2017年5月12日晚20时左右,全球爆发大规模WannaCry勒索病毒感染事件,国内众多安全厂家积极响应,分析报告无数,各家的应对方案也接踵而来,但是事后诸葛亮的办法并不能给人们以更多信心,有哪款产品事前可以预防此类病毒?面对如此疑问,各家都保持沉默,不禁让人相当的悲观。但是好消息传来,工控安全专业公司威努特日前发消息称,其在某油田现场部署的工控主机卫士安全软件,在WannaCry勒索病毒被发现前即已成功拦截WannaCry运行,保护了客户主机。
事件发生在某油田第二采气厂,2016年曾部署威努特公司工控安全防护产品,其官网有案例可查http://www.winicssec.com/Index/show/catid/17/id/122.html。
发现WannaCry的电脑位于油田采气厂调度中心,中心有两台配置完全一样的计算机,每台计算机都安装两张网卡,一张与采气厂控制网络、服务器通信,另外一张与西安总部通信,总部办公网有多台计算机感染WannaCry病毒。两台计算机都安装有霍尼韦尔的EPKS组态软件,其中一台计算机(计算机B)没有安装工控主机卫士软件,感染了WannaCry病毒,文档文件以及图像文件无法正常使用,文件的扩展名也被修改成”.wncry”,同时系统桌面出现勒索信息,如图1;
另一台计算机(计算机A)安装工控主机卫士软件,并未被病毒感染,病毒文件被工控主机卫士阻止并产生应用程序告警日志,如图2所示。
图1 现场WannaCry病毒感染情况
图2 工控主机卫士阻止记录和告警日志
两台主机对比如下表所示。病毒是通过和总部的信息网连接被感染的,由于工控网和信息网连接在同一台主机的两张网卡上,网卡隔离不但没有起到安全隔离作用,反而成了攻击的跳板。幸运的是,调度中心的主用计算机安装了工控主机卫士,阻止了病毒的执行,并进一步阻止了病毒向控制网的扩散,避免了损失的扩大化。
表1 调度中心计算机对比表
在病毒爆发不久,曾有网友在国内知名安全论坛卡饭论坛上发布了对国内外数十款杀毒软件的启发测试,结果表明在新病毒出现到杀软入库之间的这段空档期里,这些杀软全部都不能很好地保护我们的电脑。在扫描测试中,最高的查杀率也不过四分之一,这种比例与面对旧威胁时90%以上的比率形成了鲜明对比。
工控主机卫士却能在工业现场生效,根本原因是其采用了与杀软“黑名单”查杀模式完全不同的“白名单”主动防御模式。2016年,工信部在发布的《工业控制系统信息安全防护指南》中的第一条:安全软件的选择与管理中,明确提出“在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行”,将白名单软件放在了和防病毒软件同等的位置。所谓“白”是指好的、可信的,即只有可信任的设备、软件和数据,才允许在工控网络内部流通,其他恶意的、不明确的或者规定不允许的东西都不允许流通使用。这有别于“黑名单“的处理方式,即通过建立病毒库、逐条匹配查杀,只有设备、软件和数据被识别为“黑的”,才会被阻止运行。
防护理念的不同决定了效果的不同。不管WannaCry利用了什么漏洞,使用了多么先进的攻击手法,但是工控主机卫士还是能将之拒之门外。无论其将来出现多少变种,经过多么强大的升级也依然无法对被工控主机卫士保护的主机造成威胁。如果我国的工业主机都能部署工控主机卫士的安全防护,其抵御安全威胁的能力无疑将提高数个级别。
(新闻稿 2017-05-24)
