智能制造企業應對新型安全威脅“勒索軟件”探討

徐金偉++郝軍雷++劉權峰++潘魯

摘 要：2017年5月12日，隨著名為“Wanna Cry”的勒索病毒大規模爆發，一種新型的具備自我傳播特性的勒索軟件及其變種，成為了全球互聯網的新型安全威脅。伴隨著“中國制造2025”發展戰略的推進，制造企業“深度兩化融合”工作的開展，智能制造企業也不可避免地面臨惡意勒索軟件的威脅。論文以智能制造企業如何應對惡意勒索軟件的入侵和攻擊展開初步探討，以期對從事信息安全建設的單位和同行有所借鑒。

關鍵詞：惡意勒索軟件；智能制造企業；安全策略

1 引言

當前，新型惡意“勒索軟件”【注1】帶來的網絡安全隱患，正在威脅著全球互聯網的安全。2016年可謂是“勒索軟件爆發年”，僅僅在前3個月，勒索軟件的敲詐金額就高達數億美元，其攻擊的目標用戶數量增加了6倍。為了逃避部署在網絡邊界的安全設備的檢測、識別和阻截，勒索軟件正在不斷進行自我技術演進：主動探測、主動掃描、主動攻擊和主動傳播將是勒索軟件下一階段的發展目標。2017年5月12日起，隨著名為“Wanna Cry”的勒索病毒大規模爆發，一種新型的具備自我傳播特性的勒索軟件及其變種，成為了全球互聯網的新型安全威脅。隨著該勒索軟件大規模地入侵和攻擊全球電腦網絡，影響波及到近100個國家和地區，其中我國部分高校、部分政府機關和企事業單位的網絡應用系統也受到了該勒索軟件的攻擊，尤其是公安行業的部分信息服務系統和能源企業的部分加油站點受到的影響更為嚴重。

這次爆發的惡意軟件“Wanna Cry”，是一種呈現為蠕蟲病毒模式的惡意勒索軟件，通過利用編號為MS17-010的Windows操作系統漏洞，主動掃描和攻擊，主動傳播和感染Windows 10版本之外，其他未能及時安裝補丁的Windows操作系統。在成功入侵計算機或服務器等主機后，“Wanna Cry”惡意勒索軟件對計算機或服務器等主機上存儲的文件進行加密操作，并彈出勒索頁面索要贖金，并威脅如果在規定時間內不交出贖金，將毀掉被加密的文件和數據等重要資產信息。

“WannaCry”勒索軟件的大規模傳播，使網絡信息安全再次面臨嚴峻的挑戰，已成為各行業信息系統和公眾關注的焦點。雖然目前這次安全事件的影響暫告一段落，但是勒索軟件的安全威脅并沒有消失，它繼續呈現出常態化的趨勢并不斷演變出新的變種，繼“WannaCry”勒索軟件之后，又有新的惡意勒索軟件不斷出現，與被稱為 Petrwrap和GoldenEye等的Petya類勒索軟件存在明顯不同，部分安全專家將這個新的勒索軟件變種命名為“Nyetya”。該變種利用 EternalBlue、EternalRomance等漏洞和新型網絡攻擊工具，利用WMI和PsExec等公共通信或共享業務端口，在被其成功入侵后的網絡內部進行橫向滲透和傳播。與“WannaCry”不同，新型變種的“Nyetya”勒索軟件，因沒有包含外部掃描組件，更難以被發現、識別和阻截，進一步增加了其網絡安全威脅程度。

