今日頭條
官方微信
官方抖音
資訊頻道2017年5月12日晚20時左右,全球爆發(fā)大規(guī)模WannaCry勒索病毒感染事件,國內眾多安全廠家積極響應,分析報告無數,各家的應對方案也接踵而來,但是事后諸葛亮的辦法并不能給人們以更多信心,有哪款產品事前可以預防此類病毒?面對如此疑問,各家都保持沉默,不禁讓人相當的悲觀。但是好消息傳來,工控安全專業(yè)公司威努特日前發(fā)消息稱,其在某油田現場部署的工控主機衛(wèi)士安全軟件,在WannaCry勒索病毒被發(fā)現前即已成功攔截WannaCry運行,保護了客戶主機。
事件發(fā)生在某油田第二采氣廠,2016年曾部署威努特公司工控安全防護產品,其官網有案例可查http://www.winicssec.com/Index/show/catid/17/id/122.html。
發(fā)現WannaCry的電腦位于油田采氣廠調度中心,中心有兩臺配置完全一樣的計算機,每臺計算機都安裝兩張網卡,一張與采氣廠控制網絡、服務器通信,另外一張與西安總部通信,總部辦公網有多臺計算機感染WannaCry病毒。兩臺計算機都安裝有霍尼韋爾的EPKS組態(tài)軟件,其中一臺計算機(計算機B)沒有安裝工控主機衛(wèi)士軟件,感染了WannaCry病毒,文檔文件以及圖像文件無法正常使用,文件的擴展名也被修改成”.wncry”,同時系統桌面出現勒索信息,如圖1;
另一臺計算機(計算機A)安裝工控主機衛(wèi)士軟件,并未被病毒感染,病毒文件被工控主機衛(wèi)士阻止并產生應用程序告警日志,如圖2所示。
圖1 現場WannaCry病毒感染情況
圖2 工控主機衛(wèi)士阻止記錄和告警日志
兩臺主機對比如下表所示。病毒是通過和總部的信息網連接被感染的,由于工控網和信息網連接在同一臺主機的兩張網卡上,網卡隔離不但沒有起到安全隔離作用,反而成了攻擊的跳板。幸運的是,調度中心的主用計算機安裝了工控主機衛(wèi)士,阻止了病毒的執(zhí)行,并進一步阻止了病毒向控制網的擴散,避免了損失的擴大化。
表1 調度中心計算機對比表
在病毒爆發(fā)不久,曾有網友在國內知名安全論壇卡飯論壇上發(fā)布了對國內外數十款殺毒軟件的啟發(fā)測試,結果表明在新病毒出現到殺軟入庫之間的這段空檔期里,這些殺軟全部都不能很好地保護我們的電腦。在掃描測試中,最高的查殺率也不過四分之一,這種比例與面對舊威脅時90%以上的比率形成了鮮明對比。
工控主機衛(wèi)士卻能在工業(yè)現場生效,根本原因是其采用了與殺軟“黑名單”查殺模式完全不同的“白名單”主動防御模式。2016年,工信部在發(fā)布的《工業(yè)控制系統信息安全防護指南》中的第一條:安全軟件的選擇與管理中,明確提出“在工業(yè)主機上采用經過離線環(huán)境中充分驗證測試的防病毒軟件或應用程序白名單軟件,只允許經過工業(yè)企業(yè)自身授權和安全評估的軟件運行”,將白名單軟件放在了和防病毒軟件同等的位置。所謂“白”是指好的、可信的,即只有可信任的設備、軟件和數據,才允許在工控網絡內部流通,其他惡意的、不明確的或者規(guī)定不允許的東西都不允許流通使用。這有別于“黑名單“的處理方式,即通過建立病毒庫、逐條匹配查殺,只有設備、軟件和數據被識別為“黑的”,才會被阻止運行。
防護理念的不同決定了效果的不同。不管WannaCry利用了什么漏洞,使用了多么先進的攻擊手法,但是工控主機衛(wèi)士還是能將之拒之門外。無論其將來出現多少變種,經過多么強大的升級也依然無法對被工控主機衛(wèi)士保護的主機造成威脅。如果我國的工業(yè)主機都能部署工控主機衛(wèi)士的安全防護,其抵御安全威脅的能力無疑將提高數個級別。
北京市公安局海淀分局備案號:11010802023656號