在 360 企業安全去年處理的 100 多起大型的工業企業安全案例裏，因爲工業勒索導致生產受到影響甚至停產的大廠多達 30 多個，最慘的一個廠家停產了 21 天。

然而，這些勒索軟件都不是被人故意種過去的，純屬誤傷。

但這也許是一個壞消息。

「我有點擔心，大家知道後會有勒索軟件特別有目的地搞工業勒索，今年已經有苗頭了。」360企業安全集團副總裁左英男對雷鋒網(公衆號：雷鋒網)宅客頻道（微信ID：letshome）說。

【左英男】

躺槍與鉅額誤傷費

這是一家知名的汽車製造企業，業務涉及汽車製造、電池生產、電路配件等不同生產線。這家汽車製造商的慘案發生在 2017 年年底，由於慘案已經發生，安全人員能做的就是一臺一臺恢復主機。

難點在於，這個工廠裏有很多不同的工業軟件，還有十幾種不同的工業協議，以及各種工業操作系統。在這 17000 多臺工業主機中，Window 7 Server 操作系統佔了 50% 以上，排第二位是 Windows XP。

微軟中國早在 2014 年 4 月 8 日宣佈停止對 Windows XP 的支持。當然，對於付費的政企用戶，他們還是可以給予定期支持的。

不過，這對工業生產環境而言，並沒有什麼用。

工業互聯生產環境，牽一髮動全身，更新慢，有時甚至爲了生產環境穩定，並不會更新。協議、工業軟件、操作系統十分複雜，加上自身適配較難，在非停產實施的環境下，安全人員花了整整一年，才把這家汽車製造企業所有的工業主機加上了主機防護。

有意思的是，這事本來和這個汽車製造企業沒有半毛錢關係，誰能想到罪魁禍首是 2017 年 5 月 12 號爆發的永恆之藍勒索病毒的變種。

在人們的印象中，都快兩年了，這貨怎麼還沒狗帶？很簡單，兩個原因：

第一，變種橫行；

第二，有些系統沒有及時打上補丁，尤其是老舊的工控主機。

遭殃的不僅是這家汽車製造商，去年 8 月，臺積電位於臺灣新竹科學園區的 12 英寸晶圓廠和營運總部，突然傳出電腦遭勒索病毒入侵且生產線全數停擺的消息。隨後位於臺中科學園區的晶圓廠、龍潭封測廠，以及臺南科學園區的晶圓廠也中招，臺積電在臺灣北、中、南的三處重要生產基地均因病毒入侵而導致生產線停擺。

即使到了今年 1 月，國內一家著名的芯片生產線依然中招，它踩的坑叫做 Wanna Miner，就是利用永恆之藍的漏洞挖礦。

一個工業主機本身計算資源量就有限，承擔着 24 小時不停機的工業控制運行，還要被耗費裏面大量的資源挖礦，整個生產系統變得極其不穩定，系統開始出問題了……但是，永恆之藍勒索病毒剛開始並非針對工業場景。也就是說，只是因爲工業用的某些關鍵設備接入了互聯網，然後不知不覺被感染了。

因此，左英男將之稱爲「誤傷」和「躺槍」：「工廠躺槍，這個問題就嚴重了，你家裏有電腦，裝了一個挖礦軟件，不就佔點資源，慢點無所謂，所以你覺得沒啥關係，但是工業現場的主機不行，我們曾見過最老的一臺工業主機，只有 250 兆內存，硬盤 4 個G。在這麼老舊的系統環境下，要是挖個礦，整個崩潰，因爲控制邏輯沒有了，接着整個生產線停掉，這叫誤傷。」

這樣的「誤傷」給工廠造成了巨大的損失，可能會給攻擊者「發財致富」提供新思路——專門針對工業主機開展勒索攻擊，隨隨便便要個100萬贖金，不然工廠將因停產、關鍵數據加密等遭受更多的損失。

在一些新聞報道中，臺積電因停擺三天損失超過了 5 億美元。

冰冷工業「銅牆鐵壁」瓦解

對抗思路早就有了。

左英男認爲，全員身份化這種2007年就提出的理念對於工業互聯網的安全架構而言，可以解決新問題。

區別於傳統互聯網的邊界，工業互聯網的「銅牆鐵壁」已經因爲不再封閉而全面瓦解：因爲信息的共享需求，除了自己的員工，外有外包商、合作伙伴；除了人，還有各種各樣的工業互聯網設備。多元的設備、平臺、業務讓原來傳統的數據中心變成了虛擬的數據中心，很多數據資產被放在了雲上，工業企業不再有100% 的控制權。

