优秀案例之360企业安全汽车制造行业“永恒之蓝”病毒应急处理和安全
360工业主机安全防护系统
360工业主机安全防护系统产品白皮书© 2019 360企业安全集团■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明外,所有版权均属360企业安全集团所有,受到有关产权及版权法保护。
任何个人、机构未经360企业安全集团的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录| Contents一. 引言 (1)二. 工业主机安全防护系统产品介绍 (2)2.1产品概述 (2)2.2设计理念 (2)2.3产品架构 (2)2.4产品优势 (4)2.5主要功能 (5)2.6典型部署 (7)三. 客户价值 (8)3.1工业主机安全防护,减少安全隐患 (8)3.2工业资产风险分析,提高运维效率 (8)3.3自主知识产权,杜绝后门隐患 (9)四. 总结 (9)一. 引言近年来,随着工业4.0及两化深度融合战略的持续推进,以及物联网等新兴技术在工业领域的应用,工业控制系统安全也倍受政府和企业关注。
其中,工业主机是工业控制系统安全的关键环节,工业信息安全建设也需要从主机防护开始。
工业主机相对普通的IT系统主机和终端,在安全防护方面存在以下特点:1. 工业主机生命周期长,硬件资源受限在很多细分工业行业,工业主机在投运后会运行很多年,硬件资源受限,往往不能安装杀毒软件。
2. 工业主机不会随意增加应用软件工业主机投运后,安装在主机上的软件不会随意升级或增加新的软件、插件。
3. 病毒库不能定期升级杀毒软件防病毒库需要定期升级或进行在线云查杀。
而工控系统不允许在运行期间进行系统升级,也不允许在线云查杀。
在工控系统中的防病毒库如果三个月不升级,防病毒效果会大大降低。
4. 普通杀毒软件误杀关键进程目前非工控专用杀毒软件没做过与工业软件的兼容性测试,在国内外都发生过非工控专用杀毒软件误杀工业软件进程,造成工控系统运行异常的事件。
误杀进程在工业控制系统中是致命的。
5. 查毒、杀毒造成工业软件处理延时杀毒软件一般会使用本地引擎或云端病毒库对工业主机进行病毒查杀,可能会造成工业软件的处理延时。
国家网络安全事件应急预案
地方级预案
各地网络安全事件应急预案
为应对地方级的网络安全事件而制定的预案,包括地方各级 政府和相关部门的职责和响应流程。
各地信息安全保障计划
为提升地方信息安全保障能力而制定的计划,包括建设网络 安全基础设施、加强网络安全监测预警、完善应急处置机制 等方面。
企业级预案
企业网络安全事件应急预案
为企业应对网络安全事件而制定的预案,包括企业的组织领导、应急响应流 程、技术防范措施等方面。
分类
根据网络安全事件的性质、影响范围和危害程度等因素,将 网络安全事件分为特别重大、重大、较大和一般四个等级。
定级
根据网络安全事件的危害程度、影响范围和损失程度等因素 ,由国家网络安全部门进行定级。
应急处置与支援
处置原则
按照“及时响应、积极处置、最小损失”的原则,采取技术手 段和行政措施,尽快恢复网络正常运行。
提高技能水平
加强对相关人员的技能培训,提高网络安全意识和技能水平。
物资保障
物资储备
建立网络安全物资储备库,储备一定数量的网络安全物资, 以备不时之需。
调配机制
建立网络安全物资调配机制,确保在应急预案实施时,能够 及时有效地调配所需物资。
资金保障
资金投入
加大对网络安全领域的资金投入,为应急预案的实施提供资金保障。
2023
国家网络安全事件应急预 案
contents
目录
• 预案概述 • 预案体系 • 应急响应流程 • 应急保障措施 • 预案演练与修订 • 案例分析
01
预案概述
目的和意义
保的突发事件,保障关键信息 基础设施的安全运行,维护国家安全和社会稳定。
影响
受到影响的目标包括政府机构、 企业和个人电脑等,涉及美国、 英国、墨西哥等多个国家和地区 的企业和政府机构。该事件引起 了国际社会对网络间谍活动的关 注和担忧。
信息安全技术(HCIA-Security) 第一次课 信息安全基础概念和信息安全规范简介
第10页
信息安全案例 - WannaCry
能源 政府
交通 2017年不法分子利用的
危险漏洞“EternalBlue” (永恒之蓝)开始传播 一种勒索病毒软件 WannaCry,超过10万 台电脑遭到了勒索病毒 攻击、感染,造成损失 达80亿美元。
教育
第11页
信息安全案例 - 海莲花组织
2012年4月起,某境外组织对政府、 科研院所、海事机构、海运建设、 航运企业等相关重要领域展开了有 计划、有针对性的长期渗透和攻击, 代号为OceanLotus(海莲花)。意图 获取机密资料,截获受害电脑与外 界传递的情报,甚至操纵终端自动 发送相关情报。
物理风险
其他风险
管理风险
风险
网络风险 系统风险
应用风险
信息风险
第16页
Page 16
物理风险
设备防盗,防毁 链路老化,人为破坏,被动物咬断等 网络设备自身故障 停电导致网络设备无法工作 机房电磁辐射
第17页
信息风险
信息存储安全 信息传输安全 信息访问安全
第18页
信息风险 - 信息传输安全
第2页
目录
1. 信息与信息安全 2. 信息安全风险与管理
第3页
信息
什么是信息?
