事件背景

2024年7月19日的全球Windows操作系統(tǒng)大規(guī)模藍(lán)屏事件，經(jīng)確認(rèn)是由美國一家網(wǎng)絡(luò)安全企業(yè)CrowdStrike的一次更新，導(dǎo)致全球航空、金融、醫(yī)療保健和教育等領(lǐng)域出現(xiàn)嚴(yán)重中斷。

根據(jù)CrowdStrike給出的解釋分析，程序在增加處理一個(gè)新型惡意代碼攻擊技術(shù)時(shí)，采用了快速響應(yīng)內(nèi)容更新方式，由于沒有進(jìn)行充分的測試，有問題的更新被推入生產(chǎn)環(huán)境，更新相應(yīng)的配置文件觸發(fā)了一個(gè)代碼中的邏輯錯(cuò)誤，在內(nèi)核態(tài)形成非法內(nèi)存訪問觸發(fā)操作Windows系統(tǒng)的自我保護(hù)機(jī)制BSOD。全球約850萬臺計(jì)算機(jī)出現(xiàn)“藍(lán)屏”死機(jī)現(xiàn)象，出現(xiàn)故障的終端并不限于桌面終端，還覆蓋了大量的服務(wù)器和云節(jié)點(diǎn)，相關(guān)主機(jī)重新啟動(dòng)后依然會(huì)自動(dòng)進(jìn)入藍(lán)屏狀態(tài)，形成了反復(fù)崩潰閉環(huán)。

盡管微軟和CrowdStrike官方發(fā)布了修復(fù)指南和工具，且截止目前大部分受影響企業(yè)已恢復(fù)正常運(yùn)作，但許多企業(yè)仍在努力搶修中。同時(shí)也存在不法分子假借發(fā)布“修復(fù)工具”之名，公然散播惡意軟件，需注意防范。本次事件是繼WannaCry病毒攻擊事件后規(guī)模最大的一次IT故障，據(jù)數(shù)據(jù)分析機(jī)構(gòu)估計(jì)，單是對于財(cái)富500強(qiáng)企業(yè)，這次事件帶來的損失可能高達(dá)54億美元。事件無疑給全球科技企業(yè)都敲響了一記警鐘。

值得注意的是在此次“微軟藍(lán)屏”事件中，我國公共服務(wù)系統(tǒng)穩(wěn)定運(yùn)行，幾乎未受到影響，得益于國產(chǎn)操作系統(tǒng)的堅(jiān)實(shí)支撐，及國產(chǎn)網(wǎng)絡(luò)安全軟件的穩(wěn)定性和安全性，在實(shí)際應(yīng)用中展現(xiàn)出強(qiáng)大的抗風(fēng)險(xiǎn)能力。

二、windows藍(lán)屏事件對工業(yè)控制系統(tǒng)安全防護(hù)的啟示

1.第三方軟件高度依賴風(fēng)險(xiǎn)

事件影響：此次藍(lán)屏事件源于網(wǎng)絡(luò)安全公司CrowdStrike的一次殺毒軟件更新與Windows系統(tǒng)組件不兼容，直接導(dǎo)致了全球范圍內(nèi)的系統(tǒng)崩潰。這顯示了工業(yè)控制系統(tǒng)在高度依賴第三方軟件和服務(wù)時(shí)，面臨的潛在風(fēng)險(xiǎn)。

啟示：傳統(tǒng)安全防護(hù)手段不適用于工業(yè)控制系統(tǒng)，工業(yè)控制系統(tǒng)需要建立更加嚴(yán)格和多元化的第三方軟件和服務(wù)監(jiān)控機(jī)制，并通過實(shí)施嚴(yán)格的軟件更新和補(bǔ)丁管理策略，降低風(fēng)險(xiǎn)。

2.充分執(zhí)行軟件測試驗(yàn)證

必須明確并嚴(yán)格執(zhí)行軟件各場景下的更新測試和驗(yàn)證，確保軟件升級更新的穩(wěn)定性和安全性。

在工業(yè)環(huán)境部署更新時(shí)，必須確?？煽氐母路秶c更新節(jié)奏。

3.定期的風(fēng)險(xiǎn)評估與修復(fù)

