事件背景
2024年7月19日的全球Windows操作系统大规模蓝屏事件,经确认是由美国一家网络安全企业CrowdStrike的一次更新,导致全球航空、金融、医疗保健和教育等领域出现严重中断。
根据CrowdStrike给出的解释分析,程序在增加处理一个新型恶意代码攻击技术时,采用了快速响应内容更新方式,由于没有进行充分的测试,有问题的更新被推入生产环境,更新相应的配置文件触发了一个代码中的逻辑错误,在内核态形成非法内存访问触发操作Windows系统的自我保护机制BSOD。全球约850万台计算机出现“蓝屏”死机现象,出现故障的终端并不限于桌面终端,还覆盖了大量的服务器和云节点,相关主机重新启动后依然会自动进入蓝屏状态,形成了反复崩溃闭环。
尽管微软和CrowdStrike官方发布了修复指南和工具,且截止目前大部分受影响企业已恢复正常运作,但许多企业仍在努力抢修中。同时也存在不法分子假借发布“修复工具”之名,公然散播恶意软件,需注意防范。本次事件是继WannaCry病毒攻击事件后规模最大的一次IT故障,据数据分析机构估计,单是对于财富500强企业,这次事件带来的损失可能高达54亿美元。事件无疑给全球科技企业都敲响了一记警钟。
值得注意的是在此次“微软蓝屏”事件中,我国公共服务系统稳定运行,几乎未受到影响,得益于国产操作系统的坚实支撑,及国产网络安全软件的稳定性和安全性,在实际应用中展现出强大的抗风险能力。
二、windows蓝屏事件对工业控制系统安全防护的启示
1.第三方软件高度依赖风险
事件影响:此次蓝屏事件源于网络安全公司CrowdStrike的一次杀毒软件更新与Windows系统组件不兼容,直接导致了全球范围内的系统崩溃。这显示了工业控制系统在高度依赖第三方软件和服务时,面临的潜在风险。
启示:传统安全防护手段不适用于工业控制系统,工业控制系统需要建立更加严格和多元化的第三方软件和服务监控机制,并通过实施严格的软件更新和补丁管理策略,降低风险。
2.充分执行软件测试验证
必须明确并严格执行软件各场景下的更新测试和验证,确保软件升级更新的稳定性和安全性。
在工业环境部署更新时,必须确保可控的更新范围与更新节奏。
3.定期的风险评估与修复
定期安全评估:定期针对基础设施开展风险评估和安全审计,以便及时发现风险并进行修复,确保系统的安全性。
4.加强应急响应和恢复机制
快速响应:在事件发生后,需要迅速启动应急响应机制,对受影响的系统和应用进行修复和恢复。
备份与恢复:建立数据备份机制,并进行定期的恢复测试以验证备份的有效性,确保在系统故障时能够迅速恢复业务运行。
5.推动国产化替代
自主可控:考虑到全球化技术依赖可能带来的风险,我国应加快推动信息产业国产化替代的步伐,实现技术上的自给自足和自主可控。
三、构建工业控制系统可信白名单
在工控主机上实施应用程序白名单机制,只允许已知和可信的应用程序运行。这可以通过安装主机安全产品,并配置相应的白名单规则来实现。
博智工控主机卫士是一款专门针对操作员站、工程师站和服务器站等进行安全防护的客户端安全保护产品,以白名单的技术方式全方位地保护主机运行环境安全。根据白名单的配置,禁止非法进程的运行、禁止非法USB设备的接入、对重要文件防篡改保护等,构建可信环境,从而切断病毒和木马的传播与破坏路径。
通过白名单机制为终端计算机创建了一个安全的运行环境,通过扫描、学习及人工方式建立应用白名单,阻止白名单外的文件启动或加载,防范恶意程序与不合规程序运行。白名单机制可以有效阻止包括FrostyGoop、Fuxnet、PipeDream、Industroyer2、Stuxnet、Havex、BlackEnergy2、WannaCry等工控恶意程序或代码在工控主机上的执行和扩散。
规范U盘、移动硬盘等外接设备使用,并防止以USB作为媒介的攻击行为。
禁止白名单以外的程序加载运行,替代传统杀毒软件黑名单病毒库防范恶意代码的方式,避免误报同时有效防御未知恶意程序和木马。
合规性保障:工控主机卫士全面满足国家信息安全等级保护和分级保护标准中关于安全计算环境的相关技术要求。工控主机卫士的更新流程更加严格和可控,所有更新在部署前都会经过全面测试,确保不会引入新的问题。强化的安全更新流程避免了类似CrowdStrike快速响应内容更新导致的系统问题。
四、安全边界上的防火墙防护
防火墙的协议过滤和防病毒的功能,有效的保护工业控制网络的安全,保护正常的生产环境,不受外部危险的影响。
