当今数字化的时代,Windows 操作系统广泛应用于各个领域,包括工业生产。然而,近期的一则消息令人震惊:全球多达 850 万台 Windows 设备遭遇了“蓝屏”问题,这不仅给个人用户带来了困扰,更对工业领域造成了巨大的冲击。工业主机作为工业生产的核心控制设备,其安全性至关重要。那么,面对这样的挑战,我们该如何有效地防护工业主机的安全呢?
CrowdStrike Falcon Sensor 是非常典型具有内核(驱动)级主防的EDR产品,在Windows平台下安装/预装后,对应程序文件安装到%ProgramFiles%\CrowdStrike指向的目录下,而将其驱动程序和重要的数据文件安装到%SystemRoot%\System32\ drivers\CrowdStrike 目录下。其主要的防御能力来自于多个系统内核驱动模块。其中CSBoot.sys是Windows 操作系统提前启动反恶意软件(ELAM)功能模块(利用微软接口实现安全软件要比恶意代码先行加载以保证引导链安全的机制)CSFirmwareAnalysis.sys是固件安全模块;CSAgent.sys是主防护的核心功能模块;cspcm4.sys为策略解析模块,加载的先后顺序依次为CSBoot.sys;CSFirmwareAnalysis.sys;CSDeviceControl.sys;CSAgent.sys;cspcm4.sys。该事件导致全球“蓝屏”所发生“蓝屏”的错误代码为:“PAGE_FAULT_IN_NONPAGED_AREA”蓝屏信息中出现错误的驱动程序为“CSAgent.sys”。结合官方处置建议中删除“C-00000291*.sys”文件的处置方案,可以明确判断本次事件直接原因是由于“CSAgent.sys”加载和解析使用存在错误设定的“C-00000291*.sys”文件所致。(部分内容来自安天技术分析)
“蓝屏”通常是由于系统故障、硬件冲突、驱动程序错误、恶意软件攻击等原因引起的。对于个人电脑而言,“蓝屏”可能只是导致暂时的工作中断和数据丢失。但在工业环境中,情况则要严重得多。
想象一下,一条自动化的生产线正在高速运转,突然控制主机出现“蓝屏”,整个生产流程瞬间停滞。这不仅会造成产品的大量浪费,还可能导致设备损坏、延误交付期限,给企业带来巨大的经济损失。更糟糕的是,如果“蓝屏”是由恶意攻击导致的,攻击者可能会趁机窃取企业的关键生产数据、商业机密,甚至对工业控制系统进行更具破坏性的操作。
本次微软“蓝屏”事件已经造成了全球性的影响。互联网监控公司Thousand Eyes提供的实时地图显示,各大洲的应用程序和网络均报告出现中断,欧洲、美国和澳大利亚报告的故障数量特别多。谷歌趋势也显示,“蓝屏”、“Windows”的搜索量在19日激增。除了受影响最严重的澳大利亚以外,多国石油、天然气、电力、股票、货币和债券交易商都在19日当天难以正常展开交易。运营伦敦证券交易所的LSEG集团表示,旗下Workspace新闻和数据平台遭遇宕机,影响了全球用户。欧洲能源交易所称,使用其Trayport电力和天然气交易平台的客户在交易中遇到了问题。石油巨头壳牌、英国石油和维多能源集团的至少六名交易消息人士表示,业务受到了影响。
工业主机号称是工业控制系统的“上帝之门”,守护好这道门对于防护工业控制系统至关重要。从纵深防御的角度,为了保护工业主机,可以从网络边界、网络通信、计算环境三个方面构建至少三道防线:
