據(jù)報道，3月18日，挪威海德魯公司(Norsk Hydro)在美國和歐洲的業(yè)務(wù)受到嚴(yán)重的勒索軟件攻擊，隨后該公司被迫關(guān)閉了幾條自動化生產(chǎn)線。發(fā)現(xiàn)問題后，安全人員隔離了所有工廠和操作，并切換到手動操作模式，以確保系統(tǒng)安全運行。有關(guān)該公司網(wǎng)絡(luò)攻擊的新聞報道致使該公司股價在全球現(xiàn)貨市場鋁價上漲超1%的情況下反而下跌近3%。挪威網(wǎng)絡(luò)安全主管機構(gòu)——挪威國家安全局向媒體證實：LockerGoga勒索軟件是本次感染的源頭。Norsk Hydro號稱旗下?lián)碛惺澜缱畲鬅掍X廠，此次勒索軟件攻擊很有可能導(dǎo)致全球鋁市場面臨動蕩。

一波未平一波又起，近日，美國瀚森化工公司(Hexion Specialty Chemicals)和美國有機硅巨頭邁圖集團(tuán)(Momentive)被爆出遭到勒索軟件的襲擊。遭受勒索軟件攻擊的計算機上的數(shù)據(jù)可能已經(jīng)丟失，并且該公司已經(jīng)訂購了數(shù)百臺新的計算機。在將邁圖相關(guān)的贖金消息與已知的LockerGoga攻擊交叉分析后，發(fā)現(xiàn)語言和格式相同，因此攻擊者很有可能是來自同一團(tuán)伙。

事件分析

LockerGoga不是初來乍到的新客

說起LockerGoga勒索軟件，其實這也不是第一次出現(xiàn)了。初次應(yīng)該是在2019年1月24日，黑客利用惡意軟件感染了Altran Technologies的系統(tǒng)，并通過公司網(wǎng)絡(luò)傳播，影響了一些歐洲國家的運營。當(dāng)時為了保護(hù)客戶數(shù)據(jù)和自己的資產(chǎn)，Altran決定關(guān)閉其網(wǎng)絡(luò)和應(yīng)用程序。

因為事件剛剛發(fā)生，目前尚未知該勒索軟件通過什么途徑進(jìn)行傳播。而勒索軟件一般會針對DOC，DOT，WBK，DOCX，DOTX，DOCB，XLM，XLSX，XLTX，XLSB，XLW，PPT，POT，PPS，PPTX，POTX，PPSX，SLDX和PDF文件進(jìn)行加密。LockerGoga勒索軟件也是一樣，當(dāng)文件被加密時，原件被刪除并替換為加密數(shù)據(jù)，加密數(shù)據(jù)存儲為具有“* .LOCKED”文件擴(kuò)展名的文件。

圖一 被加密的文件1

圖二 被加密的文件2

嫌疑人猜想：

1號嫌疑人：連內(nèi)褲都能扒出來的社會工程學(xué)

世界聞名的黑客凱文·米特尼克在《欺騙的藝術(shù)》中曾提到，人為因素才是安全的軟肋。很多企業(yè)、公司在信息安全上投入大量的資金，最終導(dǎo)致數(shù)據(jù)泄露的原因，往往卻是發(fā)生在人本身。你們可能永遠(yuǎn)都想象不到，對于黑客們來說，通過一個用戶名、一串?dāng)?shù)字、一串英文代碼，就可以完成一次攻擊。社會工程師就可以通過這么幾條的線索，通過社工攻擊手段，加以篩選、整理，就能把你的所有個人情況信息、家庭狀況、興趣愛好、婚姻狀況、你在網(wǎng)上留下的一切痕跡等個人信息全部掌握得一清二楚。而這次LockerGoga勒索軟件的再次出現(xiàn)，會不會又是利用熟人或者散落在地上的U盤進(jìn)入到Norsk Hydro的工控系統(tǒng)中，進(jìn)而影響了他整個的業(yè)務(wù)系統(tǒng)。

