解读台积电事件，制造业工控安全真的不堪一击？ – 作者:Hillstone

2017年席卷全球的WannaCry勒索事件还在被人们相互探究时，又一起勒索事件进入公众视野中。在2018年8月3日晚间，全球最大的代工芯片制造商台湾积体电路制造（台积电）发现遭受勒索病毒入侵，引发产线停摆，仅三天损失高达11.5亿元人民币。

而在这起事件中，最突出的问题便是台积电内网设备没有及时更新安全补丁，其实早在2017年3月，微软就已经发布安全补丁，但考虑到升级系统带来的兼容性等影响，许多企业，包括工控系统，仍然使用存在漏洞的主机以及系统进行工作，带来非常大的安全隐患。

纵观近十年的勒索软件入侵事件，在企业安全领域，制造厂商的工控安全已成黑客泛滥的重灾区。只要与网络相连，黑客几乎能够入侵各个行业的工控系统。国家工业信息安全发展研究中心的监测数据显示，2017年中心监测发现和处理研判的工控安全漏洞达到380个，与2016年相比呈现了跃升趋势，其中接近六成属于高危漏洞，对重要工业控制系统造成极大威胁。

事后，虽然台积电官方表示此次病毒入侵对其造成的影响并不算太大。但这一事件再一次给广大制造商敲响了警钟！网络让制造业的设备实现互联互通，在大大提升效率的同时，也暴露出越来越多的安全漏洞。勒索软件入侵最终目的往往是加密用户主机上的关键文件和数据，若设备升级所带来的降本增效都被黑客掠夺，这样的升级又有何意义？

下面将介绍两种不同的解决方案，教你如何采取相应的措施来防御流行的勒索软件家族以及勒索软件变种。

山石网科勒索软件防御方案

勒索软件等高级威胁往往采用不同的攻击手段，如WannaCry利用了MS17-010漏洞，而其他高级威胁通常会利用垃圾邮件，网站挂马等方式来进行传播，因此单一的防护策略往往无法起到有效的防护效果。

山石网科提出的勒索软件防御方案将勒索软件的生命周期分为攻击前、攻击中、攻击后三个不同的阶段，针对不同阶段的威胁入侵，采用对应防护手段，保证终端设备不受勒索软件的侵犯。

攻击前

开启垃圾邮件过滤服务

山石网科邮件过滤服务提供全球范围内最新的垃圾邮件情报，从发件人、正文内容、URL、附件等对个维度进行分析，能快速、高效对垃圾邮件和钓鱼邮件进行分类检测，拦截通过垃圾邮件进行传播的勒索软件。并且采用邮件哈希与云端交互，不泄露邮件内容，更便捷、安全。

• ●在对象界面，左侧垃圾邮件过滤菜单中，新建防护模板，开启针对垃圾邮件和群发垃圾邮件的防护。

▲启用邮件过滤

开启入侵防御服务

山石网科入侵防御服务是专业的网络入侵攻击检测和防御手段，提供8000+入侵规则，覆盖2-7层，包含被勒索软件广泛利用的漏洞，阻断勒索软利用漏洞进行入侵。

• ●在对象界面，左侧入侵防御菜单中，新建防护模板，开启针对漏洞入侵攻击防护。

▲启用入侵防御

开启IP信誉服务

山石网科IP信誉服务提供高效的风险IP流量过滤，防止暴力破解者，僵尸肉鸡，DDoS攻击者以及垃圾邮件发送者等攻击流量渗透进入企业边界，从勒索软件源头进行防护。

• ●在网络界面，左侧安全域菜单中，编辑安全域，启用边界流量过滤，开启针对网络恶意流量过滤。

▲启用IP信誉

开启恶意站点防护

山石网科病毒过滤服务内置恶意URL样本库，能对用户访问的站点进行管控，阻止用户访问存在勒索软件的恶意站点及钓鱼站点。

• ●在对象界面，左侧病毒过滤菜单中，新建模板，启用恶意网站访问控制。

▲启用恶意站点防护

攻击中

开启病毒过滤服务

山石网科病毒过滤服务是勒索软件家族有效的防护手段，在设备中内置百万级的病毒样本，包括诸多勒索软件家族的特征，在第一时间拦截勒索软件，防止终端设备感染勒索软件。

• ●在对象界面，左侧病毒过滤菜单中，新建防护模板，开启针对已知勒索软件家族进行防护。

▲启用病毒过滤

开启云沙箱服务

山石网科云沙箱服务是勒索软件变种检测的有效手段，在云端拥有10亿+海量恶意样本库以及仿真物理分析环境，通过静态样本匹配和动态行为分析，使勒索软件变种无所遁形，并为用户提供威胁检测报告。且通过威胁情报共享能力，只要有一台设备检测到了勒索软件变种，那么所有开启云沙箱功能的设备都能进行快速防御。

1）在对象界面，左侧沙箱防护菜单中，新建防护模板，开启勒索软件变种进行防护。

▲启用云沙箱

2）在iCenter界面，右上威胁菜单中，可以查看右云沙箱提供的未知威胁检测报告。

▲云沙箱检测报告

攻击后

开启僵尸网络C2防御服务

山石网科僵尸网络C2防御服务能够监控企业内网中的CC连接行为，发现内网受感染主机，防止僵尸网络/勒索软件等高级威胁进一步破坏企业内网。

• ●在对象界面，左侧僵尸网络C&C防御菜单中，新建防护模板，开启针对内网僵尸主机C2行为进行防护。

▲启用僵尸网络C2防御

山石网科内网威胁检测方案

山石网科推出内网威胁检测方案，通过部署山石智·感（智能内网威胁感知系统），无需依赖于静态的病毒签名匹配检测，而是通过机器学习和行为分析等多种智能安全技术进行全方位、多维度的内网未知威胁检测，在病毒爆发的第一时间发现威胁并通知管理员采取行动。

部署山石智·感后，开启2大智能安全功能，具体细节如下：

▲开启智能安全功能

高级威胁检测：实时分析勒索软件的网络行为并提取其恶意行为纳入行为特征库中，一旦勒索软件发生变种，山石智·感将实时采集恶意软件的网络行为与已提取的恶意行为作对比，一旦匹配成功就证明该恶意软件是已知某种勒索软件的变种。如下图所示，该主机产生的网络行为与蠕虫病毒Win32.Butileg的恶意行为相匹配，所以证明该主机感染了Worm/Win32.Butileg的变种病毒。

▲高级威胁检测（非本次事件）

异常行为分析：山石智·感通过机器学习为内网中的电脑和服务器建立行为模型，根据每台主机不同的网络行为量身定制行为模型并设定安全阈值，实时监测主机是否发生异常。如下图所示，主机在某个时间段内收到了大量的TCP-RST包，大幅度超出正常值，且山石智·感通过联动终端部署的sysmon服务定位到该主机使用了Nmap工具向内网发起了端口扫描，所以可以判定为主机发生了异常。

来源：freebuf.com 2018-08-17 14:00:59 by: Hillstone