1. 工业防火墙:部署网络防火墙来监控和控制进出网络的流量,防止未授权访问和恶意软件传播。2. 工业入侵检测系统(IDS)和工业入侵防御系统(IPS):这些系统能够检测和响应潜在的恶意活动,包括攻击、漏洞利用和异常行为。3. 安全信息和事件管理(SIEM)/工业安全态势感知系统/工业安全运营平台:系统收集、分析和报告安全事件,帮助及时发现和响应安全威胁。4. 防病毒和反恶意软件:在工业主机上安装防病毒软件,定期更新病毒定义,以防止恶意软件感染。5. 白名单技术:只允许已知安全和必要的应用程序运行,阻止未授权或可疑的软件执行。6. 访问控制:实施基于角色的访问控制(RBAC),确保只有授权用户才能访问敏感数据和控制系统。7. 物理安全:保护工业主机免受物理入侵,例如通过锁定机房和使用生物识别技术。8. 网络隔离:将关键控制系统与互联网和其他网络隔离,减少被攻击的风险。9. 数据加密:对存储和传输的数据进行加密,保护数据不被未授权访问或篡改。10. 补丁管理:定期更新操作系统和应用程序的安全补丁,修复已知漏洞。11. 安全配置:确保所有系统和服务都按照最佳安全实践进行配置。12. 安全培训:对员工进行安全意识培训,教育他们识别和防范钓鱼攻击、社交工程等威胁。13. 安全审计和合规性:定期进行安全审计,确保符合行业标准和法规要求。14. 灾难恢复和业务连续性计划:制定计划以应对安全事件,确保关键业务可以在发生安全事故后迅速恢复。启示1:供应链安全需要高度重视。本次事件实际是一次供应链安全事件,导致windows蓝屏不一定要攻击windows操作系统本身,也可以通过运行在此操作系统上的软件引发主机故障。启示2:工业主机防护软件需要驱动级主动防御功能。由于工业主机安全防护仅仅进行应用程序白名单防护是不够的,因此专业工业主机防护软件往往还需要驱动级主动防御功能以应对高级恶意代码感染入侵。具备驱动级主动防御功能的工业主机防护软件需要汲取本次crowdstrike升级导致蓝屏的教训,一方面驱动级主动防御模块的设计与编程需要充分考虑异常处理,另一方面安全策略更新升级需要进行充分的测试。启示3:主机安全防护软件自身安全性需要加强重视。由于应用软件和平台具有更高的用户可见性,关系用户业务连续性,因此网络管理者往往更关注应用软件特别是平台系统的更新测试和部署流程。而安全软件为对抗威胁,对抗部署后的能力衰减,需要更高频度的升级。由于这些升级,基本上都在后台自动化运行,往往容易成为自身测试的盲点,客户侧场景下的黑箱。由于安全产品具备安全功能,容易给用户带来信任感,但安全产品的安全功能和安全产品本身的安全的并不等价,如果安全厂商不重视自身的产品的安全性,越多的功能则会带来更大的不安全。启示4:工业主机防护软件与操作系统的兼容性测试的颗粒度要达到驱动级。部署在工业主机上的白名单防护软件虽然不需要特征库升级,但仍然可能存在来自监管平台等集中管理中心的安全策略的更新,所以安全策略的更新必须要做好更新前的自测,特别是与windows操作系统的兼容性测试。启示5:质量事故给攻击者新的启发。虽然本次事件CrowdStrike认定为是一次产品质量事故,但也不排除攻击者通过流量劫持篡改、攻击安全策略集控中心等方式达到同样的灾难性后果。启示6:工业主机安全防护集中管控带来了效率提升的同时也带来了大规模生产事故的风险。在当今数字化的时代,Windows 操作系统广泛应用于各个领域,包括工业生产。然而,近期的一则消息令人震惊:全球多达 850 万台 Windows 设备遭遇了“蓝屏”问题,这不仅给个人用户带来了困扰,更对工业领域造成了巨大的冲击。工业主机作为工业生产的核心控制设备,其安全性至关重要。那么,面对这样的挑战,我们该如何有效地防护工业主机的安全呢?在当今工业数字化的浪潮中,工控主机作为工业生产的核心枢纽,其安全性至关重要。然而,微软 “蓝屏”等网络安全事件,让工控主机的安全防线备受挑战。在这样的背景下,六方云工业主机卫士以其卓越的性能和先进的技术,成为了保障工控主机安全的强大护盾。
一、广泛的格式兼容,全面防御变种威胁
