3. 工业生产网与办公网边界模糊,感染勒索病毒
事件概述
某日,某大型制造企业的卧式炉、厚度检测仪、四探针测试仪、铜区等多个车间的机台主机以及MES(制造执行系统)客户端都不同程度地遭受蠕虫病毒攻击,出现蓝屏、重启现象。该企业内部通过处理(机台设备离线、部分MES服务器/客户端更新病毒库,更新主机系统补丁)暂时抑制了病毒的蔓延,但没有彻底解决安全问题,因此紧急向工业安全应急响应中心求救。
工业安全应急响应中心人员到达现场后,经对各生产线的实地查看和网络分析可知,当前网络中存在的主要问题是工业生产网和办公网网络边界模糊不清,MES与工控系统无明显边界,各生产线未进行安全区域划分,在工业生产网中引入了WannaMine3.0、“永恒之蓝"勒索蠕虫变种,感染了大量主机,且勒索蠕虫变种在当前网络中未处于活跃状态(大部分机台设备已离线)。
防护建议
- 制定MES(制造执行系统)与工控系统的安全区域,规划制定安全区域划分
- 隔离感染主机:已中毒计算机关闭所有网络连接,禁用网卡,未进行查杀的且已关机的受害主机,需断网开机
- 切断传播途径:关闭潜在终端的网络共享端口,关闭异常的外联访问
- 查杀病毒:使用最新病毒库的终端杀毒软件,进行全盘查杀
- 修补漏洞:打上"永恒之蓝"漏洞补丁并安装工业主机安全防护系统