工控安全现场案例分析.PDF

工控安全现场案例分析 北京威努特技术有限公司 公司简介  北京威努特技术有限公司是国内专注于工控安全领域的高新技 术型企业。以研发工控安全产品为基础，打造多行业安全解决 方案，提供培训、咨询、评估、建设、运维全流程安全服务。  国内首家提出工业网络“白环境”理念，迄今已服务电力、石 油、石化、市政、烟草、化工、军工、轨道交通等行业近百家 客户，落地项目遥遥领先 ，奠定了工控安全市场核心领导地位。 01 典型安全事件案例分析 目 02 典型现场实施案例分享 录 03 “白环境”解决方案解读 典型案例分析 Ⅰ：让“WannaCry”笑不出来  案例背景 2017年5月12日晚20时左右，全球爆发大规模的“WannaCry”勒索病毒事 件。该病毒由不法分子利用NSA （National Security Agency ，美国国家安全局） 泄露的危险漏洞“EternalBlue” （永恒之蓝）进行传播，俨然是一场全球性互 联网灾难，工业现场也没有幸免于难。  问题描述 威努特第一时间协助客户做病毒清理和主机加固的工作，并做出情况总结： • 工业客户中，地域分布广的工业控制现场是重灾区。 • 办公网中毒比较严重，但是生产网也不同程度感染。 • 病毒由办公网进入生产网的趋势比较明显。 “WannaCry” 出现在工业现场的原因  问题分析 • 办公网和生产网没有物理隔离，很多是通过主机双网卡的形式做逻辑隔离， 为病毒传播提供重要途径。 • 对移动存储设备使用的管控失位，进一步扩大了安全风险。 • 部分现场应用软件使用的端口和病毒利用的端口一致，难以做到端口的有 效控制。 • 基于“黑名单”思路的杀毒软件在面对0Day漏洞和未知威胁时往往束手 无策，被动防御。 “WannaCry”事件部分工业现场情况统计 威努特基于“白名单”思想的工控主机卫士在此次事件中表现不凡，工业现场 部署了该软件的主机无一感染。 工业现场 中毒情况 操作系统 主机防护 后续措施 生产网免费 办公网：1 Windows XP、Windows 7 办公网：北信源、360天擎 油田现场1 试用工控主 生产网：7 Windows server 2008 R2 生产网：无 机卫士 办公网：30 生产网全部 生产网：2 Windows XP 办公网：诺顿 油田现场2 部署工控主 （部署工控主机卫士 Windows 7 生产网：部分部署工控主机卫士 机卫士 的主机病毒未生效） 办公网：未统计