书本信件
国家机密
电子邮件
雷达信号
交易数据
考试题目
信息是通过施加于数据上的某些约定而赋予这些数据的特定 含义。
---《ISO/IEC IT安全管理指南(GMITS)》
第4页
信息安全
信息安全是指通过采用计算机软硬件技术 、网络技术、密钥技术等安全技 术和各种组织管理措施,来保护信息在其神秘周期内的产生、传输、交换、 处理和存储的各个环节中,信息的机密性、完整性和可用性不被破坏。。
永恒之蓝360处置方案
永恒之蓝360处置方案近年来,网络攻击事件层出不穷。
其中最让人印象深刻的莫过于2017年全球著名勒索软件WannaCry病毒爆发。
它利用了NSA利用的漏洞——永恒之蓝,通过在网络中寻找可感染的计算机,加密受害人的文件并勒索赎金。
针对此次攻击事件,360公司发起了相关处置方案,并成功抵抗了攻击。
下面将从360公司的角度介绍他们是如何应对此次全球性网络攻击事件的。
永恒之蓝简介永恒之蓝是一个Windows Server消息块(SMB)漏洞的代码名,其主要影响操作系统是Windows XP、Windows 7和Windows Server 2003,可以被用于攻击未应用Microsoft修补程序安全更新的服务器或计算机。
永恒之蓝利用了Windows内核中的漏洞,可以在没有受害者干预的情况下远程攻击并获取系统权限。
漏洞会通过传输控制协议(TCP)/网络协议版本6( IPv6)连接进行攻击。
360不断研究并制定新的规则360公司不断进行永恒之蓝漏洞的研究,从其攻击数据中分析出漏洞的特征,并根据分析结果制定出针对不同类型永恒之蓝漏洞攻击的规则。
这些规则在永恒之蓝病毒最初爆发时可能并不会被所有的计算机系统所使用,但在360公司开发的防病毒软件中已经集成。
因此,这样的规则将很普遍地防止永恒之蓝病毒的攻击。
与全球防病毒行业合作360公司是全球最大的防病毒公司之一,与全球其他许多防病毒公司(如卡巴斯基、趋势微软、麦克风、McAfee等)保持良好的合作关系。
这就意味着360公司在全球范围内都在积极配合着其他防病毒公司应对永恒之蓝攻击事件,这有助于为用户提供更全面的防护、更高效的解决方案。
及时更新补丁和安全软件最重要的避免永恒之蓝攻击的方法之一就是及时更新安装补丁和安全软件。
当微软在2017年3月发布了Windows XP、Windows 7和Windows Server 2003的安全修补程序时,360公司推动用户及时更新,减小被攻击的概率。
永恒之蓝病毒是什么入侵原理
永恒之蓝病毒是什么入侵原理在去年,全球爆发大规模蠕虫勒索病毒入侵事件,被入侵的用户需支付高额的赎金(或比特币)才能解密文件,目前攻击已造成多处教学系统、医院系统瘫痪。
虽然早已被控制,不过一些网友还是很好奇到底是个什么病毒,能造成全球性计算机安全威胁。
什么是永恒之蓝病毒?据了解,这次事件是不法分子通过改造之前泄露的NSA黑客武器库中“永恒之蓝”攻击程序发起的网络攻击事件。
这次的“永恒之蓝”勒索蠕虫,是NSA网络军火民用化的全球第一例。
一个月前,第四批NSA相关网络攻击工具及文档被Shadow Brokers组织公布,包含了涉及多个Windows系统服务(SMB、RDP、IIS)的远程命令执行工具,其中就包括“永恒之蓝”攻击程序。
恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
目前,“永恒之蓝”传播的勒索病毒以ONION和WNCRY两个家族为主,受害机器的磁盘文件会被篡改为相应的后缀,图片、文档、视频、压缩包等各类资料都无法正常打开,只有支付赎金才能解密恢复。
这两类勒索病毒,勒索金额分别是5个比特币和300美元,折合人民币分别为5万多元和2000多元。
安全专家还发现,ONION勒索病毒还会与挖矿机(运算生成虚拟货币)、远控木马组团传播,形成一个集合挖矿、远控、勒索多种恶意行为的木马病毒“大礼包”,专门选择高性能服务器挖矿牟利,对普通电脑则会加密文件敲诈钱财,最大化地压榨受害机器的经济价值。
没有关闭的445端口“引狼入室”据360企业安全方面5月13日早晨提供的一份公告显示,由于以前国内多次爆发利用445端口传播的蠕虫,部分运营商在主干网络上封禁了445端口,但是教育网及大量企业内网并没有此限制而且并未及时安装补丁,仍然存在大量暴露445端口且存在漏洞的电脑,导致目前蠕虫的泛滥。
基于“永恒之蓝”漏洞的渗透攻击与系统安全加固
61《广播电视网络》 2021年第2期 总第374期1 引言为满足当前广电业务不断融合发展的需要,虚拟化、云平台、大数据系统、IP 化播出前端和制作中心等设备和应用相继投入使用。
与此同时,网络安全面临越来越严重的挑战,大量系统和应用漏洞被发布与利用,其中以“永恒之蓝”漏洞最具代表性。
“永恒之蓝”利用Windows 操作系统SMB 服务漏洞获取系统的最高权限,对应微软公司编号MS17-010。
不法分子通过改造“永恒之蓝”制作了WannaCry 勒索病毒,该病毒利用Windows 操作系统445端口存在的漏洞进行传播,并且具有自我复制、主动传播性。
被WannaCry 勒索病毒入侵后,用户主机、服务器操作系统内的图片、文档、音频、视频、数据等都会被加密,并在桌面弹出勒索对话框,要求受害者支付比特币作为赎金,才能解密并释放被加密的数据。