面對新型的不斷演變的網絡信息安全威脅，尤其是惡意勒索軟件所產生的嚴重影響和后果，我們敏感地意識到：必須加強對惡意勒索軟件的機理研究，改進安全防護手段，以確保網絡信息系統的安全穩定運行。我們組織專項課題組，通過近一年的時間對該新型惡意軟件進行跟蹤與分析發現，惡意勒索軟件雖然目前是以互聯網上的計算機終端和服務器等主機為主要攻擊目標。但是，隨著“中國制造2025”發展目標的實施，制造企業的智能化發展步伐的加快，企業內部的管理信息系統、工業物聯網系統和工業制造控制系統之間實現縱向集成聯通后，下一步將成為網絡違法犯罪分子覬覦的重點目標，更會成為惡意勒索軟件攻擊和入侵的目標。為此，我們有必要未雨綢繆，深入研究和分析惡意勒索軟件有可能對智能制造企業的攻擊和入侵等產生的危害和影響，探討智能制造企業應對惡意勒索軟件的安全防護方案。

2 惡意勒索軟件的入侵途徑和技術特點

勒索軟件是通過使用各種加密技術手段，來阻止用戶訪問被攻擊的文件和數據，以實現最終控制目標資源為目的的一種惡意軟件。早期的惡意勒索軟件，通過使用各種加密技術來鎖定計算機的訪問權限或者拒絕訪問文件和數據（例如修改 ACL 以及禁止訪問系統工具、桌面等），而較新版本的勒索軟件，目前主要使用強加密算法（例如 AES、RSA 等）來加密用戶的文件和數據。勒索軟件專門以用戶的文件和數據為攻擊目標，同時盡量會避免破壞攻擊目標上的系統文件。原因是，一方面可以確保用戶會收到相關通知：他們的文件遭受到了攻擊；另一方面，用戶也能在支付贖金后取回他們的文件。

在對文件和數據進行加密后，惡意勒索軟件往往在自我刪除后將會留下相應文檔，該文檔會指示受害者如何支付贖金，并重新獲得對加密文件的訪問權限。使用惡意勒索軟件的攻擊者，大多以勒索贖金為目標，但也有極少數帶有政治背景或以惡意競爭為目的的攻擊者，則可能以竊取、刪除、破壞智能制造企業的重要文件和核心數據為主要目標，從而達到破壞智能制造企業的生產和正常運行的目的。對于這類以破壞企業生產和正常運營為目標的危害更大的惡意攻擊行為，我們必須給于高度重視，并進一步強化安全防范的技術措施予以應對。

早期的惡意勒索軟件，往往表現為木馬病毒模式，采用傳統的網絡釣魚方法進行入侵；如通過釣魚郵件，惡意廣告等手段，利用用戶計算機上的操作系統漏洞完成入侵和攻擊。而“Wanna Cry”惡意勒索軟件的入侵和攻擊，一改原來的被動釣魚模式，改為探測掃描Windows操作系統的漏洞后，主動向目標主機推送漏洞攻擊包，從而完成入侵和攻擊行為，同時也從傳統的木馬模式變為主動傳播擴散的蠕蟲病毒模式，如果再借助目前多種新型的網絡入侵和攻擊手段，如高級可持續性攻擊（APT）和高級逃避技術攻擊（AET），將會造成更大范圍內的惡性網絡安全事件；面對各種網絡攻擊，智能制造企業將會首當其沖，優先成為其惡意入侵和攻擊的目標，其危害后果必將嚴重影響智能制造企業的正常生產和運營。endprint

3 惡意勒索軟件的防范技術措施

由于勒索軟件可以通過多種方式完成滲透和攻擊行為，所以減少勒索軟件感染的風險需要基于安全產品組合的方案，而不是僅依靠某個安全產品或某項安全技術。為了防范勒索軟件攻擊，必須及時和快速地檢測其是否已經侵入網絡系統并進行控制以降低損害程度，對Web和郵件等勒索軟件的重要傳播路徑實現高效防護和攔截，應對勒索軟件采取的安全策略應是實現“一次發現，全面防護”。

在防范惡意勒索軟件的時候，可首先考慮采取常規的預防措施來阻止攻擊者的掃描和探測行為。例如：及時發現和修補系統中的漏洞，防止網絡釣魚行為，強化DMZ區域的安全防護等。安全防護措施主要包含五個方面。

