工控系統(tǒng)和一般的辦公設(shè)備不同，工控系統(tǒng)冗余量小，一旦被感染，即使是只有部分的設(shè)備也會(huì)造成整個(gè)生產(chǎn)線(xiàn)的停工，甚至?xí)?dǎo)致設(shè)備的物理安全收到威脅。這時(shí)從損失的角度來(lái)看，保證系統(tǒng)正常運(yùn)行的代價(jià)遠(yuǎn)遠(yuǎn)高于支付贖金，很難有其他的選擇。

當(dāng)真的發(fā)生勒索事件發(fā)生時(shí)，一定要判明情況，然后冷靜并迅速的處理掉。首先要將被攻擊的異常設(shè)備進(jìn)行斷網(wǎng)斷電的隔離處理，為了避免擴(kuò)散的情況還要中斷內(nèi)網(wǎng)通信；然后聯(lián)系負(fù)責(zé)的安全廠商和相關(guān)機(jī)構(gòu)對(duì)異常設(shè)備中的病毒樣本進(jìn)行取樣分析，以便了解攻擊者的目的和所造成的影響，并開(kāi)始修復(fù)工控系統(tǒng)，盡早恢復(fù)正常工作。查明完勒索病毒入具體侵情況后，應(yīng)將異常設(shè)備進(jìn)行離線(xiàn)修復(fù)，避免在安裝補(bǔ)丁等修復(fù)過(guò)程中再次受到入侵。

既然勒索病毒在工控行業(yè)如此猖狂，那有什么辦法防御嗎？勒索病毒通常是利用工控環(huán)境中的脆弱性問(wèn)題和設(shè)備漏洞進(jìn)行攻擊，其行為和惡意軟件的方式相同，所以在預(yù)防上也和其他工控惡意軟件一樣：

1.資產(chǎn)識(shí)別與維護(hù)

識(shí)別工控系統(tǒng)網(wǎng)絡(luò)中的設(shè)備，一經(jīng)查詢(xún)到右安全隱患或者已知漏洞的設(shè)備的存在就及時(shí)修復(fù)，對(duì)于一些不便停機(jī)升級(jí)的設(shè)備進(jìn)行隔離保護(hù)，將工控系統(tǒng)網(wǎng)絡(luò)中的所有非必要的通訊端口關(guān)閉掉。

2.準(zhǔn)入控制

準(zhǔn)入控制就是對(duì)網(wǎng)絡(luò)邊界進(jìn)行保護(hù)，按照相關(guān)規(guī)范對(duì)接入網(wǎng)絡(luò)的終端設(shè)備進(jìn)行檢查，杜絕不安全的設(shè)備在未經(jīng)充分檢查下就接入工控系統(tǒng)。

3.備份與恢復(fù)

是不是的對(duì)重要的信息進(jìn)行備份，如生產(chǎn)資料和系統(tǒng)等，備份的文件需要用單獨(dú)的設(shè)備離線(xiàn)儲(chǔ)存，或者保存到其他安全的環(huán)境中，并準(zhǔn)備相應(yīng)的恢復(fù)計(jì)劃。

4.事后追查能力

為了確保工控系統(tǒng)在被攻擊后可以快速追查攻擊來(lái)源、造成的影響以及所有設(shè)備是否已經(jīng)被完全恢復(fù)，組織需要具備良好的事后追查能力。

5.安全培訓(xùn)

什么安全都少不了人和設(shè)備的結(jié)合，組織不能完全的依靠安全設(shè)備或管理制度，只有兩者相互配合才能有效的達(dá)到安防的最佳效果。我們要加強(qiáng)工控系統(tǒng)操作人員的安全意識(shí)，做好安全培訓(xùn)工作，杜絕相關(guān)操作人員再出現(xiàn)下載不明文件、點(diǎn)擊不明鏈接等高危操作而導(dǎo)致的危險(xiǎn)入侵。