定期安全評估：定期針對基礎(chǔ)設(shè)施開展風(fēng)險(xiǎn)評估和安全審計(jì)，以便及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)并進(jìn)行修復(fù)，確保系統(tǒng)的安全性。

4.加強(qiáng)應(yīng)急響應(yīng)和恢復(fù)機(jī)制

快速響應(yīng)：在事件發(fā)生后，需要迅速啟動(dòng)應(yīng)急響應(yīng)機(jī)制，對受影響的系統(tǒng)和應(yīng)用進(jìn)行修復(fù)和恢復(fù)。

備份與恢復(fù)：建立數(shù)據(jù)備份機(jī)制，并進(jìn)行定期的恢復(fù)測試以驗(yàn)證備份的有效性，確保在系統(tǒng)故障時(shí)能夠迅速恢復(fù)業(yè)務(wù)運(yùn)行。

5.推動(dòng)國產(chǎn)化替代

自主可控：考慮到全球化技術(shù)依賴可能帶來的風(fēng)險(xiǎn)，我國應(yīng)加快推動(dòng)信息產(chǎn)業(yè)國產(chǎn)化替代的步伐，實(shí)現(xiàn)技術(shù)上的自給自足和自主可控。

三、構(gòu)建工業(yè)控制系統(tǒng)可信白名單

在工控主機(jī)上實(shí)施應(yīng)用程序白名單機(jī)制，只允許已知和可信的應(yīng)用程序運(yùn)行。這可以通過安裝主機(jī)安全產(chǎn)品，并配置相應(yīng)的白名單規(guī)則來實(shí)現(xiàn)。

博智工控主機(jī)衛(wèi)士是一款專門針對操作員站、工程師站和服務(wù)器站等進(jìn)行安全防護(hù)的客戶端安全保護(hù)產(chǎn)品，以白名單的技術(shù)方式全方位地保護(hù)主機(jī)運(yùn)行環(huán)境安全。根據(jù)白名單的配置，禁止非法進(jìn)程的運(yùn)行、禁止非法USB設(shè)備的接入、對重要文件防篡改保護(hù)等，構(gòu)建可信環(huán)境，從而切斷病毒和木馬的傳播與破壞路徑。

通過白名單機(jī)制為終端計(jì)算機(jī)創(chuàng)建了一個(gè)安全的運(yùn)行環(huán)境，通過掃描、學(xué)習(xí)及人工方式建立應(yīng)用白名單，阻止白名單外的文件啟動(dòng)或加載，防范惡意程序與不合規(guī)程序運(yùn)行。白名單機(jī)制可以有效阻止包括FrostyGoop、Fuxnet、PipeDream、Industroyer2、Stuxnet、Havex、BlackEnergy2、WannaCry等工控惡意程序或代碼在工控主機(jī)上的執(zhí)行和擴(kuò)散。

規(guī)范U盤、移動(dòng)硬盤等外接設(shè)備使用，并防止以USB作為媒介的攻擊行為。

禁止白名單以外的程序加載運(yùn)行，替代傳統(tǒng)殺毒軟件黑名單病毒庫防范惡意代碼的方式，避免誤報(bào)同時(shí)有效防御未知惡意程序和木馬。

合規(guī)性保障：工控主機(jī)衛(wèi)士全面滿足國家信息安全等級保護(hù)和分級保護(hù)標(biāo)準(zhǔn)中關(guān)于安全計(jì)算環(huán)境的相關(guān)技術(shù)要求。工控主機(jī)衛(wèi)士的更新流程更加嚴(yán)格和可控，所有更新在部署前都會(huì)經(jīng)過全面測試，確保不會(huì)引入新的問題。強(qiáng)化的安全更新流程避免了類似CrowdStrike快速響應(yīng)內(nèi)容更新導(dǎo)致的系統(tǒng)問題。

四、安全邊界上的防火墻防護(hù)

防火墻的協(xié)議過濾和防病毒的功能，有效的保護(hù)工業(yè)控制網(wǎng)絡(luò)的安全，保護(hù)正常的生產(chǎn)環(huán)境，不受外部危險(xiǎn)的影響。

