17000台工业主机宕机，让他开始调查“工业相亲对象”黑历史

在 360 企业安全去年处理的 100 多起大型的工业企业安全案例里，因为工业勒索导致生产受到影响甚至停产的大厂多达 30 多个，最惨的一个厂家停产了 21 天。

然而，这些勒索软件都不是被人故意种过去的，纯属误伤。

但这也许是一个坏消息。

“我有点担心，大家知道后会有勒索软件特别有目的地搞工业勒索，今年已经有苗头了。”360企业安全集团副总裁左英男对雷锋网宅客频道（微信ID：letshome）说。

【左英男】

躺枪与巨额误伤费

这是一家知名的汽车制造企业，业务涉及汽车制造、电池生产、电路配件等不同生产线。这家汽车制造商的惨案发生在 2017 年年底，由于惨案已经发生，安全人员能做的就是一台一台恢复主机。

难点在于，这个工厂里有很多不同的工业软件，还有十几种不同的工业协议，以及各种工业操作系统。在这 17000 多台工业主机中，Window 7 Server 操作系统占了 50% 以上，排第二位是 Windows XP。

微软中国早在 2014 年 4 月 8 日宣布停止对 Windows XP 的支持。当然，对于付费的政企用户，他们还是可以给予定期支持的。

不过，这对工业生产环境而言，并没有什么用。

工业互联生产环境，牵一发动全身，更新慢，有时甚至为了生产环境稳定，并不会更新。协议、工业软件、操作系统十分复杂，加上自身适配较难，在非停产实施的环境下，安全人员花了整整一年，才把这家汽车制造企业所有的工业主机加上了主机防护。

有意思的是，这事本来和这个汽车制造企业没有半毛钱关系，谁能想到罪魁祸首是 2017 年 5 月 12 号爆发的永恒之蓝勒索病毒的变种。

在人们的印象中，都快两年了，这货怎么还没狗带？很简单，两个原因：

第一，变种横行；

第二，有些系统没有及时打上补丁，尤其是老旧的工控主机。

遭殃的不仅是这家汽车制造商，去年 8 月，台积电位于台湾新竹科学园区的 12 英寸晶圆厂和营运总部，突然传出电脑遭勒索病毒入侵且生产线全数停摆的消息。随后位于台中科学园区的晶圆厂、龙潭封测厂，以及台南科学园区的晶圆厂也中招，台积电在台湾北、中、南的三处重要生产基地均因病毒入侵而导致生产线停摆。

即使到了今年 1 月，国内一家著名的芯片生产线依然中招，它踩的坑叫做 Wanna Miner，就是利用永恒之蓝的漏洞挖矿。

一个工业主机本身计算资源量就有限，承担着 24 小时不停机的工业控制运行，还要被耗费里面大量的资源挖矿，整个生产系统变得极其不稳定，系统开始出问题了……但是，永恒之蓝勒索病毒刚开始并非针对工业场景。也就是说，只是因为工业用的某些关键设备接入了互联网，然后不知不觉被感染了。

因此，左英男将之称为“误伤”和“躺枪”：“ 工厂躺枪，这个问题就严重了，你家里有电脑，装了一个挖矿软件，不就占点资源，慢点无所谓，所以你觉得没啥关系，但是工业现场的主机不行，我们曾见过最老的一台工业主机，只有 250 兆内存，硬盘 4 个G。在这么老旧的系统环境下，要是挖个矿，整个崩溃，因为控制逻辑没有了，接着整个生产线停掉，这叫误伤 。”

这样的“误伤”给工厂造成了巨大的损失，可能会给攻击者“发财致富”提供新思路——专门针对工业主机开展勒索攻击，随随便便要个100万赎金，不然工厂将因停产、关键数据加密等遭受更多的损失。

在一些新闻报道中，台积电因停摆三天损失超过了 5 亿美元。

冰冷工业“铜墙铁壁”瓦解

对抗思路早就有了。

左英男认为，全员身份化这种2007年就提出的理念对于工业互联网的安全架构而言，可以解决新问题。

区别于传统互联网的边界，工业互联网的“铜墙铁壁”已经因为不再封闭而全面瓦解：因为信息的共享需求，除了自己的员工，外有外包商、合作伙伴；除了人，还有各种各样的工业互联网设备。多元的设备、平台、业务让原来传统的数据中心变成了虚拟的数据中心，很多数据资产被放在了云上，工业企业不再有100% 的控制权。