时至今日,各种新型勒索病毒不断涌现,攻击目标不再限于Windows 操作系统,Linux 操作系统也未能幸免,并且新型勒索病毒对攻击目标的选择越来越精准、隐蔽性越来越强,可以长期潜伏于受害者的内部网络中,当感染的主机和服务器达到一定数量后集中暴发,有的勒索病毒甚至可以预判并删除备份数据,再加密当前运行数据,给企业和用户带来巨大的损失。
基于以上原因,我们非常有必要了解“永恒之蓝”漏洞的攻击方式,从而加固防御系统。
2 信息收集阶段使用NMAP 对局域网靶机进行扫描,发现局域网内靶机开放端口445。
使用Nessus 对靶机进行扫描,扫描结果证明靶机存在MS17-010漏洞。
3 渗透攻击阶段首先,在Kali Linux 中启动Metasploit Framework。
其次,寻找“永恒之蓝”相关可利用模块。
执行命令“msf 6 > search ms17-010”,发现存在扫描模块“auxiliary/scanner/smb/smb_ms17_010”和攻击模块“exploit/基于“永恒之蓝”漏洞的 渗透攻击与系统安全加固姜巍 天津广播电视网络有限公司摘要:在广电网络多业务平台融合发展的大背景下,网络安全面临越来越严重的挑战。
勒索病毒永恒之蓝处理的方法
勒索病毒永恒之蓝处理的方法勒索病毒永恒之蓝已经被攻破,具体的处理方法是怎样的呢?以下是小编acefouder为大家整理的勒索病毒永恒之蓝处理的方法,欢迎大家阅读。
勒索病毒office恢复工具下载勒索病毒处理方法5月14日,国家网络与信息安全信息通报中心紧急通报:监测发现,在全球范围内爆发的WannaCry 勒索病毒出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了Kill Switch,不能通过注册某个域名来关闭变种勒索病毒的传播,该变种传播速度可能会更快。
请广大网民尽快升级安装Windows操作系统相关补丁,已感染病毒机器请立即断网,避免进一步传播感染。
北京市委网信办、北京市公安局、北京市经信委联合发出《关于WannaCry勒索蠕虫出现变种及处置工作建议的通知》。
《通知》指出,有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。
该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。
关于WannaCry 勒索蠕虫出现变种及处置工作建议的通知各有关单位:有关部门监测发现,WannaCry 勒索蠕虫出现了变种:WannaCry 2.0,与之前版本的不同是,这个变种取消了所谓的Kill Switch,不能通过注册某个域名来关闭变种勒索蠕虫的传播。
该变种的传播速度可能会更快,该变种的有关处置方法与之前版本相同,建议立即进行关注和处置。
一、请立即组织内网检测,查找所有开放445 SMB服务端口的终端和服务器,一旦发现中毒机器,立即断网处置,目前看来对硬盘格式化可清除病毒。
二、目前微软已发布补丁MS17-010修复了“永恒之蓝”攻击的系统漏洞,请尽快为电脑安装此补丁,网址为/zh-cn/library/security/MS17-010;对于XP、2003等微软已不再提供安全更新的机器,建议升级操作系统版本,或关闭受到漏洞影响的端口,可以避免遭到勒索软件等病毒的侵害。
“永恒之蓝”攻击紧急处置方案(蠕虫WannaCry)
针对“永恒之蓝”攻击应急方案(蠕虫WannaCry)2017 年05 月13 日第1章隔离网主机应急处置操作指南首先确认主机是否被感染被感染的机器屏幕会显示如下的告知付赎金的界面:如果主机已被感染:则将该主机隔离或断网(拔网线)。
若客户存在该主机备份,则启动备份恢复程序。
如果主机未被感染:则存在四种方式进行防护,均可以避免主机被感染。
针对未感染主机,方式二是属于彻底根除的手段,但耗时较长;其他方式均属于抑制手段,其中方式一效率最高。
从响应效率和质量上,360建议首先采用方式一进行抑制,再采用方式二进行根除。
第 3 页共23 页方式一:启用快速免疫工具360勒索(永恒之蓝、之石)免疫工具,免疫工具的下载地址(注内含封445端口):https://172.20.133.158:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/360%e 5%8b%92%e7%b4%a2(%e6%b0%b8%e6%81%92%e4%b9%8b%e8%93%9d%e3%80%81%e4%b9%8 b%e7%9f%b3)%e5%85%8d%e7%96%ab%e5%b7%a5%e5%85%b7.zip采用快速处置方式,建议使用360安全卫士的“NSA武器库免疫工具”,可一键检测修复漏洞、关闭高风险服务,包括精准检测出NSA武器库使用的漏洞是否已经修复,并提示用户安装相应的补丁。
针对XP、2003等无补丁的系统版本用户,防御工具能够帮助用户关闭存在高危风险的服务,从而对NSA黑客武器攻击的系统漏洞彻底“免疫”。
