1 事件分析与经济损失
台积电是在8月3号5:00~6:00PM遭电脑病毒入侵,并于当晚十时许扩散至三大厂区。依台积电公告推算,事件发生后约四十小时,已恢复八成机台生产作业,在关键的六十小时控制系统查毒、杀毒过程后,可望全数排除电脑病毒;但比原先预期慢了约一天。台积电遭逢史上最大的资安威胁,但也凭借严谨的战队,快速化解危机让生产线恢复正常,但一个失误让台积电本季营收短少约七十八亿元,付出代价不小,也足以让其他企业警惕。
病毒事件发生原因,主要是出于“新购的工业控制主机终端在安装软件的过程中操作失误”造成的。台积电所有控制主机,包含此次新购的三台主机均为Windows 7系统,但并未“打补丁”,此次的病毒为去年全球爆发的“WannaCry”的变种,是MS017-101漏洞,通过445端口传播。病毒来源于竹科厂房的日系硅片传输系统,控制主机终端由厂商安装操作系统,并送进厂房安装后,严格规定:其开机运行前须按SOP对主机以及外设移动介质USB进行查毒,但遗憾的是并没有执行,而是直接运行程序,由于没有“横向隔离、纵向认证”等措施,病毒通过可存储设备、网络等在不同系统间的通信传播,然后蔓延至中科和南科厂房,导致了此次恶性病毒在控制网扩散的事件。
很显然,这是一次典型的工控信息安全事故,也意味着没有工控信息安全防护解决方案的保护,先进制造业将面临着巨大的风险和损失。
2 针对台积电病毒事件,《安全指南》的措施
在台积电病毒事件发生后,许多的工控网络安全技术厂家围绕主机终端安全等均给出了可行的解决方案,不失为“亡羊补牢”之举,但如何切实可行地杜绝此类事件的发生,我国的《工业控制系统信息安全防护指南》(以下简称:防护指南)早已给出了指导意见:
1) 建立防病毒和恶意软件入侵管理机制,对工业控制系统及临时接入的设备采取病毒查杀等安全预防措施。
2) 在工业主机上采用经过离线环境中充分验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
具体实践措施:
1) 企业应加强工业控制系统软件补丁的管理,过程监控设备软件的系统补丁升级和病毒库升级应在线下模拟系统中进行验证,在不影响系统可用性、实时性和稳定性的前提下实施更新。
2) 在过程监控设备上宜采用防病毒软件或应用程序白名单软件,只允许经过授权和安全评估的软件运行,防止病毒或未经企业授权的程序运行。
3) 应建立防病毒和恶意软件管理机制,对工业控制系统及临时接入的设备(调试用便携式计算机、移动存储设备等)采取病毒查杀等安全预防措施。
4) 防病毒软件宜采取离线升级的方式更新病毒库。
3 针对台积电病毒事件,海天炜业的《安全指南》实践
1) 建立防病毒和恶意软件入侵管理机制
病毒和恶意代码是工控系统主要威胁之一,应对工控系统设备(例如操作员站、工程师站、控制服务器等)部署病毒和恶意代码集中监控、防护管理措施,对工业控制系统及临时接入的设备进行病毒和恶意代码扫描检测,防止遭受病毒和恶意软件攻击。
《防护指南》要求工业企业应建立《防病毒和恶意软件入侵管理制度》,从管理层面对恶意代码进行防范,其中包括对工业控制系统内各设备实施病毒查杀和对临时接入设备的病毒查杀。
在一个工业企业内工业控制系统往往比较功能分散,各功能之间并没有直接的网络连接,如果采用传统网络版杀毒软件就要求这些本身相对独立的系统物理上具备了连接。因此在工业控制系统中防病毒和恶意代码软件往往采取离线升级的方法,如何保证在病毒查杀过程中能尽量的发现最新的病毒可能是一个难点。
因此在为客户部署安全的控制网络环境的同时,再帮助客户制定了完善的《防病毒和恶意软件入侵管理制度》,其中详细规定病毒库升级的方法与间隔周期,不让新的病毒有可乘之机就显得格外珍贵。
2)主机安全防御实践
在工业主机上采用通过离线环境验证测试的防病毒软件或应用程序白名单软件,只允许经过工业企业自身授权和安全评估的软件运行。
工业控制系统对可用性和实时性要求非常高,《防护指南》要求:任何未经验证测试的软件都可能影响控制系的稳定性,应对防病毒软件或应用程序白名单软件进行离线测试,测试无风险后,方可在工业主机上部署。
但在工业控制系统中,由于长期的生产过程以正确实现操作为基本目标,工业控制系统网络非常封闭,对恶意代码防范方面疏于管理,部分工业主机(如上位机)甚至安装游戏软件,这就给工业控制系统带来了极大的安全隐患。从另一个角度来看,工业控制系统不同于传统信息系统,工业控制系统功能是事先完全确定好的,因此就可以使用程序白名单技术对系统软件使用进行限定。
