讓股價下跌3%，工控網路病毒就有這麼大能耐

LockerGoga不是Lady Gaga的變體而是一種勒索病毒的變體

據報導，3月18日，挪威海德魯公司（Norsk Hydro）在美國和歐洲的業務受到嚴重的勒索軟體攻擊，隨後該公司被迫關閉了幾條自動化生產線。發現問題後，安全人員隔離了所有工廠和操作，並切換到手動操作模式，以確保系統安全執行。有關該公司網路攻擊的新聞報導致使該公司股價在全球現貨市場鋁價上漲超1%的情況下反而下跌近3%。挪威網路安全主管機構——挪威國家安全域性向媒體證實：LockerGoga勒索軟體是本次感染的源頭。Norsk Hydro號稱旗下擁有世界最大鍊鋁廠，此次勒索軟體攻擊很有可能導致全球鋁市場面臨動盪。

一波未平一波又起，近日，美國瀚森化工公司(Hexion Specialty Chemicals)和美國有機矽巨頭邁圖集團(Momentive)被爆出遭到勒索軟體的襲擊。遭受勒索軟體攻擊的計算機上的資料可能已經丟失，並且該公司已經訂購了數百臺新的計算機。在將邁圖相關的贖金訊息與已知的LockerGoga攻擊交叉分析後，發現語言和格式相同，因此攻擊者很有可能是來自同一團伙。

事件分析

LockerGoga不是初來乍到的新客

說起LockerGoga勒索軟體，其實這也不是第一次出現了。初次應該是在2019年1月24日，黑客利用惡意軟體感染了Altran Technologies的系統，並通過公司網路傳播，影響了一些歐洲國家的運營。當時為了保護客戶資料和自己的資產，Altran決定關閉其網路和應用程式。

因為事件剛剛發生，目前尚未知該勒索軟體通過什麼途徑進行傳播。而勒索軟體一般會針對DOC，DOT，WBK，DOCX，DOTX，DOCB，XLM，XLSX，XLTX，XLSB，XLW，PPT，POT，PPS，PPTX，POTX，PPSX，SLDX和PDF檔案進行加密。LockerGoga勒索軟體也是一樣，當檔案被加密時，原件被刪除並替換為加密資料，加密資料儲存為具有“* .LOCKED”副檔名的檔案。

圖一 被加密的檔案1

圖二 被加密的檔案2

嫌疑人猜想：

1號嫌疑人：連內褲都能扒出來的社會工程學

世界聞名的黑客凱文·米特尼克在《欺騙的藝術》中曾提到，人為因素才是安全的軟肋。很多企業、公司在資訊保安上投入大量的資金，最終導致資料洩露的原因，往往卻是發生在人本身。你們可能永遠都想象不到，對於黑客們來說，通過一個使用者名稱、一串數字、一串英文程式碼，就可以完成一次攻擊。社會工程師就可以通過這麼幾條的線索，通過社工攻擊手段，加以篩選、整理，就能把你的所有個人情況資訊、家庭狀況、興趣愛好、婚姻狀況、你在網上留下的一切痕跡等個人資訊全部掌握得一清二楚。而這次LockerGoga勒索軟體的再次出現，會不會又是利用熟人或者散落在地上的U盤進入到Norsk Hydro的工控系統中，進而影響了他整個的業務系統。

2號嫌疑人：硬體、軟體、服務處處危險的供應鏈

物聯網等技術的興起給我們的供應鏈系統帶來了網路攻擊的風險，供應鏈也逐漸成為網路攻擊的一大重點目標。

工業控制系統的硬體方面，底層核心技術掌握在少數幾家公司手中，存在安全不可控風險。軟體方面，漏洞層出不窮，工業環境下未及時升級打補丁，存在採購前植入惡意程式碼的風險。技術服務方面，工業企業系統運維依賴於第三方。在服務過程前未對服務人員背景進行調查，在服務過程中沒有一套完整的管理流程，在服務結束後企業核心資料滯留於第三方，存在第三方服務時引入攻擊路徑的風險。

與其它金屬相比，鋁的生產只由少數幾家公司主導，這意味著如果鋁生產出現問題，鋁產業鏈將面臨較大的中斷風險。隨著製造過程向全球擴散，形勢開始變得越來越複雜，使得企業不得不應對網路攻擊造成的風險。

