赵明

近日，全球范围内发生的大规模WannaCry勒索软件攻击事件在各大媒体上已经传播的沸沸扬扬，令人震惊的是，除了有大量办公网络被攻击和感染外，还有多个全球知名的工业设施由于遭受WannaCry感染而出现故障或遭受干扰。我们的ICS CERT证实了，工业网络中同样出现了被WannaCry感染的现象。

面对不断演化的网络威胁，传统的安全解决方案早已力不从心。卡巴斯基实验室的数据显示，2016年，28.7%的企业需要几天时间才能够发现网络安全事故，而19%的企业承认，需要几周时间，还有一小部分企业甚至需要几个月时间。而网络安全事故一旦发生，不仅会导致机密信息泄露，还会使企业蒙受经济、名誉双重损失。如何才能防患于未然，快速应对网络安全事故？

在近期举行的一场分享会上，卡巴斯基实验室大中华区总经理郑启良给记者演示了网络罪犯使用驻留内存的恶意软件感染银行网络并成功入侵的案例。“这种恶意软件是远程安装到银行的ATM机上的，并且远程控制和执行。安装并连接到ATM机上后，ATMitch恶意软件会伪装成合法软件同ATM机进行通信。攻击者可以通过执行一系列命令，获取ATM机的储钞盒中现金的数量。更为重要的是，网络罪犯可以通过按下一个按钮，随时从ATM机中提取现金，”郑启良解释说。

据了解，通常网络罪犯会首先获取ATM机的储钞盒中所存的现金数量的信息。之后，网络罪犯可以发送一条命令，指定任意储钞盒吐出任意数量的现金。盗取现金后，网络罪犯只需拿上钱离开就可以。这种ATM盗窃仅需几秒就可以完成。完成盗窃后，恶意软件会从系统中删除自己的痕迹。

那么，如何才能防此类威胁于未然，快速应对网络安全事故呢？针对工业控制环境的安全解决方案如下。

首先，为各个终端节点提供适用于工业环境的安全软件；其次，可针对PLC设备进行实时监控、威胁侦测；最后，在网络层部署流量监测设备，实时发现未知设备、网络攻击和工业环境独有的威胁行为。

卡巴斯基工业网络安全解决方案提供各种类型的保护，帮助基础设施管理者打造高效的安全策略。这意味着，除了提供强大的威胁检测和预防技术外，这款解决方案还引入了特殊的安全服务，帮助用户进行紧急事件响应和威胁预测服务。

名为WannaCry的勒索软件会利用Windows系统的一个漏洞（目前已被修补）实施攻击，该漏洞于3月14日在Shadowbrokers黑客组织dump的数据中被发现。

卡巴斯基实验室安全研究人员持续追踪WannaCry威胁的最新情况。截止到5月15日，该恶意软件的变种总数量仍然不明。但近日，出现了两种值得注意的最新变种。卡巴斯基实验室并不认为这些变种是WannaCry的原作者编写的，这些变种很可能是其他网络罪犯在原有勒索软件的基础上进行修改，并利用这次攻击达到自己的目的。

卡巴斯基实验室亚太区病毒中心负责人董岩表示，这次勒索病毒爆发是10年前熊猫烧香后最为严重的一次计算机病毒爆发，而勒索病毒加密用户文件给用户造成了不可估量的损失。此次病毒爆发再次给我们敲响警钟——任何时候都不能对信息安全掉以轻心，要从根本上提高安全意识，及时更新系统，谨防钓鱼欺骗，使用可靠的安全软件。

董岩建议，企业采取如下措施降低感染风险。

第一，安装微软发布的官方补丁，关闭攻击所使用的漏洞。

第二，确保网络中的所有节点都启用安全解决方案。

第三，对于没有使用卡巴斯基实验室产品的用户，建议安装面向企业的并且免费的卡巴斯基反勒索软件工具（KART）

第四，如果正在使用卡巴斯基实验室解决方案，请确保解决方案包含系统监控组件（一种行为主动检测模块），并且启用该功能。

第五，尽快执行卡巴斯基實验室解决方案的关键区域扫描任务，以检测可能存在的感染（如果该功能没有被关闭，则会在24小时内自动检测到感染）。

第六，如果检测到“MEM：Trojan.Win64.EquationDrug.gen”，请重启系统。

第七，使用专门定制的威胁情报报告服务，了解有关最新攻击的情报。

第八，WannaCry还能够攻击嵌入式系统。我们建议为系统安装专用的安全解决方案，这些解决方案应当同时启用反恶意软件保护和默认拒绝功能。