工业主机有效防护机制有“黑名单机制”和“白名单机制”,相比之下工控网络则更加注重防护的“高可用性”和“高可靠性”,鉴于工业应用的特殊性,“黑名单机制”无法应对多元化的风险及威胁,利用“白名单机制”可以建立工控行业应用程序信誉库,如海天炜业的基于可信计算技术的“InTrust可信芯片工控网络安全平台”,为工控应用程序提供可信认证、授权和评估,同时辅助沙箱检测技术和杀毒软件进行应用程序软件的安全性测试,从根本上保证了工控主机安全。
要防范恶意代码,使用程序白名单技术,就必然需要在工业主机上安装防病毒软件或应用程序白名单软件。一方面,系统在首次上线运行和变更过程中是最容易出现问题的,工业主机在安装软件时一旦发生问题直接影响到现实世界,造成不可挽回的损失;另一方面,相当一部分工业主机由于所处的实际环境,往往存在着系统老旧、性能低下等问题。因此提出在工业主机上部署防病毒软件或应用程序白名单软件时,应经过离线环境中充分验证测试。工业控制系统由于其价格高昂,要搭建完全相同的测试环境可能是一个难点。
通过以往对工业企业进行的长期访谈和调研情况来看,一方面,无论生产管理人员、生产操作人员,还是信息系统管理人员,都极少有对整个工业控制系统业务掌握充分的专业人员;另一方面,工业企业缺乏具有对运行软件进行安全评估的技术实力,这都导致程序白名单技术的实现成为难点。
在具体落地过程中,可通过与安全技术商合作来弥补工业生产加工企业自身的技术短板,并采购具有国家专业机构认证的产品。
4 建立长效安全机制
此次台积电病毒事件表明:类似“WannaCry”病毒及其变种在网络中依然存在,可能通过各种方式进入企业内部网络,对工业生产控制系统构成巨大威胁。工业企业需要提高安全意识、做好安全防护,防止类似事件发生。
1) 在生产系统发生重大漏洞补丁更新、新增或减少设备等重大配置变更时,应对可能出现的风险进行分析,并在离线环境进行安全性验证。
2) 做好工业控制网络与企业网、互联网之间的边界进行安全防护,禁止没有防护的工业控制网络与互联网连接。
3) 做好供应链管理工作,明确服务商应承担的信息安全责任和义务,确保采购的产品没有受到病毒等恶意程序的感染。
4) 制定工控安全事件应急响应预案及定期开展应急演练,当遭受病毒攻击时,能够立即采取紧急防护措施,防止事态扩大,尽快恢复业务,减少损失。
在这四点要求中,更需要建议“应急处理机制”和“制定适合连续生产要求的工控网络安全框架”
1)应急处理机制
由于制造型企业为了提高产品竞争优势,保证行业地位,不断谋求提高自身生产控制系统的信息化程度,以保证其生产先进性与产能,这必然导致同一环境下,不同开发商或品牌的系统不断增加,同时增加了网络环境的复杂性,这就给恶意代码的隐匿传播带来了便利性,因为对于其中某一系统而言,其他系统都可能带来不安全的因素。
在企业运营过程中,生产连续性是第一要务,我们需要保证生产过程的顺利执行,这就给安全处置技术带来了很大难度。由于工控网络复杂性的不断提高,以及安全威胁的潜伏期与攻击持续性的不断增加,企业需要动态的、个性化的网络安全响应能力,与专业的工控网络安全技术厂商强强联合,建立能够处理跨时段碎片化网络威胁数据的能力,并能够通过技术手段达到应对跨部门、跨工种的网络安全应急响应需求。
2)“安全运维”到“安全运营”的质变
未来工业控制网络威胁识别能力的建设将成为工业企业实现生产控制网络安全的重中之重,由于我国控制系统强依赖于国外,一些企业把这一工作寄托在安全技术厂商身上,但我国的工业控制网络不同于国外,有其特殊性,这就需要工业生产加工企业与我国的安全技术厂商不断互动,建立长效沟通机制,以达到动态提高自身网络安全防护能力的目的,同时这也是对工控安全技术厂商安全服务能力的一大考验。
随着我国“中国制造2025”计划的深入推进,工业控制网络会越来越复杂,对恶意代码的横向扩散迫切需要通过加强网络安全威胁识别能力与部署网络安全防护技术来进行有效的阻断与隔离,通过在关键节点进行威胁数据搜集,提供决策辅助,达到动态防护效果,达成高效的纵深防御机制。
现代化的智能加工,需要具有基于威胁情报数据、围绕客户资产安全的安全运营服务,真正实现由“安全运维”到“安全运营”,亟待需要如下技术,这是安全技术服务厂商的一种社会责任。
1) 资产发现与管理;
2) 威胁监测与分析;
3) 智能化应急响应;
4) 漏洞全生命周期管理。