六方云工业主机卫士针对 Windows 系统,能够编辑勾选特定的多种文件类型,包括可执行文件、系统文件、脚本文件等,如常见的 EXE、COM、REG、DLL、OCX、BAT、VBS、MSI、PY 等 20 余种格式。不仅如此,它还兼容 Linux、Unix 和国产化操作系统,展现出了强大的跨平台兼容性。
面对利用SmartScreen中安全漏洞传播的恶意 MSI 文件,工业卫士的白名单机制能够果断阻止其运行。同时,结合端口管控、敏感行为管控(如创建系统启动项、添加用户账户、提权用户账户等行为)以及文件/目录的完整性保护等综合防护手段,无需依赖频繁更新的特征库,即可有效防御各种变种威胁,为工控主机提供全方位的安全保障。
二、创新的白名单机制,解决部署难题
由于工业终端生产的特殊性,工业环境可能面临着不断变化的情况。例如,MES 主机程序的自动更新、工业控制软件使用中产生的随机脚本文件等。若直接部署传统的白名单,可能导致正常的工业软件和生产行为被误拦截,若不能及时更新调整白名单,甚至会严重影响生产。
而六方云工业卫士软件在众多工业企业项目中积累了丰富经验,研发出多种创新的白名单机制,成功解决了白名单部署的痛点。除了一般白名单外,还支持数字签名白名单、指纹特征白名单、MES 系统白名单,并且内置了主流工业软件的白名单。这一系列举措有效解决了白名单部署过程中的难题,确保了工业生产的稳定与顺畅。
三、构建运维管理闭环,提升安全效率
工业主机在工业现场通常分布广泛且分散,这给运维管理带来了极大的挑战。管理人员不仅需要协调各种安全系统之间的策略和配置,还要面对海量且相互割裂的安全日志和事件信息,往往力不从心,难以形成有效的管理闭环。
六方云工业主机卫士软件基于“白名单”技术,专注于解决工业主机日益严重的信息安全问题。它能够对工程师站、操作站、SCADA 服务器、历史服务器、OPC 服务器、接口机等各类工业主机进行全面防护,涵盖工业主机启动、加载、运行等全运行周期,有效避免病毒、木马和违规软件等恶意程序对其造成破坏和影响,帮助构建起工业主机运维管理的完整闭环。
四、功能特点突出,保障高效安全
精准白名单管理:通过自动扫描、跟踪软件安装及升级、自定义添加、手工导入等方式,实现对白名单的精准管理,并内置操作系统和主流工控软件白名单,大幅提升部署效率。
智能“灰过白”策略:通过集中管理端对主机的精细学习,自动生成“灰过白”的安全策略,实现同类型工业主机安全策略的批量化部署,极大地提高了安全运维效率。
预置“白名单”机制:基于丰富的工业实践经验,收集并提取大部分操作系统和主流工业应用软件的白名单,无需提前查杀病毒即可快速部署,节省实施时间,提高防护精度。
灵活外设管控:严格控制安全 U 盘和普通 U 盘的读写权限,有效杜绝数据泄露和病毒感染事件,同时可对安全 U 盘进行认证,保障数据安全摆渡。
全面外联检测:对自定义的 IP 或域名进行网络检查,及时记录和告警非法网络连接,支持冗余网卡、移动网卡检测,及时发现潜在威胁。
资源占用小,业务“零影响”:采用轻量级的白名单机制进行防护,系统资源占用极少,安装部署后对工控系统毫无影响,无需重启系统,且支持在不影响使用的情况下进行工控软件的安装和升级。
五、技术优势显著,加固安全防线
白名单快速生成:通过扫描主机可信路径或目录,能够自动快速创建主机应用程序白名单,大大提高了防护的及时性和准确性。
主机加固:通过系统内核加固,有效维护主机完整性,防止操作系统被恶意破坏。
外设管控:基于硬件 ID 进行识别和匹配,只允许授权的外设使用,进一步增强了安全性。
兼容性强:兼容各版本 Windows、Linux、Unix 和国产化操作系统,适应各种复杂的工业环境需求。
面对“蓝屏”等复杂多变的安全威胁,六方云工业主机卫士能够为用户带来广泛的格式兼容、创新的白名单机制、完善的运维管理闭环,具备突出的功能特点和显著的技术优势,能为工控主机提供智能、高效、全面的安全防护,形成全局性的资源协调体系,为系统的全局可控性提供有力保障。