博智工控防火墻是結(jié)合前沿安全技術(shù)研發(fā)出的具有高效率、高安全性、高穩(wěn)定性的工業(yè)安全邊界防護(hù)產(chǎn)品。通過工控協(xié)議深度解析、網(wǎng)絡(luò)流量實(shí)時(shí)監(jiān)測、安全策略智能優(yōu)化等技術(shù)手段實(shí)現(xiàn)區(qū)域隔離和威脅檢測與阻斷，能夠有效對SCADA、DCS、PLC、RTU等工業(yè)控制系統(tǒng)和終端設(shè)備進(jìn)行安全防護(hù)。

采用了先進(jìn)的系統(tǒng)構(gòu)架和完善的抗攻擊模塊，能夠自動(dòng)適應(yīng)網(wǎng)絡(luò)狀況，將惡意的攻擊數(shù)據(jù)從數(shù)據(jù)流中分析出來并進(jìn)行告警或阻斷動(dòng)作。

提供基于狀態(tài)檢測技術(shù)的動(dòng)態(tài)包過濾功能外，還提供用戶策略規(guī)則，通過與安全策略規(guī)則配合，實(shí)現(xiàn)基于用戶角色的安全控制。

提供物理安全通道特性。通過建立基于網(wǎng)絡(luò)接口的安全通道控制，將物理網(wǎng)絡(luò)接口與用戶安全策略完全統(tǒng)一，對數(shù)據(jù)流的走向提供靈活、嚴(yán)格的控制。

可用于監(jiān)測網(wǎng)絡(luò)流量和識別潛在的入侵行為，并主動(dòng)采取措施，阻止?jié)撛诘耐{。同時(shí)記錄所有的網(wǎng)絡(luò)活動(dòng)，形成告警分析頁面。

支持BYPASS、雙機(jī)熱備功能，當(dāng)主防火墻出現(xiàn)斷電或其它故障時(shí)能夠自動(dòng)切換到備防火墻進(jìn)行工作，避免單點(diǎn)故障，保障工控業(yè)務(wù)的連續(xù)性。

五、加強(qiáng)應(yīng)急響應(yīng)和恢復(fù)能力

工業(yè)控制系統(tǒng)應(yīng)建立全面的應(yīng)急預(yù)案體系，確保在危機(jī)發(fā)生時(shí)能夠迅速、有序地采取措施，最小化事件對生產(chǎn)運(yùn)營和聲譽(yù)的影響。

同時(shí)，加強(qiáng)數(shù)據(jù)備份機(jī)制，確保關(guān)鍵數(shù)據(jù)在系統(tǒng)故障或安全事件發(fā)生時(shí)能夠迅速恢復(fù)。

采用工業(yè)級一體化便攜式箱體設(shè)計(jì)，便攜靈活，滿足機(jī)動(dòng)性需求。采用國際化標(biāo)準(zhǔn)應(yīng)急處置流程，快速專業(yè)指導(dǎo)應(yīng)急處置各環(huán)節(jié)，引導(dǎo)處置工作有序開展。

覆蓋行業(yè)多種類安全事件應(yīng)急處置模板，持續(xù)集成一線技術(shù)人員豐富處置經(jīng)驗(yàn)，自動(dòng)化事件診斷，智能推薦處置模板，提高處置速度，減少事件影響。

融合工控流量審計(jì)、工控漏洞掃描等安全產(chǎn)品，全方位安全掃描與檢測，快速處置定位、追根溯源。

對結(jié)果進(jìn)行日志分析、惡意代碼分析、漏洞分析、弱口令分析、流量異常告警分析等，更快的分析定位、應(yīng)對處置現(xiàn)場各類問題。

實(shí)踐案例

某化工廠制氫車間工業(yè)生產(chǎn)網(wǎng)絡(luò)大量工控上位機(jī)出現(xiàn)了藍(lán)屏、不斷重啟現(xiàn)象。本次項(xiàng)目案例介紹旨在向大家講述博智安全如何在接到應(yīng)急防護(hù)服務(wù)請求后，攜帶網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)平臺到達(dá)客戶現(xiàn)場，第一時(shí)間協(xié)助客戶進(jìn)行有效的應(yīng)急處理，最大程度上減少事件造成的損失和消極影響。