NSA武器库免疫工具下载地址:/nsa/nsatool.exe方式二:针对主机进行补丁升级请参考紧急处置工具包相关目录并安装MS17-010补丁,2008服务器版补丁下载地址:https://172.20.133.158:8443/svn/JLsgsj/%e5%b8%b8%e7%94%a8%e8%bd%af%e4%bb%b6/windo方式三:关闭445端口相关服务点击开始菜单,运行,cmd,确认。
勒索病毒-永恒之蓝课件
定期对杀毒软件和防火墙进行全面扫 描和检测,确保其正常工作且无漏洞 。
开启杀毒软件和防火墙的自动防护功 能,实时监测和拦截恶意软件和网络 攻击。
及时更新操作系统和软件补丁
及时关注操作系统和软件的官方 更新和补丁发布,确保及时安装
最新的安全补丁。
在安装补丁之前,先对系统和软 件进行备份,以防万一。
对于不常用的软件或功能,可以 关闭或卸载,以减少被攻击的风
通过软件漏洞传播
通过物理媒介传播
一些软件存在漏洞,恶意制造者利用这些 漏洞传播勒索病毒。例如,通过感染网页 服务器或软件更新机制等途径传播。
一些勒索病毒可能通过USB闪存盘、移动硬 盘等物理媒介传播,当用户插入这些设备 时,病毒会感染电脑。
02
永恒之蓝勒索病毒的特点
攻击方式与传播途径
攻击方式
永恒之蓝勒索病毒主要通过漏洞利用和网络传播进行攻击,利用Windows系 统的SMB协议漏洞,通过网络共享、恶意软件、网页挂马等方式传播。
病毒会窃取企业组织内部 的敏感数据,如客户信息 、商业机密等,给企业带 来重大损失。
形象受损
感染病毒会使企业组织的 形象受到损害,影响客户 和合作伙伴的信任。
对国家安全的危害
关键基础设施受损
永恒之蓝勒索病毒可能会攻击国 家的关键基础设施,如电力、通 信、交通等,导致基础设施瘫痪
。
社会秩序混乱
病毒的大规模爆发可能导致社会秩 序混乱,影响国家安全和稳定。
险。
05
永恒之蓝勒索病毒的应对措 施
被感染后的处理方式
隔离感染设备
立即断开感染设备与网络的连 接,防止病毒进一步传播。
备份重要数据
在安全的环境下备份设备中的 重要数据,以避免数据永久丢 失。
互联网运营商如何应对永恒之蓝病毒
互联网运营商如何应对永恒之蓝病毒互联网运营商如何应对永恒之蓝病毒互联网运营商如何应对永恒之蓝病毒据防毒软件公司Avast Software公布的数字,已在全球99个国家侦测到超过75000宗WanaCrypt0r 2.0(又名 WannaCry)的攻击个案,而在Kaspersky安全研究及分析团队侦测到的45000 宗攻击个案中,中国属前十位攻击分布最高的国家及地区。
被攻击对象不乏大型企业及政府机构,如英国国家卫生事务局(NHS)旗下多家医院、俄罗斯内政部,西班牙电信Telefonica也惨遭受害。
这次肆虐全球的WanaCrypt0r 2.0一如以往勒索软件的运作模式,当电脑被感染后,所有文档均被加密成名为 .WNCRY的格式,无法正常读取,且会弹出指示,勒索受害者在3天内交付价值300美元的比特币赎金,逾期加倍,若在7天内未支付则无法恢复文档。
该勒索病毒界面包括简繁中文在内的28种不同语言,明显针对全球各国用户。
更有网友戏称现在勒索病毒都有官方汉化版,有些游戏软件应该好好学学了。
有别于以往通过钓鱼邮件感染的方式,不少受害者在网上称在正常使用电脑的.情况下突然弹出勒索界面。
据了解WanaCrypt0r 2.0是通过Windows系统内名为EternalBlue(永恒之蓝)的Windows SMB远端执行程序弱点进行攻击。
去年黑客团队Shadow Brokers曾声称成功入侵美国国家安全局(NSA)旗下的秘密网络攻击组织Equation Group,并取得各种攻击工具。
其中就涉及众多尚未透露的产品漏洞,被指可用于攻击、入侵除Windows 10及Windows Server 2016以外,Windows XP 至 Windows 8 及其各自对应的服务器版本系统,其中就包括 EternalBlue(永恒之蓝)、EmeraldThread等多个漏洞。
而微软亦已于今年3月针对 Windows SMB Server的安全性更新(MS17-010),修复相关安全漏洞。
“永恒之蓝”解决方案
04
永恒之蓝解决方案的实施 效果
实施效果一:提高网络安全防护能力
总结词
通过部署永恒之蓝解决方案,组织机构的网络安全防护能力得到显著提升。
详细描述
该解决方案采用了先进的安全技术和策略,能够有效地检测和防御各类网络攻击 ,包括勒索软件、恶意软件、钓鱼攻击等。通过实时监控和预警机制,组织机构 能够及时发现并应对安全威胁,减少安全漏洞和风险。
漏洞评估:对扫描结果进行分析和评 估,确定漏洞的严重程度和影响范围。
步骤四
安全加固:对网络系统进行安全加固, 包括配置安全策略、加强账号管理、 定期更新补丁等措施。
解决方案的优势和特点
全面性
永恒之蓝解决方案覆盖了网络安全的各个方面,包括系 统漏洞、恶意软件、网络攻击等。
可定制性
根据客户的具体需求和网络环境,提供个性化的解决方 案和服务。
应用场景三:系统升级与维护
总结词
永恒之蓝解决方案能够简化系统升级与维护 过程,降低维护成本并提高系统稳定性。
详细描述
该方案提供自动化的系统更新和补丁管理功 能,确保操作系统和应用程序始终保持最新 状态。通过自动化部署和配置管理,永恒之 蓝解决方案降低了人工干预的需求,减少了 错误和安全风险。同时,该方案还提供系统 性能监控和故障排除工具,帮助企业快速定 位和解决问题,提高系统的可靠性和稳定性
