威努特成功入选第一届工业信息安全应急服务支撑单位
近日,工业信息安全产业发展联盟组织开展了工业信息安全应急服务支撑单位遴选工作。经过形式审查、专家评审和理事会审核三个环节,目前评选出20家单位作为第一届工业信息安全应急服务支撑单位,威努特公司凭借过硬的工控安全技术实力和丰富的工控安全应急服务实施经验,成功入选。(点击左下角“阅读原文”查看公示)
威努特经典工控安全应急服务案例
案例一:
2015年12月,某油田公司所辖一作业区的中控室主机大面积感染病毒,主机运行缓慢且部分主机出现蓝屏现象。威努特技术人员赶赴现场后发现:中毒主机本身装有杀毒软件,但效果不理想,并且曾经出现过对工业控制软件的误报和误杀现象。与此同时,中控室需要密切关注生产现场的数据,因此需要尽快清除病毒,恢复正常的生产运营活动。
针对现场的实际情况,威努特技术人员制定了“边杀毒、边加固”的策略,在不影响生产监控的同时,对每一台主机采用“断网、杀毒、加固、联网”四步走的办法。其中在“加固”这一关键步骤中,通过安装工控主机卫士,对主机进行基于“白名单”的防护策略,既有效的抵御了病毒,也避免了误报和误杀的可能。
案例二:
2016年3月,某火电厂控制系统出现异常报警、OPC服务器运行缓慢等问题,严重影响了生产运行。威努特技术服务人员在接到客户的需求后,第一时间赶赴现场进行问题分析。经排查,现场主机病毒问题比较严重,大量主机基本上处于无防护的状态,病毒容易扩散。网络结构设计不合理,多个SIS接口机通过一条链路传输数据,有单点故障的风险。
在对现场的主机进行了有效的清理后,技术服务人员也对客户现场的工控网络进行了一次比较彻底的“健康大检查”,并根据检查的结果制定了详细的解决方案:首先,要对网络进行改造,确保重要数据链路冗余;其次,要对工业网络内的流量进行审计,监测可能存在的威胁;最后,做好主机加固的同时,也要对重要系统进行区域防护。通过上述方案,不但解决了客户现场的棘手问题,也为生产系统的“长治久安”提供了有力保障。
案例三:
2016年11月,某油田公司下属分厂的一台PLC控制器需要增加读取点数,信息中心的工程师进行加点操作,此时更改控制逻辑可以正常进行,但采集数据的动作却没有成功。通过工程师站查看数据存在坏点,工程师又通过ping控制器的方式发现控制器没有响应,对应的通道已坏死,无论如何操作都无法恢复,只能冷重启控制器。
威努特的技术专家抵达现场后,对问题进行了反复定位和实验,最终确定了问题所在:该控制器(国外品牌)安全系数较低,在没有安全防护的情况下,且不说存在数据非法采集的问题,单就增加数据采集的点数而言,用正常速率建立会话连接,当连接数增加到2500左右时,必然导致控制器拒绝服务,最后只能通过冷重启来释放连接,如果遭遇Pingflood之类的攻击更是毫无抵抗之力。
问题分析清楚后,对现场部署的威努特工业防火墙开启了并发连接数控制,同时配置会话老化时间,从而提高控制器的安全系数。在白名单防护的同时,给原通信双方发送reset报文,在合理阻断非法的采集请求的同时,保证了控制器的正常服务能力。
案例四:
2017年6月,某航空零部件生产企业流水线上的PLC工作异常,导致所控制的机床停摆,严重影响了其产品生产进度,这不但对企业造成了持续的经济损失,同时也对该企业造成潜在的信誉影响。
故障期间,该企业多次找来PLC原生产厂商售后服务人员,但一直也未能解决问题,只是得到可能需要破解PLC控制密码的结论。问题持续约一月之后,威努特安全实验室的专家临危受命,根据客户提供的有限信息,迅速响应,在公司内组织开展了对该品牌PLC的安全特性研究,多方汇总并验证解决方案,最终确定了破解密码,导出相邻生产线组态程序并恢复PLC正常工作的服务思路。
在客户现场,技术专家经过约12小时的连续工作,成功为客户找回了设备密码,并协助恢复了现场生产配置,从而最终恢复了现场的生产能力,为客户挽回了数额可观的经济损失。
案例五:
2017年5月,全球爆发大规模WannaCry勒索病毒感染事件,国内的工业网络也成为重灾区。威努特工控安全实验室迅速响应,第一时间拿到互联网病毒样本和工业现场病毒样本进行分析,并结合工业现场的实际情况,发布了详细的应对方案。与此同时,威努特技术服务工程师在第一时间赶往全国各地的多个客户现场,协助客户应对此次事件,除了安装系统补丁、端口访问控制等常规手段外,也提供基于“白名单”的工控主机卫士产品对主机进行有效防护。在有效防止病毒蔓延的同时,也收获了客户好评。
案例六:
2018年5月,国内某知名铝业集团多处生产基地工业网络遭受病毒入侵,严重影响了正常的生产秩序。经过详细的现场排查分析,现场病毒以WannaMine2.0挖矿病毒和Satan勒索病毒为主,其中WannaMine2.0挖矿病毒具备了免杀功能,提高了隐蔽性,受感染的主机频繁出现重启和蓝屏的现象,给生产系统部分业务造成了中断和短暂的失控;Satan勒索病毒主要针对服务器的数据库进行攻击加密,受感染的服务器数据库都无法正常启动,相关业务都被迫停用。
现场情况复杂,主机染毒数量众多,针对这一情况,威努特技术服务工程师连续加班加点工作在现场一线,不但查清了病毒感染的现状,也追溯到了病毒的来源。在肃清病毒的同时,也协助客户对网络边界进行了有效防护,对主机进行了全面加固。
一直以来,威努特在致力于为工业客户提供全流程安全解决方案的同时,也将安全服务工作作为重中之重。通过多年在工控安全领域的深耕细作,威努特也越加清晰的认识到:对工控安全而言,安全服务尤其应急服务是非常重要的组成部分,只有通过高效、专业的服务,才能将优秀的产品和技术传递给客户,也只有通过提供贴近客户需求的服务,才能更好的实现“专注工控、捍卫安全”的公司理念。
作为网络安全的技术支持单位,威努特参加了众多重大活动的网络安全保障任务,如:G20、十九大、两会、一带一路、上合峰会等。在这些安保工作中,威努特大量承担了电力、轨交、石化、燃气、供水等工业控制系统的安全检查和应急保障任务,在圆满完成任务的同时,也广泛而深入的了解到不同工业现场的安全现状和安全需求,为进一步做好工业现场的应急服务积累了宝贵经验。
更多阅读:
威努特亮相中国城市轨道交通机电设备系统性建设研讨会,助力城市轨交系统安全防护建设
威努特工控安全
专注工控·捍卫安全