄和告警日志
兩臺主機(jī)對比如下表所示。病毒是通過和總部的信息網(wǎng)連接被感染的,由于工控網(wǎng)和信息網(wǎng)連接在同一臺主機(jī)的兩張網(wǎng)卡上,網(wǎng)卡隔離不但沒有起到安全隔離作用,反而成了攻擊的跳板。幸運的是,調(diào)度中心的主用計算機(jī)安裝了工控主機(jī)衛(wèi)士,阻止了病毒的執(zhí)行,并進(jìn)一步阻止了病毒向控制網(wǎng)的擴(kuò)散,避免了損失的擴(kuò)大化。
表1 調(diào)度中心計算機(jī)對比表
在病毒爆發(fā)不久,曾有網(wǎng)友在國內(nèi)知名安全論壇卡飯論壇上發(fā)布了對國內(nèi)外數(shù)十款殺毒軟件的啟發(fā)測試,結(jié)果表明在新病毒出現(xiàn)到殺軟入庫之間的這段空檔期里,這些殺軟全部都不能很好地保護(hù)我們的電腦。在掃描測試中,最高的查殺率也不過四分之一,這種比例與面對舊威脅時90%以上的比率形成了鮮明對比。
工控主機(jī)衛(wèi)士卻能在工業(yè)現(xiàn)場生效,根本原因是其采用了與殺軟“黑名單”查殺模式完全不同的“白名單”主動防御模式。2016年,工信部在發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中的第一條:安全軟件的選擇與管理中,明確提出“在工業(yè)主機(jī)上采用經(jīng)過離線環(huán)境中充分驗證測試的防病毒軟件或應(yīng)用程序白名單軟件,只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運行”,將白名單軟件放在了和防病毒軟件同等的位置。所謂“白”是指好的、可信的,即只有可信任的設(shè)備、軟件和數(shù)據(jù),才允許在工控網(wǎng)絡(luò)內(nèi)部流通,其他惡意的、不明確的或者規(guī)定不允許的東西都不允許流通使用。這有別于“黑名單“的處理方式,即通過建立病毒庫、逐條匹配查殺,只有設(shè)備、軟件和數(shù)據(jù)被識別為“黑的”,才會被阻止運行。
防護(hù)理念的不同決定了效果的不同。不管WannaCry利用了什么漏洞,使用了多么先進(jìn)的攻擊手法,但是工控主機(jī)衛(wèi)士還是能將之拒之門外。無論其將來出現(xiàn)多少變種,經(jīng)過多么強大的升級也依然無法對被工控主機(jī)衛(wèi)士保護(hù)的主機(jī)造成威脅。如果我國的工業(yè)主機(jī)都能部署工控主機(jī)衛(wèi)士的安全防護(hù),其抵御安全威脅的能力無疑將提高數(shù)個級別。
北京市公安局海淀分局備案號:11010802023656號