ABCD
高效性
该方案利用自动化工具进行漏洞扫描和修复,提高了修 复效率。
安全性
永恒之蓝解决方案采用了严格的安全措施和技术,确保 数据和系统的安全性。
03
永恒之蓝解决方案的应用 场景
应用场景一:网络安全防护
总结词
永恒之蓝解决方案在网络安全防护方面具有显著效果,能够有效防范网络攻击 和数据泄露。
工业企业网络安全风险与员工安全意识 (2)
Control-Gostar Jahed Company, 网 络服务提供商
Kala Electric,铀浓缩离心机生产商
乌克兰大停电
2015年12月23日,也就是2015年的圣 诞节前夕,22.5万名用户的电力中断 攻击武器:BlackEnergy,远控后门 攻击武器: KillDisk,破坏,延缓回复
➢ 此次病毒疑似去年全球爆发的“永恒之蓝”勒 索病毒变种,在安装新机台时带入,造成台积 电三季度损失1.7亿美元。
奇安信参与处置的工业安全事件
近几年奇安信公司处理过的网络攻击事件,涉及汽车生产、智能制造、电子加工、烟草、电力、能
源等行业几十余家企业,大多数都导致了工业主机蓝屏,文件加密,生产停工
某汽车模具厂,停产 某冷轧钢板厂,停产
人员多
仅志愿者人数就可能 达到上百万
系统复杂
科技奥运 意味着更 多的新型数字化产品、
系统被应用
必须要采用“新一代企业网络安全框架”保障冬奥系统安全
首个奥运网络安全赞助商
奇安信不愧是北京冬奥会可以信赖的合作伙伴 ——韩子荣,北京冬奥组委专职副主席、秘书长
2019.12.26:奥运历史的新篇章 2020.8.7:新联合logo启用
实战攻防:针对某新型装备制造企业的客服攻击
2020年9月
正面攻击失败
正面攻击官网、办公 网、生产网,均失败
攻破数据系统
• 该系统为企业内部技术团队自行开发,因此代 码中直接带有企业品牌和设计的关键元素信息, 以及部分登陆验证确认机制详情,会被恶意攻 击者利用制作针对性钓鱼网站
• 经调查,代码被上传原因为企业内部开发团队 的新入职员工没有遵循开发安全管理规范,为 个人工作便利违规分享,造成代码泄漏。
勒索病毒
Abstract
Blackmail virus is one of the most widely affected in recent years, this incident not only infringed on the vast number of internet users in China, but also in the world over a number of industry-specific network spread, resulting in immeasurable losses. By studying the principle and characteristics of the blackmail virus, this paper analyzes the effect of extortion virus on the digital currency of our country, finds out the problems existing in the large-scale attack of the users ' extortion virus, and then puts forward the coping strategies in the network system security, computer security education and national regulation, and provides a reference for the study Firstly, the background and the harm of the blackmail virus are introduced, secondly, the characteristics and the principle of the extortion virus are analyzed. Thirdly, through the research on the causes of the attack of the extortion virus, the author finds out the problems of the computer users in the system security, the digital money management and the supervision.This paper presents a corresponding solution.
新时代网络内生安全问题与分析
新时代网络内生安全问题与分析1. 新时代网络内生安全问题概述网络攻击手段多样化:传统的网络攻击手段如病毒、木马等已经不能满足黑客的需求,新型的攻击手段如APT(高级持续性威胁)、DDoS(分布式拒绝服务攻击)等层出不穷,给网络安全带来极大挑战。
网络基础设施脆弱:随着物联网、云计算等技术的发展,网络基础设施日益复杂,但其安全性却不容忽视。
