案例背景
作為“中國石化行業質量標桿企業”,陜西某化工廠有力推動了國民經濟建設���、石油石化工業發展和地區經濟社會進步,實現了產業高端化����、多元化���、低碳化���。近日�,制氫車間工業生產網絡大量工控上位機出現了藍屏、不斷重啟現象�。本次項目案例介紹旨在向大家講述博智安全如何在接到應急防護服務請求后����,第一時間協助客戶進行有效的應急處理���,最大程度上減少事件造成的損失和消極影響�����。
案例分析
經了解及分析,博智安全服務團隊斷定工業生產網絡中感染了 “永恒之藍”勒索蠕蟲變種WannaCry2.0�����。經過分析���,訪談�����,發現由于生產網絡未做好隔離與最小訪問控制�,關鍵補丁未安裝����,蠕蟲病毒通過網絡大肆快速傳播與感染,導致藍屏、重啟事件�����。
進一步分析��,工業生產網絡中存在大量雙網卡主機�,同時車間網絡環境無基本邏輯隔離����,導致網絡邊界模糊。生產網與辦公室網絡無防護設備�����,直接連通����,辦公室主機遭蠕蟲感染之后��,便會通過網絡迅速傳入生產網中�,從而造成車間主機的藍屏����、重啟現象。
解決方案
本項目��,博智安全服務團隊依據安全事件的分類�����、應急響應目標和行業特殊性�����,及時提供現場應急響應,協助客戶進行有效的應急處理�,最大程度上減少事件造成的損失和消極影響�����,并進行事后的加固與取證工作。
由于殺毒軟件難免有誤報誤刪的現象����,鑒于工控車間的特殊性�����,博智安全服務團隊對制氫車間的受感染工控機進行了手動處置�����,手動進行病毒檢測樣本抓取��,創建阻止445端口數據傳播的組策略����。
為防止制氫車間及其他車間免受勒索病毒或其他攻擊�,博智安全服務團隊協助車間人員建立完善的工業安全防護制度和統一方案,確保生產安全���、連續、穩定����。
同時����,在車間部署博智工控防護相關產品����,如:博智工控主機衛士、博智工控入侵檢測系統����,以便勒索病毒攻擊時�����,可以第一時間掌握攻擊源,并阻斷攻擊����,防止勒索病毒的蔓延����。
總結
早在2017 年 5 月 WannaCry(永恒之藍勒索蠕蟲) 大規模爆發時�����,博智安全服務團隊立即全面啟動了相關應急、分析�、工具研發�、病毒處置���、事態追蹤��。經過總結發現勒索軟件呈現以下三大明顯特點:
1�、攻擊目標是經過精心選擇的����,一定是承載了核心業務系統,客戶一旦中招須繳納贖金或者自行解密,否則業務癱瘓��。企業��、政府�、醫療和教育機構最易被勒索軟件攻擊�。
2、XP���、Windows 7、Windows Server 2008/2008 R2服務器操作系統最易被勒索軟件攻破��。
3����、弱口令、共享文件���、漏洞是勒索軟件最常用的攻擊方式。
通過該項目,陜西某化工廠生產線得以恢復����,不再繼續遭受該勒索病毒的攻擊威脅�,博智安全服務團隊的專業能力得到了用戶的一致好評�����。
“博智非攻研究院”是一支能力突出�、技術過硬�����、業務精通���、勇于創新的技術隊伍��,當前主要統籌促進公司網安攻防核心技術的研究,拓展公司安全技術能力的邊界���,牽引公司安全產品的開發和競爭力提升。團隊會依據數據產生的威脅情報���,對其中采用的各種攻防技術做深入的跟蹤和分析,并且給出專業的分析結果����、提出專業建議��,為用戶決策提供幫助。
聯系方式:400-100-0298轉1
