工业企业勒索病毒如何应对?启明星辰在这场宣贯会上这样讲

发布时间 2023-06-09

近日,在工业和信息化部网络安全管理局的指导和支持下,由中国信息通信研究院主办的“工业互联网安全和车联网安全政策宣贯和交流培训会”在湖南长沙顺利召开。启明星辰工业互联网安全专班服务总监谢瑞璇受邀参会,就如何应对工业企业面临的勒索病毒威胁,分享了全方位的防范实践经验和方法。



针对工业行业的勒索攻击防御,按照时间维度,启明星辰提出攻击事件发生前、中、后三个阶段进行防御:


事件发生前:积极构建网络安全防御,防止勒索软件进入工业控制系统;


事件发生中:及时隔离、断网、中断损伤,实时检测和防止破坏发生;


事件发生后:进行灾难恢复,溯本清源,防止事件再次发生。



采用安全自适应闭环架构对勒索病毒进行放防护,贯穿勒索病毒的检测、系统强化加固、风险预测与甄别、勒索处置与恢复,在勒索病毒可能出现的关键节点进行布防与检测,形成勒索病毒可防范、可检测、可分析、可处置、可恢复的防御闭环。


同时,基于勒索攻击的特征,构建安全前置能力,提前预判风险是勒索攻击防御的重点,采取主动的网络安全策略,在勒索攻击发生之前采取行动至关重要。当确认感染了勒索病毒后,应该立即采取必要的自救措施,减少等待期间进一步扩大损失的可能性。


1、隔离中招主机


当确认服务器已经被感染勒索病毒后,应立即隔离被感染主机,隔离主要包括物理隔离和访问控制两种手段,物理隔离主要为断网或断电;访问控制是对访问网络资源的权限进行严格的认证和控制。


2、排查业务系统


在已经隔离被感染主机后,应对局域网内的其他机器进行排查,检查核心业务系统、生产线、备份系统等是否受到影响,以确定感染的范围。


3、收集及分析勒索病毒信息


可以使用勒索病毒搜索引擎(lesuo.venuseye.com.cn)。使用勒索病毒名、加密文件扩展名、攻击者邮箱等查询到勒索病毒的相关信息,并获得相关的处置建议。


4、协助专业人员


在应急自救处置后,配合专业人员,对事件的感染时间、入侵方式、传播方式、勒索病毒家族等问题进行深度排查溯源分析,加强已有的安全防护措施。


基于多年来在工业互联网安全领域的探索和实践,启明星辰已参与制定了20余项工业信息安全国家标准/行业标准,承担国家专项课题超20个,与行业客户展开深度合作,形成了覆盖电力、交通、石油石化、智能制造、烟草、轨交、市政等行业工业互联网安全产品和解决方案,打造出多个行业样板示范案例,超过上千个的行业应用案例,持续为工业领域注入安全动能。