某中型制造企业的信息化程度在行业内算是比较先进的,公司的生产管理系统、仓储管理系统、订单管理系统全部实现了数字化,车间里的数控机床和设备也都接入了工业互联网。IT部门虽然人手不多,但基本的网络安全设备都配了,防火墙、杀毒软件、上网行为管理一应俱全。
一天上午,公司的财务人员小王收到了一封看起来像是税务局发来的邮件,内容是通知企业需要补交一份税务申报材料,邮件里附了一个压缩文件。小王没多想就下载解压了文件,双击打开了里面的一个看起来像PDF的文档。结果文档是空的,屏幕上什么也没显示,小王以为是系统问题就没再管了。
但就在那个空文档被打开的瞬间,病毒已经悄无声息地在公司内网扩散开来。这是一种名为BlackMatter的勒索病毒变种,专门针对工业企业的网络环境设计。它利用小王电脑上的漏洞潜入内网,然后迅速横向传播,感染了文件服务器、数据库服务器、备份系统,最后到达了车间的生产控制系统。
到当天下午三点左右,公司所有联网的电脑屏幕上同时弹出了勒索通知。通知上写着"你的所有文件已被加密,请联系我们获取解密密钥",并附上了一个比特币钱包地址和联系暗网网站的链接。更糟糕的是,生产管理系统完全瘫痪,数控机床的控制程序被加密,整条生产线不得不全部停下来。
公司高管紧急召开了会议,IT经理汇报说备份数据也被加密了,因为备份服务器和多台设备使用了相同的管理员密码。这意味着即使想要恢复数据,也没有干净的备份可以用。公司的业务陷入了全面的瘫痪。客户订单无法交付,供应链信息丢失,库存数据无法查询,财务系统无法正常运转。停工一周后,直接经济损失已经超过了数千万元,违约金和客户流失的间接损失更是难以估算。
公司无奈之下,在咨询了专业网络安全公司后,决定支付部分赎金以换取解密密钥。但即使支付了赎金,恢复过程也花了将近一个月。一些数据因为解密工具不完善而永久丢失,部分生产设备需要重新编程,公司的正常运营受到了严重冲击。
事后调查发现,这起勒索病毒攻击之所以能够成功,主要是因为公司的网络安全存在多个明显的薄弱环节。员工的网络安全意识培训不足,小王对来历不明的邮件附件缺乏警惕性,公司也没有部署邮件安全网关来拦截钓鱼邮件。内网的网络隔离做得不好,财务部门的电脑直接和生产网络相连,病毒进入后几乎没有任何阻拦就扩散到了关键系统。备份策略存在严重缺陷,备份数据没有与主系统做物理隔离,也没有遵循冷备份的原则,导致勒索病毒一并加密了备份数据。
从这起案例中可以得到几点非常重要的启示。对于制造企业来说,工业控制系统的安全性直接影响着生产的连续性。一旦被勒索病毒攻击,不仅数据受损,物理设备也可能出现问题。企业应该建立纵深防御体系,最基础的三个防线包括终端安全、邮件安全和网络隔离。终端安全要做到所有电脑都安装统一的防病毒软件和补丁管理工具;邮件安全要部署专门的邮件安全网关,对附件进行沙盒检测;网络隔离要做到办公网和生产网严格分开,即使一台电脑中了病毒也不会影响生产系统。
备份策略也需要重新设计,遵循三二一原则,即至少三份副本、两种不同存储介质、一份异地存放。这样就算数据被加密,仍然可以从异地的离线备份中恢复。勒索病毒攻击在近几年呈现出愈演愈烈的趋势,对企业的威胁越来越大,防范勒索病毒已经成为企业信息安全工作的重中之重。
