聚焦！勒索与挖矿两类病毒成工业互联网安全主要威胁

年度报告




近日，工业控制系统安全国家地方联合工程实验室（以下简称实验室）发布了《中国工业互联网安全应急响应和产业态势分析报告（2018）》。实验室深入研究了360工业安全应急响应中心在2018年处置的工业互联网安全事件，发现勒索病毒和挖矿病毒已经成为了工业互联网面临的主要威胁，并且结合应急处置经验，给出了关键性安全建设的建议。



随着工控系统组件暴露数量和工业互联网安全漏洞的持续增长，工业企业面临的网络安全威胁形势空前严峻。企业的生产网络一旦感染勒索病毒或者挖矿病毒，轻则消耗工业主机的硬件资源，导致拖慢工业生产效率；重则导致关键文件被勒索病毒锁死，造成产品线停产，从而给企业带来巨大的经济损失。



实验室从360工业安全应急响应中心在2018年处置的典型事件中发现了3个重要规律：

1

从问题和现象上看：企业遭受攻击后的现象多为蓝屏、重启、勒索；病毒多为“永恒之蓝”蠕虫变种、挖矿蠕虫；蠕虫病毒普遍利用MS17-010漏洞进行大面积传播；

2

从行业分布上看：当前感染蠕虫病毒的企业多为智能制造、钢铁、烟草等行业的企业；

3

从原因上看：员工缺乏基本的安全意识、生产网络缺乏基本的管理、工业主机缺乏最基本的防护是网络安全事件频发的最重要原因。



例如在处置某卷烟厂遭受蠕虫病毒攻击的事件中，应急人员发现IT与OT之间缺乏基本的隔离与最小访问控制，并且没有部署工业防火墙、工业主机安全防护系统等基础的防御设备；又如在某知名汽车零部件生产企业遭受“永恒之蓝”勒索病毒攻击事件中，应急人员发现存在U盘等存储介质随意插拔的现象。



值得关注的是，实验室发现80%左右的工业互联网安全事件是由于工业主机遭受了病毒攻击，因此梳理工业资产，做好工业主机的安全防护，是工业企业网络安全建设最直接也是最有效的手段之一。



结合360工业安全应急响应中心的处置经验，实验室认为，面对频发的工业互联网安全事件，传统的安全防御产品已逐渐乏力、无法有效应对越来越严重的安全威胁。因此，构建层次清晰、定位明确、融合联动的工业互联网信息安全产品体系将成为产业未来发展的重要趋势。



实验室还认为，随着大数据、人工智能等新技术的广泛应用，积极防御、威胁情报、态势感知、安全可视化等创新理念和新产品的出现推动了传统信息安全产业的变革。

根据功能层级和数据、威胁情报流向，应当建立低位、中位、高位能力“三位一体”的安全防护体系。具体来说：工业互联网信息安全市场产品结构可从低到高分为三层：防护监测层、安全运营层、态势感知层。这三层产品分别实现不同的安全功能，三层产品进行数据、指令、威胁情报的流动，实现协同联动的整体防护效果，完成数据从低到高流动，威胁情报从高到低赋能。

来源  360企业安全

了解