2018 年，左英男所在的 360 企業安全對外提出了針對工業互聯網的零信任架構，它的邏輯就是——我在沒有完全確認的情況下，我不應該相信內部和外部任何設備甚至人，我要給他們建立一個身份標識。

這一思路脫胎於以前谷歌針對企業內部提出的零信任架構。

在工業場景下，現階段遇到的最明確的場景就是工業物聯網設備的接入。比如，以前電錶不會有智能化網絡的概念，就是經由電線連接，現在很多電錶卻是由「一根網線」連接。這意味着，所有的電錶將暴露在攻擊者的視野中，他們多了無數條可能切入的入口。

如何確保智能電錶不是攻擊者僞裝攻擊的一臺計算機？

「你要做確認、驗證、持續的驗證，度量它的風險。因爲電錶可以訪問後端業務系統，採集、交互數據，是一個非常穩定的模型，你發現有異常，突然出來一個WannaMiner這樣的協議，那肯定有問題，所以也是基於行爲的方式發現現有問題，就及時對它做出動態的調整，這就是零信任架構核心的理念。」左英男對雷鋒網說。

查行爲：堪比調查相親對象黑歷史

查出攻擊者經歷了「三代」過程。

第一代技術屬於「查黑」。從 1986 年到 2000 年，病毒種類比較少，每年幾百個，傳播速度比較慢，只要病毒一出來，研究它的特徵，提取後放在黑名單裏，只要在黑名單裏，肯定是壞人，這是查黑的技術。

從 2000 年到 2010 年，互聯網蓬勃發展，病毒也出現兩個特徵，第一，傳播速度非常快，過去一個病毒可能在幾周，甚至幾個月裏傳播量也不會太大。第二，在互聯網時代，病毒有自己的獲取經濟利益的模式，病毒的樣本變異非常快，每天面對的可能是百萬級的病毒樣本，再把病毒一個個搞出來查殺，顯然不可行。

黑名單變得龐大無比，變得不可運行，所以就出現了第二代白名單技術——不去管壞的，把可以信任的程序添加到名單，只要在名單，就允許運行，不在名單裏，就徹底不讓它運行。

在工業場景下，白名單技術大有用武之地。在一臺工業主機上，運行的工業軟件非常有限，僅是工業軟件在控制傳感器運行，數量很有限，只要把設置白名單，其他任何程序進程都不允許運行，這樣就能有效避免病毒和惡意代碼攻擊。

2015 年，攻擊者進化了。他們開始利用可信的程序，甚至是 Windows 操作系統的進程執行惡意操作，簡直就是「披着羊皮的狼」，繞過了白名單的控制機制。

於是，第三代惡意代碼防範技術來了。這代技術的核心堪比篩選相親對象——任何一個程序在終端上的所有行爲都要被記錄且比對，它開展了哪些進程，打開了哪些文件，調用了什麼函數，做了哪些操作，包括在網絡上的行爲，連接了哪些網絡端口，使用什麼協議，發送什麼樣的數據。

雷鋒網瞭解到，因爲其功能是相對確定的，行爲也是相對確定的，通過數據採集與分析建模，能夠建立起軟件程序的行爲極限。一旦發現異常行爲，就要開始告警，並引入人工分析，有效地清理髮生異常行爲的程序，這就是查詢技術的源頭。

第三代查行爲技術十分依賴大數據、數據建模和機器學習。左英男認爲，優秀的查行爲技術要通過長期的數據採集與大量數據採集建模，不斷優化模型，建模建得越準，異常操作就越能準確發現。另外，查行爲技術還要配合長期運營和優化。

左英男很有信心。他想，既然在非工業互聯的場景裏，數據可以記錄人們長期用鼠標、摸手機的習慣，最後甚至可以實現不需要用戶輸入口令就能打開設備，那麼在這些技術創新之下，冷冰冰的巨型工業設備，也許也能敞開溫暖的懷抱，知道你就是你。

相关文章