（1）定期進行端口掃描，查看實際與互聯網鏈接的業務系統和操作系統的情況。通過采取將公共地址映射到私有地址的技術措施，減少連接到公共互聯網的業務系統和操作系統，縮小攻擊者的攻擊范圍；定期使用漏洞掃描工具對其進行掃描，盡快修復掃描報告中的高危漏洞。

（2）定期執行補丁更新。在對網絡進行常規的系統安全維護時，確保定期執行補丁維護，確保 DMZ 系統日志連接到日志采集器/SIEM，需要身份驗證的公開系統/服務都應當使用強口令，減少弱口令的使用，還可以考慮實施雙因子身份驗證等技術措施。同時，需要進行身份驗證的公開系統/服務都應具有限制功能，例如設置口令次數，超出閥值后將中斷系統/服務，以阻止外部攻擊者的暴力破解攻擊行為，實現保護網絡系統的目的。

（3）加強網絡邊界防護能力。在互聯網出口檢測并阻擋惡意勒索軟件的掃描和入侵，借助下一代防火墻（NGFW）和下一代網絡入侵防御（NGIPS）設備，采用威脅防御為核心的網絡架構設計，確保在勒索攻擊發生的整個過程能夠提供有效的威脅保護。同時采用可實時監控、管理和感知網絡內部安全事件的統一集中管理平臺（SIEM），實現網絡內部高危漏洞與資產表的清晰對應管理，根據安全預警迅速摸清網絡內的漏洞分布情況及危險程度，及時進行漏洞的修補和處理，防患于未然。利用SIEM平臺可實時發現和判斷勒索軟件的入侵和攻擊情況，以便及時和快速地采取應對措施，阻斷勒索軟件的后續入侵和攻擊，降低勒索軟件可能造成的影響范圍和損失程度。同時，在網絡內部采用設置安全分區和強化隔離等技術手段，

（4）強化郵件安全防護手段切斷傳播途徑。采取技術措施，防止惡意網絡釣魚行為，尤其是釣魚郵件事件的發生。建議設置郵件安全網關，應具備識別和阻止發送和接收可執行文件（exe、dll、cpl、scr）或帶有宏的JavaScript（.js文件）等Office 文檔，并可以掃描和識別 .zip 文件的內容。加強對SPF記錄進行檢查/驗證，以減少欺騙性電子郵件的發生，并及時升級郵件安全網關，更新網絡釣魚網站的域名信息。

（5）加強Web安全防護、攔截釣魚網站訪問。為了切斷勒索軟件利用Web方式進行傳播，建議部署Web安全網關，集成URL地址過濾、網站信譽過濾和惡意軟件過濾及數據泄露預防功能，對用戶上網行為進行全面的監控和防護

（6）強化安全管理制度。嚴格管理U盤等移動存儲介質的使用，切斷惡意勒索軟件感染系統的途徑。要求員工堅決不使用來歷不明的U盤等存儲介質，在U盤等存儲介質應用前，進行病毒掃描和查殺；如果確需在敏感的安全分區使用U盤等存儲介質，可以考慮單獨準備一批專用介質，并實行專人管理。

4 智能制造企業防范惡意勒索軟件攻擊的安全策略

隨著“中國制造2025”發展戰略的推進，制造企業“深度兩化融合”工作的開展，智能制造企業也不可避免地將會面臨惡意勒索軟件的威脅。本章將以智能制造企業如何應對惡意勒索軟件的入侵和攻擊進行初步探討。

在企業向智能制造的演進過程中，智能制造企業的網絡架構將分為三個層次：企業管理網絡、工業物聯網、工業控制系統和工業制造主機。企業的數據類型也分成商業大數據和工業大數據兩大種類。在考慮智能制造企業如何應對惡意勒索軟件的入侵和攻擊時，既要考慮網絡的總體安全防護，同時也要考慮企業網絡中的不同層次類型，進行有針對性的防護。在考慮企業核心數據安全時，也要針對不同數據類型的特點，進行有針對性的防護。尤其是工業大數據具有實時性和不可替代性的特點，除了做好常規的數據備份和異地容災工作外，更應該考慮做好存儲工業大數據的設備之間的備份熱切換和實時同步備份工作。

