今日頭條
官方微信
官方抖音
資訊頻道8月7日,已經(jīng)是臺積電生產(chǎn)網(wǎng)絡及管理總部遭受大面積中毒的第5天,網(wǎng)絡安全企業(yè)、媒體都在積極反饋、出謀劃策。但根據(jù)媒體廣泛報道來看,作為承擔全球近六成芯片代工業(yè)務的高科技公司,其網(wǎng)絡安全建設絕無可能是一張白紙,甚至在5個多月前還有主管防黑客工作在臺積電任職22年的資深副總經(jīng)理左大川,他主導的安全體系Defense in Depth類似我們常常提到的縱深防御,臺積電內(nèi)部還開發(fā)過一套軟件,只要黑客一有動作,就很快被抓到。但!這次還是在臺灣北、中、南三處重要生產(chǎn)基地同步遭受病毒入侵,導致部分廠區(qū)生產(chǎn)停擺。
從臺積電遭遇病毒的過程來看,第一沒有抵擋病毒的入侵;第二沒有監(jiān)測出病毒的傳播的范圍,第三沒有阻止第二時間病毒的蔓延。
||讓人不禁唏噓,整個生產(chǎn)網(wǎng)絡還是非常脆弱的。對!非常脆弱!工控安全一個必須要接受的事實就是要在生產(chǎn)網(wǎng)絡脆弱性得不到根本改善的前提下開展安全建設且要有相當安全防御能力||
筆者在此不做全面討論,僅針對工業(yè)主機安全防護展開探討。在臺積電事件中,有一點不難推論即其工業(yè)主機存在遠程溢出漏洞,安全措施缺失或失效。對于工業(yè)企業(yè)用戶而言,工業(yè)主機長時間存在系統(tǒng)漏洞是現(xiàn)狀也是預期,這就是我們必須要接受的事實。如何應對此問題,筆者提出“ABC”工業(yè)主機安全防護理念
1、 AWL(Application White List)應用程序(文件級)白名單技術
2、 Before and After 存儲介質(zhì)使用前、使用后殺毒
3、 Configuration Management主機配置安全管理
AWL(Application White List)
經(jīng)過近幾年工控安全產(chǎn)業(yè)實踐,基于應用程序啟動控制的“白名單”技術由于其資源占用小、兼容性好、可抵御“0day”,尤其是不存在升級且規(guī)避了殺毒軟件誤殺的問題已經(jīng)被廣泛接受和應用。但其實AWL也存在“庫”的問題,即支持的PE(Portable Executable)文件種類。當前惡意程序越來越多的通過“腳本”、“宏”、“遠程溢出”等方式感染,市面大多AWL產(chǎn)品還停留在針對exe、bat、dll文件甚至進程級的控制,面對越來越高級的病毒傳播方式顯得束手無策,自身都漏洞百出。考察一款AWL產(chǎn)品是要特別注意以下三點:
1、 AWL產(chǎn)品支持的PE文件類型種類是否豐富
2、 AWL產(chǎn)品自身強壯性是否可靠
3、 AWL產(chǎn)品工程實施是否具備可行性
Before and After
毫無疑問,U盤、移動硬盤等移動存儲介質(zhì)是工控網(wǎng)絡病毒引入的最主要途徑,AWL作為最后一道防線解決惡意程序執(zhí)行問題,而Before and After要解決工業(yè)主機物理接觸引入病毒問題。這里的“一前一后”要求移動存儲介質(zhì)使用前使用后都要進行一次完整的病毒查殺動作,確保存儲介質(zhì)不攜毒。但要注意,配合這個管理動作需要一臺安裝防病毒軟件的“中間機”,對“中間機”要求一不聯(lián)網(wǎng)(包括互聯(lián)網(wǎng))、二要持續(xù)更新、三要有自身安全防護。經(jīng)過實踐表明在存儲介質(zhì)使用過程中完成一次B&A,移動存儲介質(zhì)攜毒現(xiàn)象幾乎可以降低為零。
Configuration Management
B&A解決了物理接觸引入病毒問題,而配置管理要重點解決工業(yè)主機作為網(wǎng)絡中一個節(jié)點面臨網(wǎng)絡威脅的問題,包括本次事件以及2017年WannaCry在內(nèi),都指向了一個基本問題即操作系統(tǒng)基本安全配置缺失門戶大開,給惡意程序的入侵蔓延提供了“沃土”。安全配置換一個說法其實就是最小化的問題,僅提供工業(yè)主機承擔生產(chǎn)業(yè)務的最小化環(huán)境,關閉或刪除不需要的端口、服務、程序等一切資源。這里的安全配置可以是手工完成,當然對于臺積電這樣體量的生產(chǎn)型企業(yè)最好有一套可集中管理、統(tǒng)一策略的主機配置核查管理系統(tǒng),集中統(tǒng)一提高工業(yè)主機的自身強壯性。
以上探討的“ABC”也同時映射了工業(yè)主機面臨的3個主要問題:
主要問題1:非法及惡意程序運行
主要問題2:存儲介質(zhì)引入病毒
主要問題3:網(wǎng)絡入侵
面對這三個問題,筆者建議實施或分步實施“ABC”,“ABC”理念適用同時適應工控網(wǎng)絡的特殊性和獨有特點,具備如下優(yōu)勢:
1、 “無痛”實施,無需主機打補丁堵漏洞
2、 可防御“0day”攻擊
3、 規(guī)范行為,“抹平”人員安全技術能力和意識的差距
最后,筆者還是想給工業(yè)企業(yè)用戶幾點建議:
① 梳理生產(chǎn)網(wǎng)絡邊界。不少企業(yè)遭到攻擊后檢查發(fā)現(xiàn),網(wǎng)絡邊界存在多條自己都不知道的“官道”。
② 不要過分相信運營商網(wǎng)絡。集團型企業(yè)租用運營商線路搭建協(xié)同生產(chǎn)網(wǎng)絡,而運營商擁有的安全監(jiān)測和防護能力并不充分,根據(jù)誰使用誰負責的原則,企業(yè)還是要和運營商共同打造安全的基礎設施。
③ 提升災難恢復能力。逐步建立和提高災難恢復能力,從數(shù)據(jù)級開始,慢慢上升到應用級甚至業(yè)務級。
④ 提高安全危機意識。類似于臺積電這樣的企業(yè),安全問題幾乎是信息化智能化進程中配套的產(chǎn)物,所以生產(chǎn)越是“聰明”安全風險意識就應當越高,這條提給企業(yè)負責人。
⑤ 其他關于縱深防御、安全監(jiān)測就不多做贅述了。
北京市公安局海淀分局備案號:11010802023656號