随着互联网、5G、大数据、云计算等技术的发展，数字世界与物理世界在互联网+时代下深度融合，安全被重新定义。企业内外部数据流的“纵向通道”、“横向通道”和“端到端通道”，都离不开网络化，网络化也是智能生产的必要途径。

为应对勒索病毒从网络层面给工控系统带来的风险，六方云从专业技术视角对勒索病毒对网络层面的威胁、攻击途径、攻击方式以及如何有效防范等方面进行深入剖析，并结合六方云全自研的核心技术和产品给出全面的解决方案。

勒索病毒已成为潜在破坏OT与IT生态系统的网络犯罪产业链

勒索病毒进程演变，动机始终为金钱变现。网络安全行业正面临着全新的挑战：一个价值数千万美元的潜在破坏OT与IT生态系统系统的网络犯罪产业链的出现。

据报道，2021年流行的Darkside勒索病毒的网络传播途径，导致美国能源基础设施遭遇了有史以来最具破坏性的网络攻击。美东多州宣布进入紧急状态，在国内掀起了囤油热潮。受害企业办公网络电脑由于居家办公开了远程桌面服务，被黑客利用bot僵尸网络进行暴力破解;暴力破解成功后，bot僵尸网络登录受害者的电脑，并从黑客事先建立好的网站(C&C服务器)中下载了Darkside勒索加密工具软件。最终，受害公司不得不向黑客支付了440万美元赎金。这次针对受害企业网络应用安全弱点进行的网络攻击，在支付赎金后，由于解密速度缓慢，依然影响了生产工作的恢复。

Darkside曾在其官网发布了一份简短的报告，声称“我们的目的只是钱，不想给社会制造麻烦。”然而却暴露了美国关键基础设施的巨大危机和不良影响。为追求利益最大化，全球大型工业企业已经成为勒索病毒团伙攻击的首要目标。

勒索病毒进入网络系统的常见攻击途径和攻击方式

1、网络邮件附件传播。

勒索软件通过伪装成产品订单详情或图纸等重要文档类的钓鱼邮件，在附件中夹带含有恶意代码的脚本文件。一旦用户打开邮件附件，便会执行里面的脚本，释放勒索软件。这类病毒传播方式的针对性较强，主要瞄准具有一定价值的企业或者研究机构文档。通过对文档的加密导致相关运行环节中需要的文件无法导入或者加载，影响正常的工作秩序，迫使公司为了止损而不得不交付赎金。

2、网络文件传播。

工业环境中一些文件需要借助于网络进行传输，大部分的文件生产在IT环境中完成，需要通过FTP(File Transfer Protocol 文件传输协议)、SMB(Server Message Block是一个协议名，它能被用于Web连接和客户端与服务器之间的信息沟通)等协议实现文件的传输。当IT系统的文件被攻击导致恶意代码植入文件中，在工业生产系统获取到该文件重新加载时会导致生产加工系统的HMI(Human Machine Interface人机界面)端或者DNC(DistributedNumerical Control分布式数控)的系统感染，导致相关的工业操作、控制界面或者存储的文件被锁定，生产系统在需要这些文件资源时无法装载。

3、内部扩散。

目前大部分的勒索病毒都具备了蠕虫的能力，这也就意味着，它们大多可以利用网络进行复制和传播，以办公网主机/数据中心服务器/操作员站/工控设备等为载体，复制自身在工业互联网的大环境下进行传播，这是所有接入网络、有通讯行为的设备都难以幸免的。如前所述，在工业环境大部分文件生产在IT环境，然后通过网络传输到OT环境，这看起来正是勒索病毒传播的良好途径。

4、隐蔽隧道。

实际的网络中，我们通常会通过各种边界设备、软/硬件防火墙甚至入侵检测系统来检查对外连接情况，如果发现异样，立即对通信进行阻断。可如果黑客将数据包按照边界设备所允许的数据包类型或端口进行封装，然后穿过边界设备与对方进行通信，当封装的数据包到达目标设备时，再将数据包还原，对设备进行入侵/感染，这种方式是传统安全设备所不能处理的，称为隐蔽隧道。在工业网络中存在着大量利用DNS、SSH、ICMP等等常用协议的隐秘隧道攻击，部分勒索病毒的入侵/传播/信息回传也是用的此种方式。

如何防范勒索病毒在工业网络层面的攻击?

网络层防范勒索病毒是一个系统工程，东西向需要对安全区域进行合理划分，对勒索病毒的影响范围进行最小化管控，做到及时发现、全局响应。南北向需要建立纵深防御体系，对勒索病毒进行层层防护，保障资产及数据安全。

1、构建纵深防御体系，构筑双重网络防线

1)防线一：部署工业网闸系统，实现IT与OT通信的物理隔离;

在办公网和工控生产网之间部署单向隔离网闸，在各层级内的安全域之间部署工业防火墙，并对两网间数据交换进行安全防护，确保生产网不会引入管理网所面临的安全风险

2)防线二：部署防火墙系统，实现监控层与操作层的细粒度访问控制;

勒索病毒风险大多是从互联网侧入侵到企业内部网络，而在监控层与操作层之间，必须采取严格防护措施，尽可能切断勒索病毒进一步传播，封禁与勒索病毒传播或相关漏洞利用相关的危险端口3389/135/137/139/445等，通过严格的访问控制策略实现网内外用户的合法安全访问，实现勒索病毒入侵有效拦截。