2018 年，左英男所在的 360 企业安全对外提出了针对工业互联网的零信任架构，它的逻辑就是—— 我在没有完全确认的情况下，我不应该相信内部和外部任何设备甚至人，我要给他们建立一个身份标识。

这一思路脱胎于以前谷歌针对企业内部提出的零信任架构。

在工业场景下，现阶段遇到的最明确的场景就是工业物联网设备的接入。比如，以前电表不会有智能化网络的概念，就是经由电线连接，现在很多电表却是由“一根网线”连接。这意味着，所有的电表将暴露在攻击者的视野中，他们多了无数条可能切入的入口。

如何确保智能电表不是攻击者伪装攻击的一台计算机？

“你要做确认、验证、持续的验证，度量它的风险。因为电表可以访问后端业务系统，采集、交互数据，是一个非常稳定的模型，你发现有异常，突然出来一个WannaMiner这样的协议，那肯定有问题，所以也是基于行为的方式发现现有问题，就及时对它做出动态的调整，这就是零信任架构核心的理念。”左英男对雷锋网 (公众号：雷锋网) 说。

查行为：堪比调查相亲对象黑历史

查出攻击者经历了“三代”过程。

第一代技术属于“查黑”。从 1986 年到 2000 年，病毒种类比较少，每年几百个，传播速度比较慢，只要病毒一出来，研究它的特征，提取后放在黑名单里，只要在黑名单里，肯定是坏人，这是查黑的技术。

从 2000 年到 2010 年，互联网蓬勃发展，病毒也出现两个特征，第一，传播速度非常快，过去一个病毒可能在几周，甚至几个月里传播量也不会太大。第二，在互联网时代，病毒有自己的获取经济利益的模式，病毒的样本变异非常快，每天面对的可能是百万级的病毒样本，再把病毒一个个搞出来查杀，显然不可行。

黑名单变得庞大无比，变得不可运行，所以就出现了第二代白名单技术——不去管坏的，把可以信任的程序添加到名单，只要在名单，就允许运行，不在名单里，就彻底不让它运行。

在工业场景下，白名单技术大有用武之地。在一台工业主机上，运行的工业软件非常有限，仅是工业软件在控制传感器运行，数量很有限，只要把设置白名单，其他任何程序进程都不允许运行，这样就能有效避免病毒和恶意代码攻击。

2015 年，攻击者进化了。他们开始利用可信的程序，甚至是 Windows 操作系统的进程执行恶意操作，简直就是“披着羊皮的狼”，绕过了白名单的控制机制。

于是，第三代恶意代码防范技术来了。这代技术的核心堪比筛选相亲对象—— 任何一个程序在终端上的所有行为都要被记录且比对，它开展了哪些进程，打开了哪些文件，调用了什么函数，做了哪些操作，包括在网络上的行为，连接了哪些网络端口，使用什么协议，发送什么样的数据。

雷锋网了解到，因为其功能是相对确定的，行为也是相对确定的，通过数据采集与分析建模，能够建立起软件程序的行为极限。一旦发现异常行为，就要开始告警，并引入人工分析，有效地清理发生异常行为的程序，这就是查询技术的源头。

第三代查行为技术十分依赖大数据、数据建模和机器学习。左英男认为，优秀的查行为技术要通过长期的数据采集与大量数据采集建模，不断优化模型，建模建得越准，异常操作就越能准确发现。另外，查行为技术还要配合长期运营和优化。

左英男很有信心。他想，既然在非工业互联的场景里，数据可以记录人们长期用鼠标、摸手机的习惯，最后甚至可以实现不需要用户输入口令就能打开设备，那么在这些技术创新之下，冷冰冰的巨型工业设备，也许也能敞开温暖的怀抱，知道你就是你。

雷锋网原创文章，未经授权禁止转载。详情见 转载须知 。