四、控制系统中的勒索事件

1. 2017年1月下旬，一家奥地利豪华酒店受到攻击，阻止给客人制作新的房间钥匙卡，基本上锁定他们的房间。由于每个酒店房间每晚花费高达几百美元，受害者支付大约1600美元赎金来恢复系统并继续正常的业务操作。虽没有用已知的勒索软件攻击PLC，但还是用其他方式攻击了控制系统。

2. 受WannaCry的影响，5月12日英国的几百家医院和诊所受到病毒感染，它们迫将病人转到其它地方。5月13日雷诺宣布法国桑都维尔和罗马尼亚的工厂停产，防止勒索软件在系统内扩散。除了雷诺还有一些受害者，日产位于英国东北部桑德兰(Sunderland)的制造工厂也受到影响。

当然，我们列举的这些事件只是部分受害案例，随着时间的推移，控制系统被勒索的情况必会与日俱增，且针对性也会越来越强。

　　五、九略智能安全防护策略

由上面分析可知，只有采取有针对性的措施才能起到防患于未然的最佳效果。九略智能建议相关企业针对攻击共计路径做好针对性防护措施：

　　1. 工业主机智能防护系统——防止初始感染

在ICS的工程师站、操作员站等主机上安装工业主机智能防护系统，打造工控网络最小化运行环境。

通过智能识别主机应用程序，基于进程白名单管理机制，禁止非法进程运行，阻断工控主机中病毒等恶意程序的运行以及木马、蠕虫的传播;完善的USB移动存储设备权限与操作管理，禁止非法USB设备连接到工控主机，同时对合法USB设备的操作行为进行审计和追溯，确保没有非法设备连接、没有越权操作行为以及有效防止文件泄密。

 

　　2. 工业网络智能防护系统——阻止横向与纵向传播

在不同工控功能区与“威胁”之间筑起一道防护墙，通过白名单机制(智能学习主动防御)和黑名单机制(工业网络漏洞库入侵防御)相结合有效应对各类安全威胁挑战，全面保障工业控制系统的安全稳定运行。当非安全因素到来时，可通过对工业控制协议的深度解析发现并阻断隐藏在控制协议中的恶意攻击，也可将看似正常的非法操作拦截在墙外。

 

　　3. 工业网络智能监测系统——实时监控异常流量

部署在交换机/路由器的旁路，集网络监测、协议分析和安全审计等一体，通过特定的安全策略和先进的智能学习技术，快速识别出工业控制网络中的异常事件和攻击行为并实时告警，帮您感知准确的网络安全态势。

 

另外，提高员工的安全意识也很重要，目前很多安全问题都是由于工作人员的安全防御意识薄弱，觉得自己的工业控制系统很安全，不会被攻击，而一旦攻击到来后才会意识到问题的严重性，而很多基础设施一旦遭遇攻击，可能难以恢复，严重性不言而喻，所以提高人员的安全意识很有必要。

总体来说，工控领域厂商对于勒索软件的警惕性并不高或者即使意识到严重性也没有实际采取措施来未雨绸缪，甚至很多厂商直接回避问题，这种消极心态对于预防和解决勒索事件十分不利。

随着新型勒索软件的出现，在不久的将来，可能会有网络犯罪者将会直接攻击关键基础设施。除此之外，国家背景的攻击者也可能会利用勒索软件，隐藏其真实意图。所以，关键基础设施和工控系统的相关人员也应该开始采取标准的安全实践，建立完善的安全管理制度、采取网络隔离。

作者：九略智能

(责任编辑：安博涛)