2、构建主动防御体系，构筑工控网络行为基线

1)部署工控网络风险评估系统，主动检测评估被勒索的风险;

部署工控网络风险评估系统，能够检测网络中的薄弱环节，一方面扫描出工控网络设备的详细信息(操作系统类型、系统账户口令、启动项、服务等)，对接入工控网络的设备业务状态全面感知;另一方面能够评估整个工控网络中的安全风险，通过对工控安全设备配置项的检查及网内设备的主动资产脆弱性扫描等手段，发现安全部署方案及安全策略的缺失及工控网络设备中已存在的漏洞，提供详细的风险信息并给出整改建议，企业能够根据检查的结果对安全设备的配置进行整改，对存在漏洞的设备进行加固，总体把控工控网络被勒索的风险，做到防患于未然。

2)部署全流量威胁检测系统，通过机器学习算法建模，建立工控网络健康行为基线，及时发现勒索病毒的细微行为;

对于勒索病毒入侵行为和扩散行为，通过部署六方云工控全流量威胁检测与回溯系统，实时识别和预警工业控制网络和工业互联网络的勒索病毒入侵和传播的异常行为安全威胁，及时与工业安全设备联动实现协同防护，并提供攻击回溯取证和安全态势定期报表，为制定工控安全策略提供支撑，形成安全闭环，进而实现工业控制网络和工业互联网络安全威胁的可视、可控、可管。

3)部署工业蜜罐系统，诱捕针对工控系统的定向勒索攻击;

蜜罐系统能够诱捕攻击者进入圈。蜜罐可以作为工业控制系统的“替身”，保护真实的工控系统不受勒索病毒的侵害：对于攻击行为的主动诱捕，帮助用户探清攻击者所用攻击策略、手段和工具。对整个过程进行追踪溯源，获得攻击者非法行为的证据。

3、构建零信任防御体系，构筑工控网络安全风险底线

1)部署工业防火墙，实现工控网络的指令级访问控制，阻断勒索病毒区域间扩散;六方云工业防火墙基于应用层数据包的深度检测，精准识别并并控制合法的网络操作，实时阻断勒索病毒利用系统漏洞和弱密码等方式进行横向传播的网络行为;

2)部署工业审计，全面监测工控网络行为，让勒索病毒无处藏身;

通过在网络关键节点部署审计设备，能够实时监测网络互访关系及操作行为，及时发现勒索病毒进行横向扩散及数据外发时的非法操作、越权访问和网络攻击等网络行为;

3)部署工业网络准入控制系统，实现基于身份、设备、应用、协议、时间的访问控制，避免勒索病毒通过非法设备入侵到内部网络;

未经授权和进行安全防护措施处理的设备及移动介质，极易成为勒索病毒入侵内部网络的载体，通过网络准入控制能够阻止非授权设备的接入，同时在主机侧部署agent，能够实时监测主机感染勒索病毒的状况，发现异常可以实时断网，避免勒索病毒感染并破坏其他资产及数据;

4、构建协同联动体系，构筑工控网络的高韧性

1)部署工业安全态势感知平台，实现工业互联场景下，对勒索病毒的整体监测与协同防御;

2)部署工业互联网边缘计算安全网关，实现工业数据在“端-场-边-管-云-数”的纵向安全联通;

5、构建数据保护体系，构筑工业数据的“保护伞”

1)部署敏感数据发现系统，实现工业数据的分类分级保护;

要保护企业的业务、生产数据，首先就要对数据进行梳理，并在此基础上通过对敏感数据特征的分析提炼出适配工业数据环境的敏感数据特征库。这样就能利用高度匹配的特征库迅速地找出系统中的敏感数据，为数据分类分级保护奠定了基础。分类分级即是将识别后的敏感数据进行筛选，根据数据的价值、重要程度进行分类，根据数据使用过程中的敏感程度进行分级，从而实现对于不同类别、级别的数据提供针对性的安全管控，防止工业数据安全策略的一刀切，防止勒索病毒突破防线后直接接触核心的工业数据。

2)在工业互联网平台内部部署微隔离防护系统，实现工业互联网平台的数据生产、使用、共享等全生命周期的安全防护;

3)部署全流量威胁检测系统，及时发现工业数据窃取的隐蔽隧道;

加密流量及隐蔽隧道为勒索攻击者窃取工业数据、企业机密提供了便利的通道。因为传统检测方式并不能进行解密，也无法看到隐藏在正常外表之下的异常，因此要检测出存在于工业网络中的数据窃取通道，追溯其行为，就必须摒弃传统基于静态比对的威胁检测方式。六方云神探产品采用了“AI+”的设计理念，内置的深度学习算法能通过对恶意加密流量、隐蔽隧道特征的提取和特征综合分析，来实现对恶意加密流量、隐蔽隧道的检测，迅速发现存在于工业网络中隐藏的风险，并给出处置建议，以此协助客户搭建防御勒索攻击者利用加密/隐蔽通道窃取工业数据的安全能力。

面对愈加严峻的勒索攻击态势，工业企业应努力提升网络安全的全体系防护水平，以高度整体化的对外、对内检测面为工业系统搭建网络安全体系，才能够抵御目前网络攻击技术水平愈加高强的定向针对性勒索攻击。进行全局掌控和预警，实现全网络环境事件告警、响应的及时化、体系化、常态化。