據(jù)央視新聞，哥斯達(dá)黎加政府當(dāng)?shù)貢r(shí)間5月12日證實(shí)，哥斯達(dá)黎加總統(tǒng)查韋斯11日宣布政府進(jìn)入緊急狀態(tài)并將成立危機(jī)緊急應(yīng)對(duì)委員會(huì)，負(fù)責(zé)處理持續(xù)了一個(gè)多月的政府機(jī)構(gòu)網(wǎng)絡(luò)遭黑客攻擊事件。

今年4月起，哥斯達(dá)黎加財(cái)政部、海關(guān)和人力資源社保機(jī)構(gòu)等多個(gè)政府機(jī)構(gòu)的網(wǎng)絡(luò)系統(tǒng)遭襲，造成多地支付、關(guān)稅收取系統(tǒng)癱瘓至今。哥斯達(dá)黎加政府稱(chēng)，該國(guó)正在遭受“網(wǎng)絡(luò)犯罪分子”和“網(wǎng)絡(luò)恐怖分子”的攻擊，政府拒絕向黑客支付贖金。目前，沒(méi)有跡象表明黑客擴(kuò)大了攻擊范圍，但受影響部門(mén)的網(wǎng)絡(luò)均未恢復(fù)正常使用，尚無(wú)法準(zhǔn)確統(tǒng)計(jì)因多部門(mén)網(wǎng)絡(luò)癱瘓?jiān)斐傻闹苯踊蜷g接經(jīng)濟(jì)損失。

勒索病毒小知識(shí)

勒索病毒是一種新型電腦病毒，主要以郵件、程序木馬、網(wǎng)頁(yè)掛馬的形式進(jìn)行傳播。該病毒性質(zhì)惡劣、危害極大，一旦感染將給用戶(hù)帶來(lái)無(wú)法估量的損失。這種病毒利用各種加密算法對(duì)文件進(jìn)行加密，被感染者一般無(wú)法解密，必須拿到解密的私鑰才有可能破解。簡(jiǎn)而言之，勒索病毒是以企業(yè)文件和數(shù)據(jù)為攻擊對(duì)象、以獲取大額贖金為目的網(wǎng)絡(luò)“綁架犯”。

勒索病毒的“戰(zhàn)績(jī)”

1989年，AIDS trojan是世界上第一個(gè)被載入史冊(cè)的勒索病毒，從而開(kāi)啟了勒索病毒的時(shí)代。僅在過(guò)去的2021年，勒索病毒就在全球范圍內(nèi)掀起了一系列的勒索大事件：

* 勒索病毒贖金節(jié)節(jié)攀升，破2021年年度最高贖金記錄

22021年3月底，美國(guó)最大的保險(xiǎn)公司之一CNA Financial被勒索軟件攻擊，在試圖恢復(fù)文件無(wú)果之后，他們開(kāi)始與攻擊者談判。剛開(kāi)始的時(shí)候，黑客要求的贖金高達(dá)6000萬(wàn)美元。最后，CNA Financial在事件發(fā)生兩周后支付了4000萬(wàn)美元贖金。

* 全球首次因勒索病毒導(dǎo)致國(guó)家宣布進(jìn)入緊急狀態(tài)

2021年5月，美國(guó)最大的成品油管道運(yùn)營(yíng)商Colonial Pipeline遭到“Darkside”黑客組織的勒索病毒攻擊，被迫關(guān)閉東部沿海各州供油的關(guān)鍵燃油網(wǎng)絡(luò)，美國(guó)政府宣布東部17個(gè)州以及華盛頓進(jìn)入緊急狀態(tài)。

* 年度加密最快的勒索病毒

2021年，老牌病毒Lockbit更新2.0版本，其新版本在20分鐘之內(nèi)就可竊取100GB數(shù)據(jù)，是普通勒索病毒加密速度的3倍以上，且具備在域控內(nèi)自動(dòng)傳播的能力。該勒索軟件推出不久，全球各地超過(guò)50個(gè)組織受害，受害者遍及多種產(chǎn)業(yè)，全球IT咨詢(xún)行業(yè)巨頭埃森哲也遭到LockBit的網(wǎng)絡(luò)攻擊，6TB的內(nèi)部數(shù)據(jù)被竊取，2500臺(tái)計(jì)算機(jī)遭遇宕機(jī)。