网络设备的漏洞、软件的安全漏洞等问题可能导致整个网络系统遭受攻击,甚至影响国家安全和社会稳定。
个人信息泄露风险增加:在信息化社会,人们的个人信息越来越容易被收集和利用。
一旦个人信息泄露,不仅会导致个人隐私受到侵犯,还可能引发诸如金融诈骗、身份盗窃等犯罪行为。
网络空间主权争端加剧:随着网络空间的国际交流日益频繁,网络主权问题逐渐成为各国关注的焦点。
在此背景下,网络间谍活动、网络战争等现象时有发生,给国际网络安全带来严重威胁。
网络意识形态安全问题凸显:在新时代背景下,网络空间已成为意识形态斗争的新战场。
一些国家和组织试图通过网络传播虚假信息、煽动民族仇恨等手段,破坏我国的社会稳定和民族团结。
1.1 网络内生安全问题的定义网络内生安全问题是指在计算机网络系统中,由于内部原因导致的安全漏洞、攻击行为和数据泄露等问题。
这些问题可能源于网络设备、软件、服务、管理策略等多个方面,如操作系统漏洞、硬件故障、人为操作失误、恶意软件等。
网络内生安全问题可能导致系统瘫痪、数据丢失、知识产权泄露等严重后果,对企业和个人的网络安全造成极大威胁。
为了应对这些挑战,企业和组织需要加强对网络内生安全问题的关注和管理。
这包括定期进行安全审计、更新和维护软件和硬件设备、加强员工的安全意识培训、实施严格的访问控制策略等。
政府和相关部门也需要制定相应的法律法规和政策,以保障网络空间的安全和稳定。
1.2 新时代网络内生安全问题的背景网络攻击手段日益翻新,传统的网络攻击手段如病毒、木马、僵尸网络等已经不能满足黑客的需求,新型攻击手段如APT(高级持续性威胁)、DDoS(分布式拒绝服务)等层出不穷,对网络安全造成了极大的威胁。
基于Windows永恒之蓝漏洞排查整改的应用研究
基于Windows永恒之蓝漏洞排查整改的应用研究发表时间:2019-09-21T00:12:32.280Z 来源:《基层建设》2019年第20期作者:乔瑜瑜乔国伟陶鹏[导读] 摘要:5月12日,比特币勒索病毒的新型蠕虫病毒在全球范围内大规模爆发,病毒已遍及150个国家和地区,包括国内某些城市在内的多地中石油旗下加油站在当天凌晨突然断网,因断网无法刷银行卡及使用网络支付,只能使用现金,给老百姓日常生活带来巨大的影响。
安徽继远软件有限公司安徽合肥 230088摘要:5月12日,比特币勒索病毒的新型蠕虫病毒在全球范围内大规模爆发,病毒已遍及150个国家和地区,包括国内某些城市在内的多地中石油旗下加油站在当天凌晨突然断网,因断网无法刷银行卡及使用网络支付,只能使用现金,给老百姓日常生活带来巨大的影响。
随着泛在电力物联网建设的全面启动和“云大物移”等新兴业务的快速发展,网络边界不断扩大,网络安全风险日趋多样化,勒索病毒可能通过Windows永恒之蓝漏洞进行大肆传播,各行各业网络安全保障工作面临更加严峻的考验。
关键字:永恒之蓝;漏洞;补丁引言认真贯彻《网络安全法》和国家及行业网络安全工作要求,将网络安全与人身安全、设备安全等列为三大安全防范目标,坚守网络安全底线,夯实网络安全基础,为保障企业安全稳定发挥积极作用。
Windows永恒之蓝漏洞全称为WindowsSMB远程代码执行漏洞,勒索病毒就是利用该漏洞进行传播。
2018年国内外发生了诸多勒索病毒感染的情况,主机受感染的原因大多数为系统补丁未正确安装和终端安全防护不到位等。
近期,有关部门通过技术装备分析监控域名解析系统(DNS)访问日志,发现部分单位存在主机感染恶意程序的情况。
本论文主要解决利用自研工具开展永恒之蓝漏洞的排查方法。
1.问题描述2018年5月12日,全球网络爆发大规模电脑勒索病毒,该类病毒通过445等共享端口传播,将对重要数据进行加密并勒索高额赎金,导致用户数据造成重大损失。
工业信息安全应急处置解决方案
工业信息安全应急处置解决方案比亚迪“永恒之蓝”病毒应急处置和安全解决方案在工业信息安全领域,以集团管控为核心,通过办公自动化、财务一体化、内控风险管控等管理信息系统为主要建设对象,提高办公效率、实现全集团有效监控。
公司对两化融合工作进行系统、全面的整体规划,按照“统一规划、分布实施”的总体实施策略,制定了分阶段的两化融合可实施路线。
通过合理规划和有序实施,构建出行业领先的工程机械全产业链信息化业务管理平台,实现了技术融合、产品融合、业务融合与资源融合,取得了在产品全生命周期集成应用、业务模式创新等方面的系列成果。
一、项目概况1.项目背景由于工业控制系统(以下简称工控系统)上位机操作系统老旧且长期运行未升级,存在很多的安全隐患,病毒问题一直是威胁工控系统主机安全的一个棘手问题,从震网病毒到2017 年末的工业破坏者,这些如幽灵般游荡在工控系统网络中的杀手总是伺机而动,一旦得手就会带来巨大的危害。
2.项目简介制造产线遭受病毒侵袭,生产制造产线几台上位机莫名出现频繁蓝屏死机现象,并迅速蔓延至整个生产园区内大部分上位机,产线被迫停止生产。
企业日产值超千万,停产直接损失严重,信息安全部门采取了若干紧急处理措施,防止病毒扩散的同事,尽快解决问题恢复生产,同时寻求安全厂商共同制定长期有效的安全解决方案。
3.项目目标解决生产厂区感染WannaCry 病毒带来的蓝屏重启问题,提升上位机的主动防御能力,实现上位机从启动、加载到持续运行过程的全生命周期安全保障。
