威努特給台積電支招-工業防病毒ABC法

最新 08-20

RT FORUM 秋季論壇倒數

93天

RT軌道交通

軌道交通行業即時資訊哪裡找？

8月7日，已經是台積電生產網路及管理總部遭受大面積中毒的第5天，網路安全企業、媒體都在積極反饋、出謀劃策。但根據媒體廣泛報道來看，作為承擔全球近六成晶元代工業務的高科技公司，其網路安全建設絕無可能是一張白紙，甚至在5個多月前還有主管防黑客工作在台積電任職22年的資深副總經理左大川，他主導的安全體系Defense in Depth類似我們常常提到的縱深防禦，台積電內部還開發過一套軟體，只要黑客一有動作，就很快被抓到。但！這次還是在台灣北、中、南三處重要生產基地同步遭受病毒入侵，導致部分廠區生產停擺。

從台積電遭遇病毒的過程來看：

第一沒有抵擋病毒的入侵

第二沒有監測出病毒的傳播的範圍

第三沒有阻止第二時間病毒的蔓延

讓人不禁唏噓，整個生產網路還是非常脆弱的。對！非常脆弱！工控安全一個必須要接受的事實就是要在生產網路脆弱性得不到根本改善的前提下開展安全建設且要有相當安全防禦能力

筆者在此不做全面討論，僅針對工業主機安全防護展開探討。在台積電事件中，有一點不難推論即其工業主機存在遠程溢出漏洞，安全措施缺失或失效。對於工業企業用戶而言，工業主機長時間存在系統漏洞是現狀也是預期，這就是我們必須要接受的事實。

如何應對此問題，筆者提出「ABC」工業主機安全防護理念

AWL（Application White List）應用程序（文件級）白名單技術

Before and After 存儲介質使用前、使用後殺毒

Configuration Management主機配置安全管理

AWL（Application White List）

經過近幾年工控安全產業實踐，基於應用程序啟動控制的「白名單」技術由於其資源佔用小、兼容性好、可抵禦「0day」，尤其是不存在升級且規避了殺毒軟體誤殺的問題已經被廣泛接受和應用。但其實AWL也存在「庫」的問題，即支持的PE（Portable Executable）文件種類。當前惡意程序越來越多的通過「腳本」、「宏」、「遠程溢出」等方式感染，市面大多AWL產品還停留在針對exe、bat、dll文件甚至進程級的控制，面對越來越高級的病毒傳播方式顯得束手無策，自身都漏洞百出。

考察一款AWL產品是要特別注意以下三點：

AWL產品支持的PE文件類型種類是否豐富

AWL產品自身強壯性是否可靠

AWL產品工程實施是否具備可行性

Before and After

毫無疑問，U盤、移動硬碟等移動存儲介質是工控網路病毒引入的最主要途徑，AWL作為最後一道防線解決惡意程序執行問題，而Before and After要解決工業主機物理接觸引入病毒問題。這裡的「一前一後」要求移動存儲介質使用前使用後都要進行一次完整的病毒查殺動作，確保存儲介質不攜毒。但要注意，配合這個管理動作需要一台安裝防病毒軟體的「中間機」，對「中間機」要求一不聯網（包括互聯網）、二要持續更新、三要有自身安全防護。經過實踐表明在存儲介質使用過程中完成一次B&A，移動存儲介質攜毒現象幾乎可以降低為零。

Configuration Management

B&A解決了物理接觸引入病毒問題，而配置管理要重點解決工業主機作為網路中一個節點面臨網路威脅的問題，包括本次事件以及2017年WannaCry在內，都指向了一個基本問題即操作系統基本安全配置缺失門戶大開，給惡意程序的入侵蔓延提供了「沃土」。安全配置換一個說法其實就是最小化的問題，僅提供工業主機承擔生產業務的最小化環境，關閉或刪除不需要的埠、服務、程序等一切資源。這裡的安全配置可以是手工完成，當然對於台積電這樣體量的生產型企業最好有一套可集中管理、統一策略的主機配置核查管理系統，集中統一提高工業主機的自身強壯性。

以上探討的「ABC」也同時映射了工業主機面臨的3個主要問題：

主要問題1：非法及惡意程序運行

主要問題2：存儲介質引入病毒

主要問題3：網路入侵