網(wǎng)絡威脅：您當前的工業(yè)安全戰(zhàn)略是否完備?

　　現(xiàn)在，服務器和客戶端已恢復正常，諸如控制、可視化和批處理等生產(chǎn)系統(tǒng)也重新開始運轉，工廠生產(chǎn)也恢復如初，是時候反思最近事件了。

　　我還清楚地記得這一切是如何開始的。各大網(wǎng)絡媒體在頭條報道：“勒索軟件橫行!制造公司系統(tǒng)癱瘓，生產(chǎn)中斷!”這是您夏日一早醒來最不愿意面對的事情。

　　罪魁禍首是一種被稱為 Nyetya 或 NotPetya 的惡意軟件。NotPetya 最初被認為是勒索軟件，但是實質上是采用蠕蟲傳播方法的 Wiper 病毒。從現(xiàn)在開始，我們稱之為 WiperWorm。

　　有計劃的團隊謹慎地選擇應對措施，并有目的地執(zhí)行。有效的應對方法通常涉及計算機安全事件處理指南 (美國國家標準與技術研究所特別報告 800-61) 中提及的以下過程。

　　首先，評估影響范圍并分析事件成因，以便采取適當?shù)拇胧﹣砜刂剖录５谠S多情況下，這是不可能的。

　　不知何故，幾乎所有連接到工業(yè)控制系統(tǒng)網(wǎng)絡的 Windows 計算機都受到了 NotPetya WiperWorm 的攻擊。隨著恢復受感染系統(tǒng)的希望越來越渺茫，接下來的邏輯步驟是開始搜索現(xiàn)有的系統(tǒng)備份并試圖恢復。如果沒有備份，所有生產(chǎn)系統(tǒng)都需要從頭開始重建，這將是一個代價高昂、費時費力的難題。

　　對于那些幸運兒，備份提供了希望，但嚴格的恢復策略還涉及確保將恢復的系統(tǒng)置于一個孤立的網(wǎng)絡中，以防止再次感染。優(yōu)秀的網(wǎng)絡安全研究人員和工程師快速采取行動，就如何防止再次感染提供了關鍵情報。

　　● 修補 MS17-010 漏洞，防止 EternalBlue 和 EternalRomance 漏洞成功入侵系統(tǒng)。

　　● 禁用 wmic。

　　● 執(zhí)行注冊表修復，關閉所有管理共享 (如 C$ 和 ADMIN$)，切斷傳播途徑。

　　在恢復過程中也會面臨一些挑戰(zhàn)，比如某些 WiperWorm 傳播渠道也是生產(chǎn)應用的關鍵功能，因此禁用或限制訪問并非總是可行。

　　引自 Talos 對 NotPetya 的詳述：

　　NotPetya 有多種機制，用于在感染一臺設備后進一步傳播：

　　1、EternalBlue - 與 WannaCry 利用的漏洞相同。

　　2、EternalRomance - 利用“ShadowBrokers”泄漏的一種 SMBv1 漏洞

　　3、PsExec - 一種合法的 Windows 管理工具。

　　4、WMI - Windows 管理規(guī)范，一種合法的 Windows 組件。

　　結論是什么?如果您愿意的話，最有效的 WiperWorm 預防措施便是遵循良好的安全慣例：“從基礎做起”。關于這個主題的文章不計其數(shù)，但要點無非是：

　　● 在投入生產(chǎn)之前強化系統(tǒng)

　　● 盡量使用受限用戶帳戶運行

　　● 修補系統(tǒng)，并投資于完善的反病毒或端點安全解決方案

　　關鍵支持服務可幫助您在工業(yè)控制系統(tǒng)環(huán)境中實施良好的安全慣例。

　　訂閱經(jīng)過驗證的 Windows 修補程序

　　此類訂閱服務可為您的工業(yè)計算環(huán)境提供經(jīng)過驗證的最新 Windows 修補程序。例如，我們在穩(wěn)健的測試環(huán)境中驗證自身，以盡量減少應用影響的風險。通過將您的 Windows 服務器更新服務 (WSUS) 服務器連接到我們基于云的托管 WSUS，即可提供修補程序。

　　在您的 WSUS 上獲得修補程序后，您可根據(jù)自己的計劃將修補程序應用到系統(tǒng)。此外，網(wǎng)絡和安全服務還可幫助您根據(jù)需要開發(fā)/修改內部修補策略。

　　遠程修補程序和反病毒管理

　　此類服務有助于緩解與 Windows 修補程序和反病毒定義陳舊有關的風險，以及與修補步驟不當有關的風險。

　　例如，我們與工業(yè)計算環(huán)境建立安全遠程連接，以在管理環(huán)境變更的同時，監(jiān)控基礎設施和鏡像的健康狀況。

　　然后，我們與您一同確立修補和反病毒更新的節(jié)奏和規(guī)程，以在投入生產(chǎn)之前測試鏡像和應用程序的功能。

　　遠程備份管理

　　最后，此類服務有助于緩解與沒有備份和/或無法遠程獲取專家協(xié)助相關的風險，可促進相關服務的快速恢復。該服務提供強大的備份功能，可監(jiān)控備份完整性并執(zhí)行恢復。舉例來說，我們可以：

　　● 在工業(yè)計算環(huán)境中部署備份設備，配置以滿足系統(tǒng)的備份頻率和保留要求

　　● 對設備和備份的健康狀況實施遠程監(jiān)控

　　● 根據(jù)需要執(zhí)行遠程恢復服務，將鏡像恢復到先前已知“良好”的狀態(tài)

　　當防御 WiperWorm、勒索軟件或大多數(shù)其他惡意軟件突發(fā)事件時;最有效的戰(zhàn)略仍然是做好充分準備!

　　修補和強化系統(tǒng)以防止突發(fā)事件，如果您無法阻止，則確保已準備好從備份恢復關鍵生產(chǎn)系統(tǒng)。

　　使生產(chǎn)系統(tǒng)恢復正常運行，還是只能徹底重建生產(chǎn)系統(tǒng)——是否做好充分準備決定了您的命運。

　　借助我們的工業(yè)安全服務，確保各運營環(huán)節(jié)遠離安全威脅。

（轉載）