近年来,全球范围内的制造业安全事件频发,安全形势不容乐观。根据 IBM Security 年度 X-Force 威胁情报指数,勒索软件和网络钓鱼是 2021 年企业面临的首要网络安全问题,而制造业成为勒索软件攻击的重灾区。
2021 年与 2020 年前 10 大行业遭受的攻击率(资料来源:IBM Security X-Force)
• 1月21日,台湾地区电子产品制造公司台达电子(Delta Electronics)受到勒索软件攻击,导致台达电子1500台服务器和 12000 台计算机被攻击者加密,受影响设备占比约20.8%,面临1500万美元赎金。
• 6月3日,全球制造业巨头富士康旗下位于墨西哥的一家生产工厂遭受到勒索软件攻击,黑客组织加密了这家工厂约1200台服务器,窃取了100 GB的未加密文件,并删除了20TB至30TB的备份内容,索取1804.0955比特币赎金,约人民币2.3亿元。本次勒索攻击一度导致该工厂业务中断。
• 8月3日,苹果独家芯片供应商台积电遭遇勒索病毒入侵,导致台积电厂区全线停摆。
• ……
勒索软件攻击往往导致企业生产线停顿,造成巨大损失。制造业企业面对迅速恢复产能的巨大压力,更倾向于向攻击者支付赎金。
勒索病毒的传播途径
那企业到底是怎么中的勒索病毒呢?其实勒索病毒非常善于伪装,就潜伏在我们身边:
• 一不留神误点了一封钓鱼邮件
• 下载并安装了一个内置木马病毒的软件
• 没留意仿冒网站并在上面输入了账号密码
• 电脑没安装或者没运行杀毒软件
• 系统没打补丁或者没修复漏洞
• 在办公电脑上使用了含木马病毒的U盘
• ……
面对这些勒索病毒,该怎么防范?企业常规的防御思维是见招拆招,比如告诫员工不要打开陌生人或来历不明的邮件,给办公电脑安装杀毒软件,安装系统补丁,定期备份文件,定期安全培训,定期更改密码……虽然没什么毛病,但怎么看都像是兵来将挡水来土掩,被动挨打。
正确的防勒索病毒手段,一定是以不变应万变。举个例子,疫情期间,乘坐飞机的时候都知道禁止携带易燃易爆等危险物品,并提供 48 小时核酸阴性证明,但大家都会遵守这个规定吗?不确定,所以会有安检通道,除了检查乘客是否携带危险物品,还要查验 48 小时核酸检测报告,只有全部符合机场要求,才会放行。
安全基线的概念便是如此。机场设置了安全规则,相当于乘客进入机场必须满足的安全基线,而安全检查是保证安全基线牢固的手段。本文接下来要讲到的终端准入控制,就类似于机场的安全检查手段。企业设置了安全规则,通过终端准入控制,确保接入企业网络的每台终端都是安全的、符合规范的,以此来提升企业内网的安全准入基线,从而主动防御勒索病毒。
接下来我们就结合一个制造业真实的客户案例,看看他们是怎么通过终端准入控制方案防范勒索病毒的。
客户背景
某公司是全球领先的笔记本电脑代工厂商,成立于上世纪 80 年代,经过三十多年发展,该公司在亚洲、欧洲、美洲等区域均有多个生产和制造基地,员工规模庞大,仅大陆一个生产基地员工规模就已超 5 万人。
该公司信息化建设起步早,办公、生产区均以 Windows 终端为主,IT 管理规范,部署了微软 AD 域来统一管理 IT 资产。
面临挑战:基于AD域的内网安全遭遇威胁
随着移动化办公普及,公司业务规模快速扩张,越来越多的 BYOD(自携带设备)、IoT(物联网终端)、Mac、Linux 类型的终端涌入企业内部,基于 Windows 环境的微软 AD 域无法纳管这些泛终端,终端安全无法管控,公司随时有被勒索软件攻击的风险。
如何确保接入企业网络的终端安全、合规,是摆在IT部门安全负责人张经理面前的一道难题。
张经理坦言:“前不久,我们一个友商因为生产线上的哑终端漏洞被勒索软件攻击,面临上亿元的巨额赎金。这给我们敲响了警钟,必须要对接入企业网络的每一台终端进行检测,确保安全合规。否则下一个被勒索的很可能就是我们,我们不想这么被动,必须要先发制人,提前预防。”
解决方案:无客户端准入,提升内网安全准入基线
在寻找解决方案的期间,张经理找到了几个做准入控制的安全厂商,但在方案选择上却犯了难。