勒索病毒的“作案特點(diǎn)”

* 針對(duì)企業(yè)用戶(hù)定向攻擊

* 以RDP（Remote Desktop Protocol遠(yuǎn)程桌面登錄協(xié)議）爆破為主

* 更多使用漏洞攻擊

* 入侵企業(yè)內(nèi)網(wǎng)后橫向滲透

工業(yè)主機(jī)需要一個(gè)“貼身保鏢”

工業(yè)主機(jī)（工控上位機(jī)、服務(wù)器）是PLC等工業(yè)控制設(shè)備與企業(yè)的工業(yè)控制網(wǎng)絡(luò)及信息網(wǎng)絡(luò)的連接點(diǎn)，是連接信息世界和物理世界的“橋梁”，做好工業(yè)主機(jī)的安全防護(hù)和控制是保障工業(yè)互聯(lián)網(wǎng)安全的核心。

但現(xiàn)實(shí)情況是，企業(yè)的工業(yè)主機(jī)作為工業(yè)數(shù)據(jù)采集和分析的重要載體，生命周期往往比較長(zhǎng)，操作系統(tǒng)老舊，存在大量漏洞，并且由于工業(yè)生產(chǎn)連續(xù)性的特點(diǎn)，工業(yè)主機(jī)很難定期升級(jí)補(bǔ)丁，大量工業(yè)主機(jī)處于帶洞運(yùn)行的狀態(tài)，成為了勒索病毒攻擊者的首選目標(biāo)。因此，做好工業(yè)主機(jī)的終端安全防護(hù)，即相當(dāng)于為工控文件和數(shù)據(jù)配備了“貼身保鏢”，成為防范勒索病毒的最有力的防線(xiàn)。

“貼身保鏢”（工控終端防護(hù)系統(tǒng)）的武功秘籍

立思辰安科工控終端防護(hù)系統(tǒng)主要由客戶(hù)端、控制臺(tái)、服務(wù)引擎組成。以終端管理方案為核心，并貫穿數(shù)據(jù)中心、產(chǎn)品權(quán)限控制等多個(gè)產(chǎn)品模塊，形成產(chǎn)品各模塊耦合關(guān)系弱、邏輯關(guān)系強(qiáng)的管理模式，以保障用戶(hù)在使用過(guò)程中，各模塊清晰明確、易于使用的效果，保障終端安全、行為可控。

立思辰安科工控終端防護(hù)系統(tǒng)部署拓?fù)鋱D

其中，工控終端防護(hù)客戶(hù)端系統(tǒng)直接部署在工控系統(tǒng)的工業(yè)主機(jī)（如工程師站、操作員站）上，實(shí)現(xiàn)對(duì)工業(yè)主機(jī)的進(jìn)程白名單管理，對(duì)流量、移動(dòng)存儲(chǔ)介質(zhì)使用進(jìn)行管理，有效抵御未知病毒、木馬、惡意程序、非法入侵等針對(duì)終端的攻擊，實(shí)現(xiàn)安全防護(hù)，構(gòu)建有效抵御勒索病毒、漏洞、未知惡意代碼和高級(jí)威脅APT攻擊的終端安全防御體系。

“貼身保鏢”（工控終端防護(hù)系統(tǒng)）的十大招式

1、方案安全完整性檢查

通過(guò)安全完整性檢查方案中的策略配置，確保終端符合安全性檢查要求，在檢查之后，檢查不合格的終端將被隔離到修復(fù)區(qū)，系統(tǒng)提供自助式修復(fù)服務(wù)，保障網(wǎng)絡(luò)及終端安全。

2、終端系統(tǒng)漏洞、病毒防控

終端系統(tǒng)的漏洞、病毒防控功能可幫助用戶(hù)抵制如勒索病毒等嚴(yán)重影響網(wǎng)絡(luò)、終端使用的病毒入侵，增強(qiáng)終端自身的防御能力，保證內(nèi)網(wǎng)辦公環(huán)境的安全。

3、終端行為安全管理

終端系統(tǒng)的行為安全管理功能從應(yīng)用、進(jìn)程、服務(wù)等幾個(gè)概念入手，幫助用戶(hù)建立起規(guī)范、嚴(yán)謹(jǐn)?shù)膽?yīng)用程序監(jiān)管方案。

