現(xiàn)在，服務(wù)器和客戶端已恢復(fù)正常，諸如控制、可視化和批處理等生產(chǎn)系統(tǒng)也重新開始運(yùn)轉(zhuǎn)，工廠生產(chǎn)也恢復(fù)如初，是時(shí)候反思最近事件了。

　　我還清楚地記得這一切是如何開始的。各大網(wǎng)絡(luò)媒體在頭條報(bào)道：“勒索軟件橫行!制造公司系統(tǒng)癱瘓，生產(chǎn)中斷!”這是您夏日一早醒來最不愿意面對(duì)的事情。

　　罪魁禍?zhǔn)资且环N被稱為 Nyetya 或 NotPetya 的惡意軟件。NotPetya 最初被認(rèn)為是勒索軟件，但是實(shí)質(zhì)上是采用蠕蟲傳播方法的 Wiper 病毒。從現(xiàn)在開始，我們稱之為 WiperWorm。

　　有計(jì)劃的團(tuán)隊(duì)謹(jǐn)慎地選擇應(yīng)對(duì)措施，并有目的地執(zhí)行。有效的應(yīng)對(duì)方法通常涉及計(jì)算機(jī)安全事件處理指南 (美國國家標(biāo)準(zhǔn)與技術(shù)研究所特別報(bào)告 800-61) 中提及的以下過程。

　　首先，評(píng)估影響范圍并分析事件成因，以便采取適當(dāng)?shù)拇胧﹣砜刂剖录?。但在許多情況下，這是不可能的。

　　不知何故，幾乎所有連接到工業(yè)控制系統(tǒng)網(wǎng)絡(luò)的 Windows 計(jì)算機(jī)都受到了 NotPetya WiperWorm 的攻擊。隨著恢復(fù)受感染系統(tǒng)的希望越來越渺茫，接下來的邏輯步驟是開始搜索現(xiàn)有的系統(tǒng)備份并試圖恢復(fù)。如果沒有備份，所有生產(chǎn)系統(tǒng)都需要從頭開始重建，這將是一個(gè)代價(jià)高昂、費(fèi)時(shí)費(fèi)力的難題。

　　對(duì)于那些幸運(yùn)兒，備份提供了希望，但嚴(yán)格的恢復(fù)策略還涉及確保將恢復(fù)的系統(tǒng)置于一個(gè)孤立的網(wǎng)絡(luò)中，以防止再次感染。優(yōu)秀的網(wǎng)絡(luò)安全研究人員和工程師快速采取行動(dòng)，就如何防止再次感染提供了關(guān)鍵情報(bào)。

　　● 修補(bǔ) MS17-010 漏洞，防止 EternalBlue 和 EternalRomance 漏洞成功入侵系統(tǒng)。

　　● 禁用 wmic。

　　● 執(zhí)行注冊(cè)表修復(fù)，關(guān)閉所有管理共享 (如 C$ 和 ADMIN$)，切斷傳播途徑。

　　在恢復(fù)過程中也會(huì)面臨一些挑戰(zhàn)，比如某些 WiperWorm 傳播渠道也是生產(chǎn)應(yīng)用的關(guān)鍵功能，因此禁用或限制訪問并非總是可行。

　　引自 Talos 對(duì) NotPetya 的詳述：

　　NotPetya 有多種機(jī)制，用于在感染一臺(tái)設(shè)備后進(jìn)一步傳播：

　　1、EternalBlue - 與 WannaCry 利用的漏洞相同。

　　2、EternalRomance - 利用“ShadowBrokers”泄漏的一種 SMBv1 漏洞

　　3、PsExec - 一種合法的 Windows 管理工具。

　　4、WMI - Windows 管理規(guī)范，一種合法的 Windows 組件。

　　結(jié)論是什么?如果您愿意的話，最有效的 WiperWorm 預(yù)防措施便是遵循良好的安全慣例：“從基礎(chǔ)做起”。關(guān)于這個(gè)主題的文章不計(jì)其數(shù)，但要點(diǎn)無非是：

