何靜

據(jù)報(bào)道，2019年3月18日，挪威海德魯公司在美國(guó)和歐洲的業(yè)務(wù)受到嚴(yán)重的勒索軟件攻擊，隨后該公司被迫關(guān)閉了幾條自動(dòng)化生產(chǎn)線。發(fā)現(xiàn)問(wèn)題后，安全人員隔離了所有工廠和操作，并切換到手動(dòng)操作模式，以確保系統(tǒng)安全運(yùn)行。有關(guān)該公司受到網(wǎng)絡(luò)攻擊的新聞報(bào)道致使該公司股價(jià)在全球現(xiàn)貨市場(chǎng)鋁價(jià)上漲超1 %的情況下反而下跌近3 %。挪威國(guó)家安全局向媒體證實(shí)：LockerGoga勒索軟件是本次感染的源頭。Norsk Hydro號(hào)稱旗下?lián)碛惺澜缱畲鬅掍X廠，此次勒索軟件攻擊很有可能導(dǎo)致全球鋁市場(chǎng)面臨動(dòng)蕩。

一波未平一波又起，近日，美國(guó)瀚森化工公司和美國(guó)有機(jī)硅巨頭邁圖集團(tuán)被爆出遭到勒索軟件的襲擊。遭受勒索軟件攻擊的計(jì)算機(jī)的數(shù)據(jù)可能已經(jīng)丟失，并且該公司已經(jīng)訂購(gòu)了數(shù)百臺(tái)新的計(jì)算機(jī)。在將邁圖相關(guān)的贖金消息與已知的LockerGoga攻擊交叉分析后，發(fā)現(xiàn)語(yǔ)言和格式相同，因此攻擊者很有可能是同一團(tuán)伙。

LockerGoga不是初來(lái)乍到的新客

說(shuō)起LockerGoga勒索軟件，這不是第一次出現(xiàn)。初次應(yīng)該是在2019年1月24日，黑客利用惡意軟件感染了Altran Technologies的系統(tǒng)，并通過(guò)公司網(wǎng)絡(luò)傳播，影響了一些歐洲國(guó)家的運(yùn)營(yíng)。當(dāng)時(shí)為了保護(hù)客戶數(shù)據(jù)和自己的資產(chǎn)，Altran決定關(guān)閉其網(wǎng)絡(luò)和應(yīng)用程序。

因?yàn)槭录倓偘l(fā)生，目前尚未知該勒索軟件通過(guò)什么途徑進(jìn)行傳播。而勒索軟件一般會(huì)針對(duì)DOC，DOT，WBK，DOCX，DOTX，DOCB，XLM，XLSX，XLTX，XLSB，XLW，PPT，POT，PPS，PPTX，POTX，PPSX，SLDX，PDF文件進(jìn)行加密。LockerGoga勒索軟件也一樣，當(dāng)文件被加密時(shí)，原件被刪除并替換為加密數(shù)據(jù)，加密數(shù)據(jù)存儲(chǔ)為具有“* .LOCKED”文件擴(kuò)展名的文件。

1號(hào)嫌疑人：社會(huì)工程學(xué)

世界聞名的黑客凱文·米特尼克在《欺騙的藝術(shù)》中曾提到，人為因素才是安全的軟肋。很多企業(yè)、公司在信息安全上投入大量的資金，最終導(dǎo)致數(shù)據(jù)泄露的原因，往往卻是發(fā)生在人本身。對(duì)于黑客們來(lái)說(shuō)，通過(guò)一個(gè)用戶名、一串?dāng)?shù)字和一串英文代碼，就可以完成一次攻擊。社會(huì)工程師就可以通過(guò)這幾條線索，通過(guò)社工攻擊手段，加以篩選、整理，就能把所有個(gè)人情況信息、家庭狀況、興趣愛(ài)好和婚姻狀況等，通過(guò)網(wǎng)上留下的一切痕跡將個(gè)人信息掌握得一清二楚。而這次LockerGoga勒索軟件的再次出現(xiàn)，還不清楚會(huì)不會(huì)又是利用熟人或者散落在地上的U盤(pán)進(jìn)入Norsk Hydro的工控系統(tǒng)，進(jìn)而影響了整個(gè)業(yè)務(wù)系統(tǒng)。

2號(hào)嫌疑人：硬件、軟件和服務(wù)處處危險(xiǎn)的供應(yīng)鏈

物聯(lián)網(wǎng)等技術(shù)的興起給我們的供應(yīng)鏈系統(tǒng)帶來(lái)了網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)，供應(yīng)鏈也逐漸成為網(wǎng)絡(luò)攻擊的一大重點(diǎn)目標(biāo)。