4、設(shè)備使用管理

系統(tǒng)的設(shè)備使用管理功能包括：外部設(shè)備管理、可使用設(shè)備管理、設(shè)備類(lèi)型管理。

通過(guò)對(duì)普通外置設(shè)備類(lèi)型、屬性的管理，制作合法可使用設(shè)備的管理、提供合法設(shè)備內(nèi)數(shù)據(jù)與普通外置設(shè)備內(nèi)數(shù)據(jù)中轉(zhuǎn)的管理。從單純的禁用、到可以合法的使用、再到禁用與合法使用之間的邊界管理。

5、系統(tǒng)常規(guī)管理

系統(tǒng)可以檢查和配置網(wǎng)絡(luò)終端的 IP 地址、計(jì)算機(jī)名、網(wǎng)關(guān)等系統(tǒng)配置信息。同時(shí)，還可以對(duì)終端進(jìn)行集中監(jiān)控、遠(yuǎn)程點(diǎn)對(duì)多點(diǎn)的配置網(wǎng)絡(luò)終端，更輕松地實(shí)現(xiàn)終端網(wǎng)絡(luò)的規(guī)劃和配置。

6、終端行為監(jiān)控和審計(jì)

終端行為監(jiān)控與審計(jì)相關(guān)功能可提升用戶(hù)對(duì)于終端某些惡意操作行為的監(jiān)控能力，可以有針對(duì)性的對(duì)終端操作進(jìn)行審計(jì)或者記錄，便于管理員對(duì)違規(guī)行為進(jìn)行有效的追蹤、定性定責(zé)以及管理。

7、遠(yuǎn)程維護(hù)與管理

網(wǎng)管人員可以通過(guò)終端防護(hù)系統(tǒng)進(jìn)行遠(yuǎn)程故障診斷，查詢(xún)/修改注冊(cè)表、鎖定/解鎖計(jì)算機(jī)、阻斷計(jì)算機(jī)通信、開(kāi)啟/關(guān)閉/重啟/注銷(xiāo)計(jì)算機(jī)、發(fā)送消息、批量網(wǎng)絡(luò)配置，直至遠(yuǎn)程接管桌面等等。

8、日志與報(bào)表

系統(tǒng)內(nèi)置多種常規(guī)報(bào)表記錄，的日志管理功能記錄終端報(bào)警審計(jì)日志、系統(tǒng)用戶(hù)操作日志、執(zhí)行情況日志及系統(tǒng)運(yùn)行日志等日志信息，管理人員可進(jìn)行查看和檢索。

9、客戶(hù)端管理

客戶(hù)端管理功能包括對(duì)掃描結(jié)果修復(fù)及策略更新。

10、與安全統(tǒng)一管理平臺(tái)交互

工控終端防護(hù)系統(tǒng)與安全管理平臺(tái)的對(duì)接可實(shí)現(xiàn)入口相對(duì)接、日志/告警上傳、自身監(jiān)測(cè)、策略調(diào)用/下發(fā)、權(quán)限統(tǒng)一管理等。

總結(jié)

面對(duì)勒索病毒慣用的漏洞攻擊手段，立思辰安科認(rèn)為，應(yīng)重點(diǎn)在工控網(wǎng)絡(luò)內(nèi)部部署工控終端防護(hù)系統(tǒng)，有效抵御已知病毒、勒索病毒、漏洞、位置惡意代碼等攻擊手段，做到對(duì)工業(yè)主機(jī)的“貼身防護(hù)”。

同時(shí)，為了有效避免勒索病毒在內(nèi)網(wǎng)傳播，工業(yè)企業(yè)下一步還需不斷完善縱深防御體系的建設(shè)，從邊界防護(hù)、準(zhǔn)入控制、監(jiān)測(cè)審計(jì)等方面入手，建立起勒索病毒的綜合防御體系，配合有效的安全管理制度、安全運(yùn)維體系、員工安全意識(shí)培訓(xùn)，可有效提高工業(yè)企業(yè)的勒索病毒防護(hù)能力，保障企業(yè)的工控網(wǎng)絡(luò)安全。