　　● 在投入生產(chǎn)之前強(qiáng)化系統(tǒng)

　　● 盡量使用受限用戶帳戶運(yùn)行

　　● 修補(bǔ)系統(tǒng)，并投資于完善的反病毒或端點(diǎn)安全解決方案

　　關(guān)鍵支持服務(wù)可幫助您在工業(yè)控制系統(tǒng)環(huán)境中實(shí)施良好的安全慣例。

　　訂閱經(jīng)過驗(yàn)證的 Windows 修補(bǔ)程序

　　此類訂閱服務(wù)可為您的工業(yè)計(jì)算環(huán)境提供經(jīng)過驗(yàn)證的最新 Windows 修補(bǔ)程序。例如，我們?cè)诜€(wěn)健的測(cè)試環(huán)境中驗(yàn)證自身，以盡量減少應(yīng)用影響的風(fēng)險(xiǎn)。通過將您的 Windows 服務(wù)器更新服務(wù) (WSUS) 服務(wù)器連接到我們基于云的托管 WSUS，即可提供修補(bǔ)程序。

　　在您的 WSUS 上獲得修補(bǔ)程序后，您可根據(jù)自己的計(jì)劃將修補(bǔ)程序應(yīng)用到系統(tǒng)。此外，網(wǎng)絡(luò)和安全服務(wù)還可幫助您根據(jù)需要開發(fā)/修改內(nèi)部修補(bǔ)策略。

　　遠(yuǎn)程修補(bǔ)程序和反病毒管理

　　此類服務(wù)有助于緩解與 Windows 修補(bǔ)程序和反病毒定義陳舊有關(guān)的風(fēng)險(xiǎn)，以及與修補(bǔ)步驟不當(dāng)有關(guān)的風(fēng)險(xiǎn)。

　　例如，我們與工業(yè)計(jì)算環(huán)境建立安全遠(yuǎn)程連接，以在管理環(huán)境變更的同時(shí)，監(jiān)控基礎(chǔ)設(shè)施和鏡像的健康狀況。

　　然后，我們與您一同確立修補(bǔ)和反病毒更新的節(jié)奏和規(guī)程，以在投入生產(chǎn)之前測(cè)試鏡像和應(yīng)用程序的功能。

　　遠(yuǎn)程備份管理

　　最后，此類服務(wù)有助于緩解與沒有備份和/或無法遠(yuǎn)程獲取專家協(xié)助相關(guān)的風(fēng)險(xiǎn)，可促進(jìn)相關(guān)服務(wù)的快速恢復(fù)。該服務(wù)提供強(qiáng)大的備份功能，可監(jiān)控備份完整性并執(zhí)行恢復(fù)。舉例來說，我們可以：

　　● 在工業(yè)計(jì)算環(huán)境中部署備份設(shè)備，配置以滿足系統(tǒng)的備份頻率和保留要求

　　● 對(duì)設(shè)備和備份的健康狀況實(shí)施遠(yuǎn)程監(jiān)控

　　● 根據(jù)需要執(zhí)行遠(yuǎn)程恢復(fù)服務(wù)，將鏡像恢復(fù)到先前已知“良好”的狀態(tài)

　　當(dāng)防御 WiperWorm、勒索軟件或大多數(shù)其他惡意軟件突發(fā)事件時(shí);最有效的戰(zhàn)略仍然是做好充分準(zhǔn)備!

　　修補(bǔ)和強(qiáng)化系統(tǒng)以防止突發(fā)事件，如果您無法阻止，則確保已準(zhǔn)備好從備份恢復(fù)關(guān)鍵生產(chǎn)系統(tǒng)。

　　使生產(chǎn)系統(tǒng)恢復(fù)正常運(yùn)行，還是只能徹底重建生產(chǎn)系統(tǒng)——是否做好充分準(zhǔn)備決定了您的命運(yùn)。

　　借助我們的工業(yè)安全服務(wù)，確保各運(yùn)營環(huán)節(jié)遠(yuǎn)離安全威脅。

（轉(zhuǎn)載）