二、项目实施概况1.安全问题研判工业现场的上位机大多老旧,服役10 年以上仍在运行的主机也很常见,而工业现场的相对封闭性,使得补丁升级、病毒处理变成一件很复杂的事情。
工业生产的稳定性往往会面临上位机脆弱性的挑战,一旦感染病毒就会造成巨大影响。
企业生产网络与办公网络连通,未部署安全防护措施进行隔离;生产制造产线上位机运行异常,重复重启或蓝屏,初步断定为病毒入侵。
系统运维安全事件分析
安全事件防范技术发展展望
防火墙技 术:提高 防护能力, 抵御外部 攻击
入侵检测 系统:实 时监控系 统,及时 发现异常 行为
数据加密 技术:保 护数据安 全,防止 数据泄露
安全审计 技术:记 录系统操 作,便于 事后追溯 和分析
人工智能 技术:利 用机器学 习和深度 学习,提 高安全防 护智能化 水平
案例安全事件分析
攻击方式:黑客利用系统漏 洞,获取管理员权限
事件背景:某公司服务器遭 受攻击,导致数据泄露
影响范围:涉及用户数据、 公司机密等信息
应对措施:加强系统安全防 护,提高员工安全意识,定
期进行安全审计
案例安全事件处理过程
事件发现:通过监控系统或用户报告发现 安全事件
事件调查:调查事件的原因和影响,收 集证据
效果评价:成 功恢复系统运 行,未造成重
大损失
改进建议:加 强员工培训, 提高安全意识, 定期进行安全
检查
系统运维安全事件发展趋势与 展望
安全事件发展趋势分析
安全事件数量逐年上升 安全事件类型多样化,包括数据泄露、病毒攻击、网络钓鱼等 安全事件影响范围扩大,从个人电脑到企业网络,甚至影响到国家基础设施 安全事件应对措施不断升级,包括加强安全培训、提高安全意识、采用先进安全技术等
自然灾害: 地震、火 灾等自然 灾害可能 导致系统 损坏或数 据丢失
安全事件发生的原因
黑客攻击:通过技 术手段入侵系统, 获取敏感信息或破 坏系统
内部人员失误:员 工操作不当或疏忽, 导致系统出现漏洞 或数据泄露
系统设计缺陷:系 统在设计时未充分 考虑安全性,导致 存在安全隐患
外部环境因素:自 然灾害、电力中断 等外部因素可能导 致系统无法正常运 行或数据丢失
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
优秀案例之360企业安全汽车制造行业“永恒之蓝”病毒应急处
理和安全
一、案例背景
工业控制系统(Industrial Control Systems, ICS)通常指由计算机设备和工业生产控制部件组成的系统,主要包括五大部分:数据釆集与监测控制系统(SCADA)、分布式控制系统(DCS)、过程控制系统(PCS)、可编程逻辑控制器(PLC)及现场总线控制系统(FCS)等。
工业控制系统已经广泛应用于工业、能源、交通及市政等领域,是我国国民经济、现代社会以及国家安全的重要基础设施的核心系统。
工业控制系统由于历史上相对封闭的使用环境,大多只重视系统的功能实现,对安全的关注相对缺乏,工控安全的现状处于“先天不足、后天失养、未来堪忧”的状态。
随着IT/OT一体化的逐步推进,工业控制系统越来越多地与企业网和互联网相连接,形成了一个开放式的网络环境。
工控系统网络化发展导致了系统安全风险和入侵威胁不断增加,面临的网络安全问题也更加突出。
由于工控网络系统环境的特殊性,传统的IT信息安全技术不能直接应用于工业控制网络的安全防护。
另外,工业控制系统的协议和设计,在研发时即偏重于功能的实时性和可靠实现,对安全攻击缺乏前期设计和有效抵御方法。
工业控制系统由于担心系统兼容性问题,通常不升级补丁,甚至有的工作站供应商明确要求用户不得自行升级系统,因此系统长期运行后会积累大量的安全漏洞病毒问题一直是威胁工控系统主机安全的一个棘手问题,从震网病毒到2017年末的工业破坏者,这些如幽灵般游荡在工控系统网络中的杀手总是伺机而动,一旦得手就会带来巨大的危害。
;再加上运维过程中缺乏科学的安全意识、管理和技术方案,这些缺陷使工控系统面对网络安全攻击时极其脆弱,给安全生产带来极大隐患。
2017年6月初,国内某知名新能源汽车制造企业遭受病毒侵袭,生产制造产线几台上位机莫名出现频繁蓝屏死机现象,并迅速蔓延至整个生产园区内大部分上位机,产线被迫停止生产。
该企业日产值超百万,停产直接损失严重,虽然信息安全部门采取了若干紧急处理措施,但收效甚微。
为了尽快解决问题恢复生产,该企业紧急向360安全监测与响应中心进行了求助。
二、核心问题分析
工业现场的上位机大多老旧,服役10年以上仍在运行的主机也很常见,而工业现场的相对封闭性,使得补丁升级、病毒处理变成一件很复杂的事情。
工业生产的稳定性往往会面临上位机脆弱性的挑战,一旦感染病毒就会造成巨大影响。
该企业生产网络与办公网络连通,未采取安全防护措施;生产制造产线上位机运行异常,重复重启或蓝屏,初步断定为病毒入侵。
由于上位机操作系统都是老旧的Windows XP,感染病毒之后频繁蓝屏重启,无法在问题终端采样进行病毒分析。
在生产网络核心交换机位置旁路部署360工业安全检查评估系统对生产网络数据流量进行检测,该设备基于360行业领先的安全大
数据能力生成多维度海量恶意威胁情报数据库,对工业控制网络进行自动化数据采集与关联分析,识别网络中存在的各种安全威胁。
