受该病毒感染的电脑会出现
宕机或重复开机,
部分主机的文件或设计图纸
被加密。
该病毒传播速度很快,
完全物理隔绝的工控网中,
已经有几十台主机和控制平台
被感染。
工控网络中的主机,
因为无法与外网链接,
没有打补丁,
而且像数控机床这样的进口设备
根本就不敢打补丁。
要是设备故障,
请厂商专家来现场支持,
一小时就要一万多美金。
坚决不打补丁!
有些工控网络中的主机
装了防病毒软件,
但基本都是靠人工导入病毒库,
时效上不能保证。
而且只能根据病毒码来扫描病毒,
什么云引擎、云查杀、文件信誉、沙箱,
压根用不了。
工控网完全是物理隔离,
传递文件通过U盘。
虽然U盘是加密的,
但在拷贝文件的同时,
病毒也被加密拷贝到了工控网络,
解密后就会造成病毒爆发。
工控网里没有
蜜罐、网络安全分析等工具,
无法及时发现
病毒或木马程序的攻击,
导致在病毒爆发的时候
阻止不及时。
工控主机没有安装白名单,
所以无法阻止
恶意进程、未知进程的启动。
没有基线检查工具,
无法发现配置上的漏洞。
现在的工控网络太大,
没有做网络区域隔离,
有病毒传播感染全网的风险。
现在重边界轻终端的防护理念
已经不再适合制造业。
在企业Internet出口部署
一大堆防火墙、IPS类设备已经远远不够,
今后要从源头终端去做防护。
现在的网络也都是无边界网络,
用户随时都可以通过4G连上互联网。
出差员工使用的网络,
无法做到防护。
我们不但要保护好工控网络,
也要理清办公网络的保护思路,
避免安全问题。