传统的终端准入方案思路是借助 802.1x 客户端来进行终端识别、准入控制和策略执行,服务端仅负责下发策略,甚至还集成了DLP、杀毒等多合一功能。对于中小企业来说,多合一的方案可能更有吸引力,但对于大型制造业企业来说,安全要求更高更严格,安全设备各司其职、分工明确才更“专业可信”。
宁盾终端准入控制思路有两点不同:一是将客户端“减轻”,由服务端来做终端识别、准入控制和策略执行,客户端仅负责向服务端汇报收集到的终端信息。二是引入零信任理念,永不信任,持续验证。将传统准入方案的纵深防御变为主动防御,实时检测入网终端的合规性,做到违规不入网,入网必合规。
该公司办公区和生产线上均以 Windows 终端为主,那么需要解决的问题是如何基于AD域环境,提升企业内网安全准入基线。
宁盾无客户端准入方案正是通过接入AD域,利用域探测的方式来检测 Windows 终端的合规性。而 IoT、BYOD终端,也可以免装客户端就能识别终端类型,利用流量镜像进行检测。对于Mac、Linux 终端,则可以基于轻量化客户端来探测终端的“内部”信息。
经过调研选型及 POC 测试,该公司最终决定采用宁盾无客户端准入方案,目前实施已超 20000 点终端。
快速上线,生产不受干扰
传统802.1x客户端准入方案因“重任”都压在客户端上,导致客户端“庞大”、“繁重”,兼容性较差,项目实施及后续运维代价大不说,用户体验也有待提高。
宁盾无客户端准入方案最直观的优势是用户体验性很好。IT 管理人员无需再下发客户端给上万点终端,也无需手动调试安装,减轻了 IT 运维工作量,用户的日常登录行为也丝毫不受影响,全程无感知。
但它对于IT部门的效率提升和业务持续性方面更有优势。“宁盾无客户端准入方案最让我惊喜的是可以快速上线,2万多个终端仅用了1周时间就部署完成。当出现问题时,它可以快速定位,帮我们找出问题所在,极大地减轻了我们的压力,运维效率肉眼可见地提升。”张经理说到。
张经理继续补充道:“让领导满意的是部署了宁盾无客户端准入方案后,我们的生产线没有受到干扰,至今已经平稳运行了一年多时间。”
如果按照传统准入方案实施,20000 点终端,每台终端都需要安装客户端,后续需要人员驻场,会影响员工正常办公、生产,对企业而言,投入的成本也更高。
无代码策略引擎,安全策略灵活自定义配置
大型制造企业存在多线场景,例如研发场景、测试场景、生产区、办公区等,不同场景对终端安全合规的要求也不尽相同,就需要配置不同的安全准入策略。以前,企业一般是将策略需求提交给准入厂商,由厂商定制开发。但业务发展快速,安全要求也不断变化,依靠定制开发不仅影响交付时间,连上手操作可能都需要花费更多精力去学习。
如何根据企业办公场景、业务需求灵活设置安全策略?这就要提到宁盾无客户端准入的另一大亮点:无代码策略引擎。
顾名思义,无代码策略引擎就是无需写代码,即可快速配置出任何你想要的准入策略。宁盾“预判”了准入场景中的策略需求,将其做成一个“策略智库”,只要自然语言能表达的管控效果,无代码策略引擎都可以实现。
策略引擎管控的范围可以是网段、IP段、标签,“if”条件灵活自定义,可以任意、组合或具体条件,而行为则更加灵活多变,例如添加标签、应用虚拟防火墙、通知消息、网页通知、网页重定向、Portal认证、不合规踢下线CoA、审计联动......企业想实现的准入策略基本都包含在内。
在该公司的准入方案中,IT 人员统共做了5个策略。
策略一:对终端进行分类、打标签
对所有 IP,将 PC 类终端和非 PC 类终端进行分类,并添加标签标记。
策略二:检查终端是否加域
对 PC 类终端进行加域检查,并添加标签标记。
策略三:合规状态检查
对 PC 类终端且非隔离网段的IP,进行合规状态检查,对未加域和未运行杀毒软件的终端分别标记为“不合规”。
策略四:不合规 CoA
针对生产网段不合规的标签,做 CoA(踢下线)处理。
策略五:隔离 VLAN 检测
针对隔离网段做合规性检查,并可针对不合规的 PC 类终端做提醒通知或告警。
无代码策略引擎对 IT 安全部门而言,优势明显:
• 无需再定制开发,项目交付快,同时减少了企业日后的额外支出;
• 操作界面友好,内置了大量策略向导提供给企业 IT 管理人员,易于上手,减轻维护代价;
• 解决了企业不断发展过程中复杂多变的准入管控需求,并能快速落地执行。