工業(yè)控制系統(tǒng)在硬件方面，底層核心技術(shù)掌握在少數(shù)幾家公司手中，存在安全不可控風(fēng)險(xiǎn)；軟件方面，漏洞層出不窮，工業(yè)環(huán)境下未及時(shí)升級(jí)補(bǔ)丁，存在采購(gòu)前植入惡意代碼的風(fēng)險(xiǎn)；技術(shù)服務(wù)方面，工業(yè)企業(yè)系統(tǒng)運(yùn)維依賴于第三方；在服務(wù)過(guò)程前未對(duì)服務(wù)人員背景進(jìn)行調(diào)查，在服務(wù)過(guò)程中沒(méi)有一套完整的管理流程，在服務(wù)結(jié)束后企業(yè)核心數(shù)據(jù)滯留于第三方，存在第三方服務(wù)時(shí)引入攻擊路徑的風(fēng)險(xiǎn)。

與其它金屬相比，鋁的生產(chǎn)只由少數(shù)幾家公司主導(dǎo)，意味著如果鋁生產(chǎn)出現(xiàn)問(wèn)題，鋁產(chǎn)業(yè)鏈將面臨較大的中斷風(fēng)險(xiǎn)。隨著制造過(guò)程向全球擴(kuò)散，形勢(shì)變得越來(lái)越復(fù)雜，使得企業(yè)不得不應(yīng)對(duì)網(wǎng)絡(luò)攻擊造成的風(fēng)險(xiǎn)。

而作為全球最大鋁生產(chǎn)商N(yùn)orsk Hydro會(huì)不會(huì)因?yàn)楣I(yè)控制系統(tǒng)供應(yīng)鏈的某一個(gè)環(huán)節(jié)出現(xiàn)了問(wèn)題，使勒索軟件有機(jī)可乘呢？

鋁行業(yè)是重要的工業(yè)金屬行業(yè)，是國(guó)民經(jīng)濟(jì)重要的一環(huán)。當(dāng)前，鋁行業(yè)正處于轉(zhuǎn)變發(fā)展方式的關(guān)鍵階段，工控安全是行業(yè)良性發(fā)展的重要保障。2個(gè)工控安全事件的發(fā)生帶給我們以下幾點(diǎn)啟示：

加快法規(guī)、標(biāo)準(zhǔn)落地，把工控安全擺在更加突出的位置

隨著工業(yè)互聯(lián)網(wǎng)的深入推進(jìn)，IT與OT技術(shù)深度融合，暴露在互利網(wǎng)上的工業(yè)資產(chǎn)越來(lái)越多，針對(duì)工控系統(tǒng)有組織、有目的的網(wǎng)絡(luò)攻擊不斷出現(xiàn)，我國(guó)工業(yè)信息安全形勢(shì)亦不容樂(lè)觀。為應(yīng)對(duì)當(dāng)前工業(yè)信息安全領(lǐng)域的嚴(yán)峻形勢(shì)和挑戰(zhàn)，黨中央站在國(guó)家安全的高度，對(duì)保障工業(yè)信息安全作出戰(zhàn)略性、前瞻性部署。隨著《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的出臺(tái)，《國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例》均進(jìn)入報(bào)批階段，建議在充分征求意見(jiàn)的基礎(chǔ)上盡快發(fā)布，為工控安全工作的開(kāi)展提供依據(jù)。

凝聚工控安全各方力量，落實(shí)工控安全行動(dòng)計(jì)劃

《工業(yè)控制系統(tǒng)信息安全行動(dòng)計(jì)劃（2018—2020年）》為工業(yè)互聯(lián)網(wǎng)安全保障工作制定了時(shí)間表和路線圖。計(jì)劃提出到2020年，全系統(tǒng)工控安全管理工作體系基本建立，全社會(huì)工控安全意識(shí)明顯增強(qiáng)。計(jì)劃的落實(shí)需要科研院所、高校、工業(yè)企業(yè)和工控安全企業(yè)等多方面的參與，形成工控安全的合力。在工控安全人才培養(yǎng)方面，有賴于IT和OT兩方面人才與資源的結(jié)合，需完善高校專業(yè)設(shè)置，培養(yǎng)復(fù)合型人才。在技術(shù)研究方面，開(kāi)展體系標(biāo)準(zhǔn)建設(shè)，研發(fā)工控安全防護(hù)技術(shù)工具集，開(kāi)展防護(hù)能力建設(shè)試點(diǎn)示范。在企業(yè)安全建設(shè)方面，支持工業(yè)企業(yè)申請(qǐng)?jiān)圏c(diǎn)項(xiàng)目，將工控安全納入到企業(yè)生產(chǎn)安全管理之中，對(duì)企業(yè)面臨的各類風(fēng)險(xiǎn)綜合管控。在項(xiàng)目落地方面，支持工控安全企業(yè)綜合運(yùn)用法規(guī)、政策和標(biāo)準(zhǔn)，在項(xiàng)目中研究方法論，形成可推廣可復(fù)制的解決方案。