2號嫌疑人：硬件、軟件、服務(wù)處處危險的供應(yīng)鏈

物聯(lián)網(wǎng)等技術(shù)的興起給我們的供應(yīng)鏈系統(tǒng)帶來了網(wǎng)絡(luò)攻擊的風(fēng)險，供應(yīng)鏈也逐漸成為網(wǎng)絡(luò)攻擊的一大重點目標(biāo)。

工業(yè)控制系統(tǒng)的硬件方面，底層核心技術(shù)掌握在少數(shù)幾家公司手中，存在安全不可控風(fēng)險。軟件方面，漏洞層出不窮，工業(yè)環(huán)境下未及時升級打補丁，存在采購前植入惡意代碼的風(fēng)險。技術(shù)服務(wù)方面，工業(yè)企業(yè)系統(tǒng)運維依賴于第三方。在服務(wù)過程前未對服務(wù)人員背景進(jìn)行調(diào)查，在服務(wù)過程中沒有一套完整的管理流程，在服務(wù)結(jié)束后企業(yè)核心數(shù)據(jù)滯留于第三方，存在第三方服務(wù)時引入攻擊路徑的風(fēng)險。

與其它金屬相比，鋁的生產(chǎn)只由少數(shù)幾家公司主導(dǎo)，這意味著如果鋁生產(chǎn)出現(xiàn)問題，鋁產(chǎn)業(yè)鏈將面臨較大的中斷風(fēng)險。隨著制造過程向全球擴(kuò)散，形勢開始變得越來越復(fù)雜，使得企業(yè)不得不應(yīng)對網(wǎng)絡(luò)攻擊造成的風(fēng)險。

而作為全球最大鋁生產(chǎn)商Norsk Hydro會不會因為工業(yè)控制系統(tǒng)供應(yīng)鏈的某一個環(huán)節(jié)出現(xiàn)了問題，使勒索軟件有機可乘呢?

事件啟示

鋁行業(yè)是重要的工業(yè)金屬行業(yè)，是國民經(jīng)濟(jì)重要的一環(huán)。當(dāng)前，鋁行業(yè)正處于轉(zhuǎn)變發(fā)展方式的關(guān)鍵階段，工控安全是行業(yè)良性發(fā)展的重要保障。兩起工控安全事件的發(fā)生帶給我們以下幾點啟示：

加快法規(guī)、標(biāo)準(zhǔn)落地，把工控安全擺在更加突出的位置

隨著工業(yè)互聯(lián)網(wǎng)的深入推進(jìn)，IT技術(shù)與OT技術(shù)深度融合，暴露在互利網(wǎng)上的工業(yè)資產(chǎn)越來越多，針對工控系統(tǒng)有組織、有目的的網(wǎng)絡(luò)攻擊不斷出現(xiàn)，我國工業(yè)信息安全形勢亦不容樂觀。為應(yīng)對當(dāng)前工業(yè)信息安全領(lǐng)域的嚴(yán)峻形勢和挑戰(zhàn)，黨中央站在國家安全的高度，對保障工業(yè)信息安全作出戰(zhàn)略性、前瞻性部署。隨著《中華人民共和國網(wǎng)絡(luò)安全法》的出臺，《國家關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全等級保護(hù)條例》均進(jìn)入報批階段，建議在充分征求意見的基礎(chǔ)上盡快發(fā)布，為工控安全工作的開展提供依據(jù)。

凝聚工控安全各方力量，落實工控安全行動計劃

《工業(yè)控制系統(tǒng)信息安全行動計劃(2018—2020年)》為工業(yè)互聯(lián)網(wǎng)安全保障工作制定了時間表和路線圖。計劃提出到2020年，全系統(tǒng)工控安全管理工作體系基本建立，全社會工控安全意識明顯增強。計劃的落實需要科研院所、高校、工業(yè)企業(yè)、工控安全企業(yè)、等多方面的參與，形成工控安全的合力。在工控安全人才培養(yǎng)方面，有賴于IT和OT兩方面人才與資源的結(jié)合，需完善高校專業(yè)設(shè)置，培養(yǎng)復(fù)合型人才。在技術(shù)研究方面，開展體系標(biāo)準(zhǔn)建設(shè)，研發(fā)工控安全防護(hù)技術(shù)工具集，開展防護(hù)能力建設(shè)試點示范。在企業(yè)安全建設(shè)方面，支持工業(yè)企業(yè)申請試點項目，將工控安全納入到企業(yè)生產(chǎn)安全管理之中，對企業(yè)面臨的各類風(fēng)險綜合管控。在項目落地方面，支持工控安全企業(yè)綜合運用法規(guī)、政策、標(biāo)準(zhǔn)，在項目中研究方法論，形成可推廣可復(fù)制的解決方案。