網絡信息安全保護工作是“三分靠技術，七分靠管理”。首先，智能制造企業應按照國家有關《信息安全等級保護》的相應規范，建設和健全企業內部的相關網絡和信息安全的各項管理制度。自行開發研制或引入網絡信息安全管理軟件平臺，將寫在紙面上的各項規章制度活化起來，做到事事有跟蹤，件件有落實，定期統計落實工作的進展情況，與企業的獎懲管理制度結合起來，把網絡和信息安全的各項管理制度，全面落實到實處。使惡意勒索軟件在企業網絡內部無處安身，更無法傳播擴散。

在按照國家有關《信息安全等級保護》的相應規范，建設和強化企業網絡邊界防護的基礎上，智能制造企業還應按照信息安全等級保護規范，考慮企業內部各業務系統或其功能模塊的實時性質、使用者類比、主要功能歸屬、設備使用場所、各業務系統間的相互關系、廣域網通信方式及對生產制造系統的影響程度等因素，依據企業系統業務流程劃分網絡內部的安全分區，并將業務系統或其功能模塊置于相應的安全分區內。安全分區之間，應采用防火墻或安全交換機實現分區間安全隔離和訪問控制，企業的核心安全區采用防火墻+IPS+主機加固軟件等綜合措施加強安全防護。以防范惡意勒索軟件入侵后，在企業網絡內部的傳播和擴散，將影響限制在最小范圍內。

智能制造企業應根據不同安全區域的安全防護要求，確定其安全等級和防護水平。其中，生產控制大區的安全等級高于管理信息大區，業務系統的安全定級按《信息系統安全等級保護定級工作指導意見》進行定級，具體等級標準見下表。（注：待國家四部委頒布新的工業制造企業《信息系統安全等級保護定級工作指導意見》后，請按照新的標準執行）。endprint

智能制造企業應依據國家頒布的有關《信息安全等級保護》的相應規范，以及即將頒布的新修訂的《信息安全等級保護》規范，對企業內部網絡的不同類別，有針對性的建設多層次的綜合安全防護方案。對于涉及企業管理和運營的局域網，應采用強化的互聯網和局域網綜合安全防護方案；對于企業內部的工業物聯網，應采用強化后的物聯網安全綜合防護方案；對于企業內部的生產制造系統，應采用工業控制邏輯校驗方案，確保工業主機的生產運行安全。企業內部的商業大數據和工業大數據應采取分別管理和分別存儲的安全防范措施。尤其是工業大數據具有實時性和不可替代性的特點，更應考慮數據的實時同步和存儲設備之間的“熱備”切換技術措施。

智能制造企業應建設基于大數據處理技術的、統一安全事件實時管理和感知平臺（SIEM），實現網絡安全工作的集中化、實時化管理，在SIEM平臺上實現清晰相符的漏洞表與資產表的對應關系管理。通過SIEM平臺，實現實時確定安全威脅來源、安全威脅類型，是否已入侵網絡，入侵后攻擊目標，攻擊成功與否，影響后果預判等安全管理目標。同時通過SIEM平臺，通過對安全大數據的分析和挖掘，實現對安全威脅的感知與預警，尤其是針對惡意勒索軟件的前期大量掃描動作的判斷，入侵攻擊中可能利用的漏洞類型，通過與資產表的對應關系，及時提供安全預警，指導智能企業網絡安全技術人員提前做好相應的防范工作，將惡意勒索軟件拒之門外，確保企業網絡安全穩定地運行。

制造企業的智能化，使企業的業務系統呈現開放化的趨勢，在為企業發展帶來新鮮活力的同時，也使得這些系統暴露在互聯網的安全威脅之下。智能制造企業應考慮采用前置服務器與后臺數據庫隔離并實施訪問控制的安全措施，既方便業務合作伙伴的工作，同時也要保護好企業的網絡和數據安全。