借助工业安全检查评估系统的强大检测分析能力,安服人员很快判定该企业上位机感染了“永恒之蓝”蠕虫病毒(也称为WannaCry)。
“永恒之蓝”(WannaCry)在windows 7系统中出现文件加密现象,在Windows XP系统中则出现蓝屏现象。
三、对策与措施
应急处置
WannaCry病毒利用泄露的NSA黑客数字武器库中“永恒之蓝”工具发起蠕虫病毒攻击并进行勒索,病毒激活后会释放出一系列攻击文件,然后访问一个看似毫无意义的域名地址(以下简称病毒网站),若此域名可用则停止对主机加密,反之则对主机文件进行加密,此行为被称为Kill Switch。
Kill Switch是WannaCry病毒是否加密系统的一个决定性开关。
安服人员发现上位机感染WannaCry病毒之后,为了避免上位机中数据被加密带来进一步的危害,紧急在生产网络中部署一台伪装病毒服务器,域名设定为病毒网站,并通过策略设置将生产网上位机DNS指向此伪装服务器,阻止了WannaCry病毒的后续影响。
该企业生产园区占地范围很大,感染病毒的上位机几乎遍布整个园区,单纯依靠人力难以逐一定位问题终端。
360工业安全检查评估工具箱在此过程中发挥了巨大作用,不仅给出了感染病毒的准确研判,而且详细统计出所有问题终端的IP地址和MAC地址,结合企业提供的资产清单,安服人员和厂方技术人员很快确定了绝大部分问题终端的具体位置。
感染处理
完成定位之后,360安服人员即刻赶往最近的问题终端,第一时间关闭了445端口,避免病毒进一步扩散。
经过与厂方生产技术工程师细致沟通,得知以下信息:
1、上位机硬件配置资源有限,无法安装杀毒软件;
2、专用的生产软件对操作系统版本有严格限制,无法对操作系统进行打补丁操作;
3、重装系统会导致专用软件授权失效,带来经济损失。
结合上述信息,安服人员只能对问题终端采取杀毒处理。
为了避免杀毒过程中对上位机系统和数据造成影响,安服人员首先备份了问题终端系统及数据,然后用360推出的WannaCry病毒专杀工具进行杀毒处理,清除感染的病毒。
克服重重困难,病毒终于顺利清除,问题终端系统恢复正常运行,安服人员与厂方生产技术工程师反复确认其专用生产软件运行正常,能够正常下发数据。
至此,第一台问题终端病毒感染处理终于完成,为后续处理积累了宝贵经验。
安全加固
为了避免处理完成的上位机再次感染病毒,安服人员在上位机上部署安装了360工业主机防护软件,该软件基于轻量级“应用程序白名单”技术,能够智能学习并自动生成工业主机操作系统及专用工业软件正常行为模式的“白名单”防护基线,放行正常的操作系统进程及专用工业软件,主动阻断未知程序、木马病毒、恶意软件、攻击脚本等运行,为工业主机创建干净安全的运行环境。
问题处理及安全防护示意图
同时,为了避免U盘混用带来的病毒串扰风险,安服人员利用360工业主机防护软件对U盘使用进行合法性注册和读写控制策略配置,仅允许生产技术工程师专用的U盘识别和使用。
此外,为了限制Windows 网络共享协议相关端口开放带来的风险,安服人员通过ACL策略配置关闭了TCP 端口135、139、445和UDP 端口137、138,并利用360 安全卫士的“NSA 武器库免疫工具”关闭存在高危风险的服务,从而对NSA 黑客武器攻击的系统漏洞彻底“免疫”。
经过以上病毒清除和安全加固手段,不仅解决了感染WannaCry病毒带来的蓝屏重启问题,而且极大的提升了上位机的主动防御能力,实现了上位机从启动、加载到持续运行过程全生命周期的安全保障。
经过此次事件,该企业对工业控制系统安全性更加重视,决定采取360整体工控安全防护措施,逐步建设形成覆盖汽车制造产线全链条的立体化工控安全技术防护方案。
三、案例特色及应用价值
360工业安全检查评估工具箱和工业主机防护软件是解决工业主机脆弱性问题的一剂良药。
360工业安全检查评估工具基于360领先的威胁情报大数据能力快速识别威胁和资产。
工控设备资产发现是对工业控制系统中的工业控制器、工控系统、操作系统、工业控制组态软件、数据库软件、工业以太网设备、工控安全设备等进行资产发现,通过网卡采取工控流量,进行解析,基于流量中特征字段和指纹库进行资产识别。
该工具内置了流量检测引擎在解析流量的同时进行威胁情报的IOC快速比对,能在极短的时间内发现流量中的攻击行为,此外根据威胁情报告警提供的信息结合云端威胁情报中心进行二次分析,发现其他关联的攻击。
360工业安全检查评估工具在2018年中国国际大数据产业博览会获评全球十大“黑科技”奖。
360工业主机防护系统具有完全自主的知识产权,能够帮助关系国计民生的大型工控企业对工控网络工作站、服务器进行安全防护和安全加固,杜绝安全后门隐患,响应国家信息安全国产化政策及号召。
该防护系统使用先进白名单防护技术,能够有效抵御病毒、木马、恶意软件、零日攻击、高级持久威胁(APT)攻击对工控网络工作站、服务器的攻击与破坏行为,真正帮助企业发现工控网络攻击,解决安全问题,使企业的安全投入物有所值。
同时,工业主机防护系统能够有效检测到操作员针对工作站、服务器的违规、异常操作并加以阻止,进而避免工控系统的意外停车事故。
同时,基于白名单技术的解决方案无需对工控网络结构进行改造,避免频繁升级工控系统,减少系统维护停车时间。
该方案能够适用于大部分工业控制系统,是一套成熟可靠的安全解决方案。