而作為全球最大鋁生產商Norsk Hydro會不會因為工業控制系統供應鏈的某一個環節出現了問題，使勒索軟體有機可乘呢？

事件啟示

鋁行業是重要的工業金屬行業，是國民經濟重要的一環。當前，鋁行業正處於轉變發展方式的關鍵階段，工控安全是行業良性發展的重要保障。兩起工控安全事件的發生帶給我們以下幾點啟示：

加快法規、標準落地，把工控安全擺在更加突出的位置

隨著工業網際網路的深入推進，IT技術與OT技術深度融合，暴露在互利網上的工業資產越來越多，針對工控系統有組織、有目的的網路攻擊不斷出現，我國工業資訊保安形勢亦不容樂觀。為應對當前工業資訊保安領域的嚴峻形勢和挑戰，黨中央站在國家安全的高度，對保障工業資訊保安作出戰略性、前瞻性部署。隨著《中華人民共和國網路安全法》的出臺，《國家關鍵資訊基礎設施安全保護條例》《網路安全等級保護條例》均進入報批階段，建議在充分徵求意見的基礎上儘快釋出，為工控安全工作的開展提供依據。

凝聚工控安全各方力量，落實工控安全行動計劃

《工業控制系統資訊保安行動計劃（2018—2020年）》為工業網際網路安全保障工作制定了時間表和路線圖。計劃提出到2020年，全系統工控安全管理工作體系基本建立，全社會工控安全意識明顯增強。計劃的落實需要科研院所、高校、工業企業、工控安全企業、等多方面的參與，形成工控安全的合力。在工控安全人才培養方面，有賴於IT和OT兩方面人才與資源的結合，需完善高校專業設定，培養複合型人才。在技術研究方面，開展體系標準建設，研發工控安全防護技術工具集，開展防護能力建設試點示範。在企業安全建設方面，支援工業企業申請試點專案，將工控安全納入到企業生產安全管理之中，對企業面臨的各類風險綜合管控。在專案落地方面，支援工控安全企業綜合運用法規、政策、標準，在專案中研究方法論，形成可推廣可複製的解決方案。

構建工控安全防護體系，全方位保護工業企業核心資產

做好工業企業的資訊保安絕對不是一朝一夕的事情，這是一個需要長期規劃、長期運營的過程。工業控制系統作為工業企業的核心資產，不僅要做好安全技術防護方面的工作，更要注重安全管理體系的建設，綠盟科技工控安全諮詢小組的專家提出了以下建設意見：

構建IPDRR能力框架

資訊保安體系設計總體思路：針對企業防護物件框架，通過企業組織體系、管理體系、技術體系的建設，逐步建立企業風險識別能力、安全防禦能力、安全檢測能力、安全響應能力與安全恢復能力，最終實現風險可見化，防禦主動化，執行自動化的安全目標，保障企業業務的安全。

IPDRR能力框架模型包括風險識別（Identify）、安全防禦（Protect）、安全檢測（Detect）、安全響應（Response）和安全恢復（Recovery）五大能力。IPDRR能力框架實現了"事前、事中、事後"的全過程覆蓋，從原來以防護能力為核心的模型，轉向以檢測能力為核心的模型，支撐識別、預防、發現、響應等，變被動為主動，直至自適應（Adaptive）的安全能力。

落實《工業控制系統資訊保安防護指南》的要求

《工業控制系統資訊保安防護指南》整體借鑑了等級保護的思想，具體提出了十一條三十款要求，貼近實際工業企業真實情況，務實可落地。針對主體目標要求落實工控安全責任制、加強供應鏈管理；針對客體目標要求落實從資產安全、資料安全管理；針對保護方法措施要求落實安全軟體選擇與管理、物理和環境安全防護、配置和補丁管理、身份認證、邊界安全防護、遠端訪問安全、安全監測和應急預案演練。《工業控制系統資訊保安防護指南》對工控安全提出了具體措施，為企業開展工控安全防護指明瞭方向。

開展工控風險評估工作

工控風險評估是在對工業控制系統的資產進行整理分析的基礎上，從其資產的安全特性出發，分析工業控制系統的威脅來源與自身脆弱性，歸納出工業控制系統面臨的資訊保安風險，並給出實施工業控制系統風險評估的指導性建議。

風險評估是實現工控系統資訊保安縱深防禦的基礎，依託科學的風險評估能夠準確地評估工控系統存在的主要資訊保安問題和潛在的風險。綠盟科技工控風險評估服務基於IPDRR安全防護模型，從管理人員、生產人員和IT人員的不同視角，依照工業行業的業務特性，結合工業企業安全目標，覆蓋工控安全的全生命週期，為工業企業提供全方位風險評估服務。