安天：构建以工业网络主机节点为核心的勒索纵深防护能力丨2024中国工业互联网安全大赛

11月28-29日，2024年中国工业互联网安全大赛在京举办。本次大赛由中国信息通信研究院主办，旨在深入实施工业互联网创新发展战略，大力培育高素质网络安全技术技能人才队伍，加快推进工业互联网安全保障体系建设，支撑新型网络基础设施建设，推动制造强国和网络强国建设，护航新型工业化高质量发展。

安天集团高级副总裁李晨在会上做了《工业网络环境下的勒索病毒防治》的演讲，他指出工业互联网场景面临的勒索病毒挑战，对工业网络环境下的勒索攻击防护提出建议，并向与会嘉宾介绍了安天长期跟踪和研究勒索病毒防治经验以及形成的针对工业环境下的勒索病毒防治解决方案。

▲安天集团高级副总裁李晨现场演讲

勒索病毒已经成为当前面临的最主要的网络威胁之一，工业互联网场景成为遭受勒索攻击的重点对象。尽管在数字化转型过程中，工业互联企业通过等保合规、攻防演练等政策和活动的持续驱动与能力建设，工业互联企业的整体安全防护手段、安全意识、安全管理以及安全专业人才等已经具备一定基础，但针对定向勒索乃至APT攻击等能够造成重大业务风险影响的网络攻击依然缺乏有效的治理抓手。

当前以定向勒索为代表的攻击者采用的是“一鱼多吃”的方式，一方面瘫痪用户的系统，另一方面将用户的数据、信息等资产在网上售卖传播，还会通过威胁公开数据的方式，多重施压勒索财产。面对工业互联网场景可能在供应链、跨网摆渡、运维过程遭受勒索病毒攻击，需要以有效的威胁想定为前提开展安全规划，以体系化思维和方法框架构建勒索防治能力。

图1 安天计算机病毒百科（www.virusview.net）中关于勒索病毒的专题

安天长期跟踪和研究工业互联网场景网络威胁，安天承担了2019年工信部工业互联网反病毒引擎课题，成功将工业互联网引擎作为产业共性基础能力引入，实现在数十家工控安全厂商和工业互联网相关企业融入引擎安全基因。面向工业互联网场景的勒索防治，安天提出需要强化勒索病毒攻击从网络侧投递，到最终在工业网络主机节点侧落地、执行、勒索和响应等关键防御环节。

安天工业环境勒索病毒防治解决方案，基于安天针对工业互联场景持续跟踪与分析，构建以工业网络主机节点为核心的纵深防护能力，最大程度降低用户遭受勒索攻击的风险。方案强化工业网络主机节点防护的基石作用，增强网络侧监测、分析和情报生产，依托安天XDR平台进行统一运营和响应编排，整体提升面向勒索攻击防护的自动化闭环运营能力。方案以保障工业环境业务稳定运行为前提，支撑用户侧开展勒索攻防演练，采用“模拟勒索攻击+选取真实勒索病毒样本+组合典型勒索技战术”的方式，提升针对勒索攻击事件的应急处置能力，降低工业互联企业潜在的经济和声誉损失。

图2 构建以工业网络主机节点为核心的纵深防护能力

安天长期持续跟踪勒索攻击的演进变化，持续发布威胁研判报告，在2006年6月14日截获分析了国内最早的勒索病毒redplus（Trojan.Win32.Pluder.a），之后又发布《揭开勒索软件的真面目》（2015年）、《安天针对勒索蠕虫“魔窟”（WannaCry）的深度分析报告》、《勒索软件Sodinokibi运营组织的关联分析》和《关于美燃油管道商遭勒索攻击事件样本与跟进分析》等重要报告，特别是在WannaCry（魔窟）勒索蠕虫大规模爆发事件前五个月，做出了勒索攻击将带动蠕虫回潮的预判。

安天CERT持续跟踪各勒索病毒家族和RaaS攻击组织，针对LockBit、GandCrab和Sodinokibi等流行勒索病毒家族发布了样本分析报告及防护建议。2021年，为加强勒索病毒攻击防范应对，在工业和信息化部网络安全管理局指导下，中国信通院联合安天等单位编制发布了《勒索病毒安全防护手册》，手册对如何防范勒索攻击提出了详细的清单化的建议。

往期回顾