構(gòu)建工控安全防護(hù)體系，全方位保護(hù)工業(yè)企業(yè)核心資產(chǎn)

做好工業(yè)企業(yè)的信息安全不是一朝一夕的事，這是一個(gè)需要長(zhǎng)期規(guī)劃、長(zhǎng)期運(yùn)營(yíng)的過(guò)程。工業(yè)控制系統(tǒng)作為工業(yè)企業(yè)的核心資產(chǎn)，不僅要做好安全技術(shù)防護(hù)方面的工作，更要注重安全管理體系的建設(shè)，綠盟科技工控安全咨詢小組的專家提出了以下建設(shè)意見(jiàn)：

構(gòu)建IPDRR能力框架

信息安全體系設(shè)計(jì)總體思路：針對(duì)企業(yè)防護(hù)對(duì)象框架，通過(guò)企業(yè)組織體系、管理體系和技術(shù)體系的建設(shè)，逐步建立企業(yè)風(fēng)險(xiǎn)識(shí)別、安全防御、安全檢測(cè)、安全響應(yīng)與安全恢復(fù)能力，最終實(shí)現(xiàn)風(fēng)險(xiǎn)可見(jiàn)化、防御主動(dòng)化和運(yùn)行自動(dòng)化的安全目標(biāo)，保障企業(yè)業(yè)務(wù)的安全。

IPDRR能力框架模型包括風(fēng)險(xiǎn)識(shí)別（Identify）、安全防御（Protect）、安全檢測(cè)（Detect）、安全響應(yīng)（Response）和安全恢復(fù)（Recovery）五大能力。IPDRR能力框架實(shí)現(xiàn)了“事前、事中、事后”的全過(guò)程覆蓋，從原來(lái)以防護(hù)能力為核心的模型，轉(zhuǎn)向以檢測(cè)能力為核心的模型，支撐識(shí)別、預(yù)防、發(fā)現(xiàn)和響應(yīng)等，變被動(dòng)為主動(dòng)，直至自適應(yīng)的安全能力。

落實(shí)《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的要求

《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》整體借鑒了等級(jí)保護(hù)的思想，具體提出了十一條三十款要求，貼近實(shí)際工業(yè)企業(yè)真實(shí)情況，務(wù)實(shí)可落地。針對(duì)主體目標(biāo)要求落實(shí)工控安全責(zé)任制、加強(qiáng)供應(yīng)鏈管理；針對(duì)客體目標(biāo)要求落實(shí)從資產(chǎn)安全、數(shù)據(jù)安全管理；針對(duì)保護(hù)方法措施要求落實(shí)安全軟件選擇與管理、物理和環(huán)境安全防護(hù)、配置和補(bǔ)丁管理、身份認(rèn)證、邊界安全防護(hù)、遠(yuǎn)程訪問(wèn)安全、安全監(jiān)測(cè)和應(yīng)急預(yù)案演練?！豆I(yè)控制系統(tǒng)信息安全防護(hù)指南》對(duì)工控安全提出了具體措施，為企業(yè)開(kāi)展工控安全防護(hù)指明了方向。

開(kāi)展工控風(fēng)險(xiǎn)評(píng)估工作

工控風(fēng)險(xiǎn)評(píng)估是在對(duì)工業(yè)控制系統(tǒng)的資產(chǎn)進(jìn)行整理分析的基礎(chǔ)上，從其資產(chǎn)的安全特性出發(fā)，分析工業(yè)控制系統(tǒng)的威脅來(lái)源與自身脆弱性，歸納出工業(yè)控制系統(tǒng)面臨的信息安全風(fēng)險(xiǎn)，并給出實(shí)施工業(yè)控制系統(tǒng)風(fēng)險(xiǎn)評(píng)估的指導(dǎo)性建議。

風(fēng)險(xiǎn)評(píng)估是實(shí)現(xiàn)工控系統(tǒng)信息安全縱深防御的基礎(chǔ)，依托科學(xué)的風(fēng)險(xiǎn)評(píng)估能夠準(zhǔn)確評(píng)估工控系統(tǒng)存在的主要信息安全問(wèn)題和潛在風(fēng)險(xiǎn)。綠盟科技工控風(fēng)險(xiǎn)評(píng)估服務(wù)基于IPDRR安全防護(hù)模型，從管理人員、生產(chǎn)人員和IT人員的不同視角，依照工業(yè)行業(yè)的業(yè)務(wù)特性，結(jié)合工業(yè)企業(yè)安全目標(biāo)，覆蓋工控安全的全生命周期，為工業(yè)企業(yè)提供全方位風(fēng)險(xiǎn)評(píng)估服務(wù)。