现在,服务器和客户端已恢复正常,诸如控制、可视化和批处理等生产系统也重新开始运转,工厂生产也恢复如初,是时候反思最近事件了。
我还清楚地记得这一切是如何开始的。各大网络媒体在头条报道:“勒索软件横行!制造公司系统瘫痪,生产中断!”这是您夏日一早醒来最不愿意面对的事情。
罪魁祸首是一种被称为 Nyetya 或 NotPetya 的恶意软件。NotPetya 最初被认为是勒索软件,但是实质上是采用蠕虫传播方法的 Wiper 病毒。从现在开始,我们称之为 WiperWorm。
有计划的团队谨慎地选择应对措施,并有目的地执行。有效的应对方法通常涉及计算机安全事件处理指南 (美国国家标准与技术研究所特别报告 800-61) 中提及的以下过程。
首先,评估影响范围并分析事件成因,以便采取适当的措施来控制事件。但在许多情况下,这是不可能的。
不知何故,几乎所有连接到工业控制系统网络的 Windows 计算机都受到了 NotPetya WiperWorm 的攻击。随着恢复受感染系统的希望越来越渺茫,接下来的逻辑步骤是开始搜索现有的系统备份并试图恢复。如果没有备份,所有生产系统都需要从头开始重建,这将是一个代价高昂、费时费力的难题。
对于那些幸运儿,备份提供了希望,但严格的恢复策略还涉及确保将恢复的系统置于一个孤立的网络中,以防止再次感染。优秀的网络安全研究人员和工程师快速采取行动,就如何防止再次感染提供了关键情报。
● 修补 MS17-010 漏洞,防止 EternalBlue 和 EternalRomance 漏洞成功入侵系统。
● 禁用 wmic。
● 执行注册表修复,关闭所有管理共享 (如 C$ 和 ADMIN$),切断传播途径。
在恢复过程中也会面临一些挑战,比如某些 WiperWorm 传播渠道也是生产应用的关键功能,因此禁用或限制访问并非总是可行。
引自 Talos 对 NotPetya 的详述:
NotPetya 有多种机制,用于在感染一台设备后进一步传播:
1、EternalBlue - 与 WannaCry 利用的漏洞相同。
2、EternalRomance - 利用“ShadowBrokers”泄漏的一种 SMBv1 漏洞
3、PsExec - 一种合法的 Windows 管理工具。
4、WMI - Windows 管理规范,一种合法的 Windows 组件。
结论是什么?如果您愿意的话,最有效的 WiperWorm 预防措施便是遵循良好的安全惯例:“从基础做起”。关于这个主题的文章不计其数,但要点无非是:
● 在投入生产之前强化系统
● 尽量使用受限用户帐户运行
● 修补系统,并投资于完善的反病毒或端点安全解决方案
关键支持服务可帮助您在工业控制系统环境中实施良好的安全惯例。
订阅经过验证的 Windows 修补程序
此类订阅服务可为您的工业计算环境提供经过验证的最新 Windows 修补程序。例如,我们在稳健的测试环境中验证自身,以尽量减少应用影响的风险。通过将您的 Windows 服务器更新服务 (WSUS) 服务器连接到我们基于云的托管 WSUS,即可提供修补程序。
在您的 WSUS 上获得修补程序后,您可根据自己的计划将修补程序应用到系统。此外,网络和安全服务还可帮助您根据需要开发/修改内部修补策略。
远程修补程序和反病毒管理
此类服务有助于缓解与 Windows 修补程序和反病毒定义陈旧有关的风险,以及与修补步骤不当有关的风险。
例如,我们与工业计算环境建立安全远程连接,以在管理环境变更的同时,监控基础设施和镜像的健康状况。
然后,我们与您一同确立修补和反病毒更新的节奏和规程,以在投入生产之前测试镜像和应用程序的功能。
远程备份管理
最后,此类服务有助于缓解与没有备份和/或无法远程获取专家协助相关的风险,可促进相关服务的快速恢复。该服务提供强大的备份功能,可监控备份完整性并执行恢复。举例来说,我们可以:
● 在工业计算环境中部署备份设备,配置以满足系统的备份频率和保留要求
● 对设备和备份的健康状况实施远程监控
● 根据需要执行远程恢复服务,将镜像恢复到先前已知“良好”的状态
当防御 WiperWorm、勒索软件或大多数其他恶意软件突发事件时;最有效的战略仍然是做好充分准备!
修补和强化系统以防止突发事件,如果您无法阻止,则确保已准备好从备份恢复关键生产系统。
使生产系统恢复正常运行,还是只能彻底重建生产系统——是否做好充分准备决定了您的命运。
借助我们的工业安全服务,确保各运营环节远离安全威胁。
(转载)