隨著移動辦公的興起，極大地方便了企業員工的工作，同時也為企業的網絡安全，尤其是數據安全帶來了新的隱患。智能制造企業應考慮，對移動辦公中數據安全實施全程管理，建議采用VPN技術措施實現終端和傳輸通道加密，同時輔以安全加密通道內的安全防護（防火墻+IPS）。移動辦公的服務器主機，需設置在企業網絡內部，通過采取強化安全管理技術措施，確保企業網絡和信息數據的安全。

5 結束語

在過去幾年里，在全球范圍內勒索軟件的變種和惡意入侵行為已呈明顯的上升態勢，國內的網絡違法犯罪分子，也在蠢蠢欲動，欲利用惡意勒索軟件謀取不義之財，在“Wanna Cry”惡意勒索病毒爆發的過程中，出現了中文版本的勒索通知，就是最好的佐證。在“Wanna Cry”惡意勒索病毒爆發過程中，發現了其呈現了蠕蟲病毒的諸多特征 - 快速傳播、傳送負載（勒索軟件）和削弱系統的恢復能力，由此可見自我傳播型的惡意勒索軟件（或稱其為“惡意加密軟件”）肆虐的時代即將到來。據國內外安全專家預測，惡意勒索軟件的未來發展趨勢是，該惡意軟件將變種為能夠在整個信息網絡里面，進行自我傳播和半自主的滲透，對互聯網用戶，尤其是智能制造企業造成毀滅性的惡果。

通過對這次“Wanna Cry”惡意勒索病毒爆發的過程研究和分析，發現這次病毒爆發中受害最嚴重的醫療行業部門的內部網絡，其垂直貫通情況類似于智能制造企業未來演進的模型。但是，大可不必因噎廢食停止制造企業向智能制造企業的演進過程，只要認真做好全方位的安全防護，輔以有針對性地做好惡意勒索軟件的安全防范工作，即使做不到高枕無憂，也可以將損失范圍降到最低，以確保智能制造企業的安全穩定運營。

長期以來，國內制造企業的在網絡安全方面投入了大量的資金和精力，在高安全威脅的情況下，保證了企業內部網絡安全穩定的運行。在面對自我傳播型的惡意勒索軟件肆虐的時代即將到來的時刻，制造企業在向智能制造企業演進過程中，同時應做好網絡安全規劃，擴展和建設立體化、綜合化的大縱深多層次安全防御體系，有效地面對愈加嚴重的網絡信息安全威脅，保證智能制造企業安全穩定地運行。

【注1】：惡意勒索軟件（Ransomware）的攻擊主要以高強度密碼學算法加密受害者電腦上的文件，并要求其支付贖金以換取文件解密為目的，因此該軟件也被稱為惡意加密軟件或密鎖敲詐類木馬。除此之外，近年來在Android手機上也逐漸流行一種鎖屏類敲詐木馬，這類木馬同樣是通過鎖定受害者手機屏幕，使受害者無法正常使用手機，借機進行敲詐。近年來，因感染敲詐類木馬而被迫支付贖金的事時常發生，有些受害者損失高達數萬美元。因此，敲詐木馬已逐漸成為安全領域內的重點關注對象，據安全公司統計，敲詐木馬在所有惡意軟件中所占比例，從2015年的第三位上升到了2016年的首位，形勢十分嚴峻。

參考文獻

[1] 中國安天實驗室.揭開勒索軟件的真面目[M].2015年8月5日.

[2] Ransomware[J].Wikipedia，2016年7月.

[3] Intel Security（美國）.邁克菲實驗室威脅報告[D].2016年12月13日.

[4] 360互聯網安全中心.2016年中國互聯網安全報告[D].2017年02月15日.

[5] 美國思科公司. Cisco 2016 Midyear Cybersecurity Report[D]. 2017年2月endprint