博智工控防火墙是结合前沿安全技术研发出的具有高效率、高安全性、高稳定性的工业安全边界防护产品。通过工控协议深度解析、网络流量实时监测、安全策略智能优化等技术手段实现区域隔离和威胁检测与阻断,能够有效对SCADA、DCS、PLC、RTU等工业控制系统和终端设备进行安全防护。
采用了先进的系统构架和完善的抗攻击模块,能够自动适应网络状况,将恶意的攻击数据从数据流中分析出来并进行告警或阻断动作。
提供基于状态检测技术的动态包过滤功能外,还提供用户策略规则,通过与安全策略规则配合,实现基于用户角色的安全控制。
提供物理安全通道特性。通过建立基于网络接口的安全通道控制,将物理网络接口与用户安全策略完全统一,对数据流的走向提供灵活、严格的控制。
可用于监测网络流量和识别潜在的入侵行为,并主动采取措施,阻止潜在的威胁。同时记录所有的网络活动,形成告警分析页面。
支持BYPASS、双机热备功能,当主防火墙出现断电或其它故障时能够自动切换到备防火墙进行工作,避免单点故障,保障工控业务的连续性。
五、加强应急响应和恢复能力
工业控制系统应建立全面的应急预案体系,确保在危机发生时能够迅速、有序地采取措施,最小化事件对生产运营和声誉的影响。
同时,加强数据备份机制,确保关键数据在系统故障或安全事件发生时能够迅速恢复。
采用工业级一体化便携式箱体设计,便携灵活,满足机动性需求。采用国际化标准应急处置流程,快速专业指导应急处置各环节,引导处置工作有序开展。
覆盖行业多种类安全事件应急处置模板,持续集成一线技术人员丰富处置经验,自动化事件诊断,智能推荐处置模板,提高处置速度,减少事件影响。
融合工控流量审计、工控漏洞扫描等安全产品,全方位安全扫描与检测,快速处置定位、追根溯源。
对结果进行日志分析、恶意代码分析、漏洞分析、弱口令分析、流量异常告警分析等,更快的分析定位、应对处置现场各类问题。
实践案例
某化工厂制氢车间工业生产网络大量工控上位机出现了蓝屏、不断重启现象。本次项目案例介绍旨在向大家讲述博智安全如何在接到应急防护服务请求后,携带网络安全事件应急响应平台到达客户现场,第一时间协助客户进行有效的应急处理,最大程度上减少事件造成的损失和消极影响。
经了解及分析,博智安全服务团队初步判断出客户工业生产网络中感染了“永恒之蓝”勒索蠕虫变种WannaCry2.0。经过分析,访谈,发现由于生产网络未做好隔离与最小访问控制,关键补丁未安装,蠕虫病毒通过网络大肆快速传播与感染,导致蓝屏、重启事件。
进一步分析,工业生产网络中存在大量双网卡主机,同时车间网络环境无基本逻辑隔离,导致网络边界模糊。生产网与办公室网络无防护设备,直接连通,办公室主机遭蠕虫感染之后,便会通过网络迅速传入生产网中,从而造成车间主机的蓝屏、重启现象。
解决方案
本项目,博智安全服务团队依据安全事件的分类、应急响应目标等,协助客户进行有效的应急处理,最大程度上减少事件造成的损失和消极影响,并进行事后的加固与取证工作。
鉴于工控车间的特殊性,博智安全服务团队对制氢车间的受感染工控机进行合规的病毒检测样本抓取操作,创建阻止445端口数据传播的组策略。
为防止制氢车间及其他车间免受勒索病毒或其他攻击,协助车间人员建立完善的工业安全防护制度和统一方案,确保生产安全、连续、稳定。
同时,在车间部署博智工控防护相关产品,如:博智工控主机卫士、博智工控防火墙,以便勒索病毒攻击时,可以第一时间掌握攻击源,并阻断攻击,防止勒索病毒的蔓延。
案例总结
早在2017 年 5 月 WannaCry(永恒之蓝勒索蠕虫) 大规模爆发时,博智安全服务团队立即全面启动了相关应急、分析、工具研发、病毒处置、事态追踪。经过总结发现勒索软件呈现以下三大明显特点:
1、攻击目标是经过精心选择的,一定是承载了核心业务系统,客户一旦中招须缴纳赎金或者自行解密,否则业务瘫痪。企业、政府、医疗和教育机构最易被勒索软件攻击。
2、XP、Windows 7、Windows Server 2008/2008 R2服务器操作系统最易被勒索软件攻破。
3、弱口令、共享文件、漏洞是勒索软件最常用的攻击方式。
通过该项目,化工厂生产线得以恢复,不再继续遭受该病毒的攻击威胁,博智安全服务团队的专业能力得到了用户的一致好评。
六、结语
综上所述,此次的Windows蓝屏事件为工业安全敲响了警钟,提醒我们在工业控制系统的安全防护中需要更加注重第三方软件依赖风险、充分执行软件测试验证、定期风险评估与修复、应急响应和恢复能力的提升、多元化供应商协作以及自主可控能力的提升。