工控系統(tǒng)和一般的辦公設(shè)備不同，工控系統(tǒng)冗余量小，一旦被感染，即使是只有部分的設(shè)備也會造成整個生產(chǎn)線的停工，甚至?xí)?dǎo)致設(shè)備的物理安全收到威脅。這時從損失的角度來看，保證系統(tǒng)正常運(yùn)行的代價遠(yuǎn)遠(yuǎn)高于支付贖金，很難有其他的選擇。

當(dāng)真的發(fā)生勒索事件發(fā)生時，一定要判明情況，然后冷靜并迅速的處理掉。首先要將被攻擊的異常設(shè)備進(jìn)行斷網(wǎng)斷電的隔離處理，為了避免擴(kuò)散的情況還要中斷內(nèi)網(wǎng)通信；然后聯(lián)系負(fù)責(zé)的安全廠商和相關(guān)機(jī)構(gòu)對異常設(shè)備中的病毒樣本進(jìn)行取樣分析，以便了解攻擊者的目的和所造成的影響，并開始修復(fù)工控系統(tǒng)，盡早恢復(fù)正常工作。查明完勒索病毒入具體侵情況后，應(yīng)將異常設(shè)備進(jìn)行離線修復(fù)，避免在安裝補(bǔ)丁等修復(fù)過程中再次受到入侵。

既然勒索病毒在工控行業(yè)如此猖狂，那有什么辦法防御嗎？勒索病毒通常是利用工控環(huán)境中的脆弱性問題和設(shè)備漏洞進(jìn)行攻擊，其行為和惡意軟件的方式相同，所以在預(yù)防上也和其他工控惡意軟件一樣：

1.資產(chǎn)識別與維護(hù)

識別工控系統(tǒng)網(wǎng)絡(luò)中的設(shè)備，一經(jīng)查詢到右安全隱患或者已知漏洞的設(shè)備的存在就及時修復(fù)，對于一些不便停機(jī)升級的設(shè)備進(jìn)行隔離保護(hù)，將工控系統(tǒng)網(wǎng)絡(luò)中的所有非必要的通訊端口關(guān)閉掉。

2.準(zhǔn)入控制

準(zhǔn)入控制就是對網(wǎng)絡(luò)邊界進(jìn)行保護(hù)，按照相關(guān)規(guī)范對接入網(wǎng)絡(luò)的終端設(shè)備進(jìn)行檢查，杜絕不安全的設(shè)備在未經(jīng)充分檢查下就接入工控系統(tǒng)。

3.備份與恢復(fù)

是不是的對重要的信息進(jìn)行備份，如生產(chǎn)資料和系統(tǒng)等，備份的文件需要用單獨(dú)的設(shè)備離線儲存，或者保存到其他安全的環(huán)境中，并準(zhǔn)備相應(yīng)的恢復(fù)計劃。

4.事后追查能力

為了確保工控系統(tǒng)在被攻擊后可以快速追查攻擊來源、造成的影響以及所有設(shè)備是否已經(jīng)被完全恢復(fù)，組織需要具備良好的事后追查能力。

5.安全培訓(xùn)

什么安全都少不了人和設(shè)備的結(jié)合，組織不能完全的依靠安全設(shè)備或管理制度，只有兩者相互配合才能有效的達(dá)到安防的最佳效果。我們要加強(qiáng)工控系統(tǒng)操作人員的安全意識，做好安全培訓(xùn)工作，杜絕相關(guān)操作人員再出現(xiàn)下載不明文件、點(diǎn)擊不明鏈接等高危操作而導(dǎo)致的危險入侵。