構(gòu)建工控安全防護(hù)體系，全方位保護(hù)工業(yè)企業(yè)核心資產(chǎn)

做好工業(yè)企業(yè)的信息安全絕對不是一朝一夕的事情，這是一個需要長期規(guī)劃、長期運營的過程。工業(yè)控制系統(tǒng)作為工業(yè)企業(yè)的核心資產(chǎn)，不僅要做好安全技術(shù)防護(hù)方面的工作，更要注重安全管理體系的建設(shè)，綠盟科技工控安全咨詢小組的專家提出了以下建設(shè)意見：

構(gòu)建IPDRR能力框架

信息安全體系設(shè)計總體思路：針對企業(yè)防護(hù)對象框架，通過企業(yè)組織體系、管理體系、技術(shù)體系的建設(shè)，逐步建立企業(yè)風(fēng)險識別能力、安全防御能力、安全檢測能力、安全響應(yīng)能力與安全恢復(fù)能力，最終實現(xiàn)風(fēng)險可見化，防御主動化，運行自動化的安全目標(biāo)，保障企業(yè)業(yè)務(wù)的安全。

IPDRR能力框架模型包括風(fēng)險識別(Identify)、安全防御(Protect)、安全檢測(Detect)、安全響應(yīng)(Response)和安全恢復(fù)(Recovery)五大能力。IPDRR能力框架實現(xiàn)了"事前、事中、事后"的全過程覆蓋，從原來以防護(hù)能力為核心的模型，轉(zhuǎn)向以檢測能力為核心的模型，支撐識別、預(yù)防、發(fā)現(xiàn)、響應(yīng)等，變被動為主動，直至自適應(yīng)(Adaptive)的安全能力。

落實《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》的要求

《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》整體借鑒了等級保護(hù)的思想，具體提出了十一條三十款要求，貼近實際工業(yè)企業(yè)真實情況，務(wù)實可落地。針對主體目標(biāo)要求落實工控安全責(zé)任制、加強供應(yīng)鏈管理;針對客體目標(biāo)要求落實從資產(chǎn)安全、數(shù)據(jù)安全管理;針對保護(hù)方法措施要求落實安全軟件選擇與管理、物理和環(huán)境安全防護(hù)、配置和補丁管理、身份認(rèn)證、邊界安全防護(hù)、遠(yuǎn)程訪問安全、安全監(jiān)測和應(yīng)急預(yù)案演練。《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》對工控安全提出了具體措施，為企業(yè)開展工控安全防護(hù)指明了方向。

開展工控風(fēng)險評估工作

工控風(fēng)險評估是在對工業(yè)控制系統(tǒng)的資產(chǎn)進(jìn)行整理分析的基礎(chǔ)上，從其資產(chǎn)的安全特性出發(fā)，分析工業(yè)控制系統(tǒng)的威脅來源與自身脆弱性，歸納出工業(yè)控制系統(tǒng)面臨的信息安全風(fēng)險，并給出實施工業(yè)控制系統(tǒng)風(fēng)險評估的指導(dǎo)性建議。

風(fēng)險評估是實現(xiàn)工控系統(tǒng)信息安全縱深防御的基礎(chǔ)，依托科學(xué)的風(fēng)險評估能夠準(zhǔn)確地評估工控系統(tǒng)存在的主要信息安全問題和潛在的風(fēng)險。綠盟科技工控風(fēng)險評估服務(wù)基于IPDRR安全防護(hù)模型，從管理人員、生產(chǎn)人員和IT人員的不同視角，依照工業(yè)行業(yè)的業(yè)務(wù)特性，結(jié)合工業(yè)企業(yè)安全目標(biāo)，覆蓋工控安全的全生命周期，為工業(yè)企業(yè)提供全方位風(fēng)險評估服務(wù)。