Wannacry并非無(wú)解 國(guó)內(nèi)安全軟件事前即成功攔截

　　2017年5月12日晚20時(shí)左右，全球爆發(fā)大規(guī)模WannaCry勒索病毒感染事件，國(guó)內(nèi)眾多安全廠家積極響應(yīng)，分析報(bào)告無(wú)數(shù)，各家的應(yīng)對(duì)方案也接踵而來(lái)，但是事后諸葛亮的辦法并不能給人們以更多信心，有哪款產(chǎn)品事前可以預(yù)防此類(lèi)病毒？面對(duì)如此疑問(wèn)，各家都保持沉默，不禁讓人相當(dāng)?shù)谋^。但是好消息傳來(lái)，工控安全專(zhuān)業(yè)公司威努特日前發(fā)消息稱(chēng)，其在某油田現(xiàn)場(chǎng)部署的工控主機(jī)衛(wèi)士安全軟件，在WannaCry勒索病毒被發(fā)現(xiàn)前即已成功攔截WannaCry運(yùn)行，保護(hù)了客戶主機(jī)。

　　事件發(fā)生在某油田第二采氣廠，2016年曾部署威努特公司工控安全防護(hù)產(chǎn)品，其官網(wǎng)有案例可查：點(diǎn)我直達(dá)。

　　發(fā)現(xiàn)WannaCry的電腦位于油田采氣廠調(diào)度中心，中心有兩臺(tái)配置完全一樣的計(jì)算機(jī)，每臺(tái)計(jì)算機(jī)都安裝兩張網(wǎng)卡，一張與采氣廠控制網(wǎng)絡(luò)、服務(wù)器通信，另外一張與西安總部通信，總部辦公網(wǎng)有多臺(tái)計(jì)算機(jī)感染W(wǎng)annaCry病毒。兩臺(tái)計(jì)算機(jī)都安裝有霍尼韋爾的EPKS組態(tài)軟件，其中一臺(tái)計(jì)算機(jī)（計(jì)算機(jī)B）沒(méi)有安裝工控主機(jī)衛(wèi)士軟件，感染了WannaCry病毒，文檔文件以及圖像文件無(wú)法正常使用，文件的擴(kuò)展名也被修改成”.wncry”,同時(shí)系統(tǒng)桌面出現(xiàn)勒索信息，如圖1；

　　另一臺(tái)計(jì)算機(jī)（計(jì)算機(jī)A）安裝工控主機(jī)衛(wèi)士軟件，并未被病毒感染，病毒文件被工控主機(jī)衛(wèi)士阻止并產(chǎn)生應(yīng)用程序告警日志，如圖2所示。

　　圖1 現(xiàn)場(chǎng)WannaCry病毒感染情況

　　圖2 工控主機(jī)衛(wèi)士阻止記錄和告警日志

　　兩臺(tái)主機(jī)對(duì)比如下表所示。病毒是通過(guò)和總部的信息網(wǎng)連接被感染的，由于工控網(wǎng)和信息網(wǎng)連接在同一臺(tái)主機(jī)的兩張網(wǎng)卡上，網(wǎng)卡隔離不但沒(méi)有起到安全隔離作用，反而成了攻擊的跳板。幸運(yùn)的是，調(diào)度中心的主用計(jì)算機(jī)安裝了工控主機(jī)衛(wèi)士，阻止了病毒的執(zhí)行，并進(jìn)一步阻止了病毒向控制網(wǎng)的擴(kuò)散，避免了損失的擴(kuò)大化。

　　表1 調(diào)度中心計(jì)算機(jī)對(duì)比表

　　在病毒爆發(fā)不久，曾有網(wǎng)友在國(guó)內(nèi)知名安全論壇卡飯論壇上發(fā)布了對(duì)國(guó)內(nèi)外數(shù)十款殺毒軟件的啟發(fā)測(cè)試，結(jié)果表明在新病毒出現(xiàn)到殺軟入庫(kù)之間的這段空檔期里，這些殺軟全部都不能很好地保護(hù)我們的電腦。在掃描測(cè)試中，最高的查殺率也不過(guò)四分之一，這種比例與面對(duì)舊威脅時(shí)90％以上的比率形成了鮮明對(duì)比。

　　工控主機(jī)衛(wèi)士卻能在工業(yè)現(xiàn)場(chǎng)生效，根本原因是其采用了與殺軟“黑名單”查殺模式完全不同的“白名單”主動(dòng)防御模式。2016年，工信部在發(fā)布的《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中的第一條：安全軟件的選擇與管理中，明確提出“在工業(yè)主機(jī)上采用經(jīng)過(guò)離線環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行”，將白名單軟件放在了和防病毒軟件同等的位置。所謂“白”是指好的、可信的，即只有可信任的設(shè)備、軟件和數(shù)據(jù)，才允許在工控網(wǎng)絡(luò)內(nèi)部流通，其他惡意的、不明確的或者規(guī)定不允許的東西都不允許流通使用。這有別于“黑名單“的處理方式，即通過(guò)建立病毒庫(kù)、逐條匹配查殺，只有設(shè)備、軟件和數(shù)據(jù)被識(shí)別為“黑的”，才會(huì)被阻止運(yùn)行。

　　防護(hù)理念的不同決定了效果的不同。不管WannaCry利用了什么漏洞，使用了多么先進(jìn)的攻擊手法，但是工控主機(jī)衛(wèi)士還是能將之拒之門(mén)外。無(wú)論其將來(lái)出現(xiàn)多少變種，經(jīng)過(guò)多么強(qiáng)大的升級(jí)也依然無(wú)法對(duì)被工控主機(jī)衛(wèi)士保護(hù)的主機(jī)造成威脅。如果我國(guó)的工業(yè)主機(jī)都能部署工控主機(jī)衛(wèi)士的安全防護(hù)，其抵御安全威脅的能力無(wú)疑將提高數(shù)個(gè)級(jí)別。

       注：本文觀點(diǎn)僅代表作者本人觀點(diǎn)，與本網(wǎng)站無(wú)關(guān)，本網(wǎng)站亦不對(duì)其真實(shí)性負(fù)責(zé)。■