經(jīng)了解及分析，博智安全服務(wù)團(tuán)隊(duì)初步判斷出客戶工業(yè)生產(chǎn)網(wǎng)絡(luò)中感染了“永恒之藍(lán)”勒索蠕蟲變種WannaCry2.0。經(jīng)過分析，訪談，發(fā)現(xiàn)由于生產(chǎn)網(wǎng)絡(luò)未做好隔離與最小訪問控制，關(guān)鍵補(bǔ)丁未安裝，蠕蟲病毒通過網(wǎng)絡(luò)大肆快速傳播與感染，導(dǎo)致藍(lán)屏、重啟事件。

進(jìn)一步分析，工業(yè)生產(chǎn)網(wǎng)絡(luò)中存在大量雙網(wǎng)卡主機(jī)，同時(shí)車間網(wǎng)絡(luò)環(huán)境無基本邏輯隔離，導(dǎo)致網(wǎng)絡(luò)邊界模糊。生產(chǎn)網(wǎng)與辦公室網(wǎng)絡(luò)無防護(hù)設(shè)備，直接連通，辦公室主機(jī)遭蠕蟲感染之后，便會(huì)通過網(wǎng)絡(luò)迅速傳入生產(chǎn)網(wǎng)中，從而造成車間主機(jī)的藍(lán)屏、重啟現(xiàn)象。

解決方案

本項(xiàng)目，博智安全服務(wù)團(tuán)隊(duì)依據(jù)安全事件的分類、應(yīng)急響應(yīng)目標(biāo)等，協(xié)助客戶進(jìn)行有效的應(yīng)急處理，最大程度上減少事件造成的損失和消極影響，并進(jìn)行事后的加固與取證工作。

鑒于工控車間的特殊性，博智安全服務(wù)團(tuán)隊(duì)對制氫車間的受感染工控機(jī)進(jìn)行合規(guī)的病毒檢測樣本抓取操作，創(chuàng)建阻止445端口數(shù)據(jù)傳播的組策略。

為防止制氫車間及其他車間免受勒索病毒或其他攻擊，協(xié)助車間人員建立完善的工業(yè)安全防護(hù)制度和統(tǒng)一方案，確保生產(chǎn)安全、連續(xù)、穩(wěn)定。

同時(shí)，在車間部署博智工控防護(hù)相關(guān)產(chǎn)品，如：博智工控主機(jī)衛(wèi)士、博智工控防火墻，以便勒索病毒攻擊時(shí)，可以第一時(shí)間掌握攻擊源，并阻斷攻擊，防止勒索病毒的蔓延。

案例總結(jié)

早在2017 年 5 月 WannaCry（永恒之藍(lán)勒索蠕蟲） 大規(guī)模爆發(fā)時(shí)，博智安全服務(wù)團(tuán)隊(duì)立即全面啟動(dòng)了相關(guān)應(yīng)急、分析、工具研發(fā)、病毒處置、事態(tài)追蹤。經(jīng)過總結(jié)發(fā)現(xiàn)勒索軟件呈現(xiàn)以下三大明顯特點(diǎn)：

1、攻擊目標(biāo)是經(jīng)過精心選擇的，一定是承載了核心業(yè)務(wù)系統(tǒng)，客戶一旦中招須繳納贖金或者自行解密，否則業(yè)務(wù)癱瘓。企業(yè)、政府、醫(yī)療和教育機(jī)構(gòu)最易被勒索軟件攻擊。

2、XP、Windows 7、Windows Server 2008/2008 R2服務(wù)器操作系統(tǒng)最易被勒索軟件攻破。

3、弱口令、共享文件、漏洞是勒索軟件最常用的攻擊方式。

通過該項(xiàng)目，化工廠生產(chǎn)線得以恢復(fù)，不再繼續(xù)遭受該病毒的攻擊威脅，博智安全服務(wù)團(tuán)隊(duì)的專業(yè)能力得到了用戶的一致好評。

六、結(jié)語

綜上所述，此次的Windows藍(lán)屏事件為工業(yè)安全敲響了警鐘，提醒我們在工業(yè)控制系統(tǒng)的安全防護(hù)中需要更加注重第三方軟件依賴風(fēng)險(xiǎn)、充分執(zhí)行軟件測試驗(yàn)證、定期風(fēng)險(xiǎn)評估與修復(fù)、應(yīng)急響應(yīng)和恢復(fù)能力的提升、多元化供應(yīng)商協(xié)作以及自主可控能力的提升。