从windows大规模蓝屏事件引发的工业场景下安全防护架构的深度思考

从windows大规模蓝屏事件引发的工业场景下安全防护架构的深度思考

7月19日消息“微软蓝屏”事件发酵，全球多地 Windows 系统崩溃，而此次事件中的“始作俑者”Crowdstrike Holdings Inc在德国Tradegate交易平台下跌超11%。

疑因CrowdStrike杀毒平台问题，全球多地Windows用户出现蓝屏，LME交易所、多家银行、航空公司等行业。根据美国联邦航空管理局空中交通管制系统指挥中心，美国联合航空、美国航空和达美航空已对所有航班发出地面停飞指令。德国柏林机场也称，由于技术故障，登机手续将出现延误。

此外，日本东京时间19日13时30分左右开始，日本地区运行微软视窗（Windows）操作系统的电脑也陆续开始出现访问异常问题。据美国微软日本子公司确认，安装了美国网络安全企业“群集打击”（CrowdStrike）软件的计算机上出现了该问题。据报道，CrowdStrike日本子公司称，安装了该公司安全软件“Falcon”的电脑出现“蓝屏”，表明Windows出现访问异常问题。
西日本旅客铁道公司(JR西日本)列车行驶位置信息因Windows系统故障导致无法获取，澳大利亚航空公司、银行、政府网络、企业、超市自动收银机等也受到影响。
目前，美国微软正在调查问题发生原因并寻求解决。微软报告称其 Microsoft 365 应用程序和服务出现中断，影响了全球的企业和用户。“我们正在调查一个影响用户访问各种微软 365 应用程序和服务的问题，”根据网站故障追踪软件 Downdetector 7 月 19 日数据，日本用户报告 Microsoft 365 出现了问题。
追溯源头，众人也将目光聚焦于微软身上。不过有网友推测出原因，问题可能不是在微软身上，而是因为一个名为 CrowdStrike 驱动产品更新导致了全球大范围的 Windows 蓝屏死机事件。
一位 X 平台用户 Kevin McCurdy 写道，「Hey，CrowdStrike 你们能不能审查/提取你们发布的最新补丁？我们发现整个 Org 范围内的 BSOD 是由 csagent.sys 引起的，并且它正在关闭关键服务。我会开一张票，但这是一件大事。」
网友 Xaaavier_8613分享了一张关于 Crowdstrike 公告的截图，主题为“Tech-Alert-Windows-crashes-related-to-Falcon-Sensor-2024-07-19”，确认了问题就出现 Crowdstrik 驱动更新上。Crowdstrike 在公告中表示，“CrowdStrike 已获悉与 Falcon Sensor 相关的 Windows 主机崩溃报告。症状包括主机遇到与 Falcon Sensor 相关的错误检查\蓝屏错误。”
CrowdStrike 是全球知名的下一代终端安全厂商，和微软、Google、亚马逊等公司均有深度的合作。CrowdStrike Falcon 是一款基于云的端点安全工具，专为 Windows 和其他操作系统设计，提供全面的安全保护。它提供了针对病毒、恶意软件、勒索软件、网络攻击和其他恶意活动的高级保护。

工业场景下对应用升级非常谨慎及常见应对方案

在工业场景下，对补丁升级持谨慎态度是很常见的做法，原因主要包括以下几点：

**1. 稳定性优先：**工业控制系统（ICS）通常要求极高的稳定性和可靠性。任何升级或补丁都可能引入新的问题或不稳定性，这可能导致生产中断或设备故障。
**2. 严格的验证流程：**在工业环境中，任何软件或固件的变更都需要经过严格的测试和验证流程，以确保它们不会影响系统的安全性和性能。
**3. 兼容性问题：**工业设备和系统可能来自不同的供应商，使用不同的技术标准。补丁升级需要确保与现有系统的兼容性，避免造成系统冲突或性能下降。
**4. 长期服务的设备：**许多工业设备设计为长期运行，可能已经使用了多年。这些设备可能不支持最新的软件更新，或者升级到新版本可能会带来额外的成本和风险。
**5. 专业知识限制：**工业环境中的操作人员可能更专注于过程控制和设备操作，而不是信息技术。因此，他们可能缺乏应用补丁所需的IT专业知识。
**6. 法规和标准要求：**某些行业受到严格的法规和行业标准约束，这些法规可能对软件变更有特定的要求，需要更多的文件记录和审批流程。
**7. 风险评估：**在工业环境中，任何潜在的风险都需要被仔细评估。如果补丁升级的好处不能明显超过可能的风险，那么可能会选择不进行升级。
**8. 依赖性问题：**工业控制系统可能高度依赖于特定的软件版本，这些软件与控制逻辑、协议或硬件紧密集成，任何更改都可能破坏这种依赖关系。
**9. 供应链风险：**补丁可能来自供应链中的不同供应商，而这些供应商的可靠性和安全性需要被评估，以防止潜在的供应链攻击。
**10. 成本考虑：**升级可能涉及到显著的成本，包括软件许可费用、测试和验证成本、以及可能的硬件更换成本。
因此，在工业场景中，组织通常会在确保充分测试和验证后，才会谨慎地应用补丁升级，以维护系统的稳定性和安全性。
工业场景下对补丁升级的谨慎态度确实对安全防护策略提出了特别的挑战。以下是一些应对方案，旨在加强工业安全防护，同时考虑到补丁管理的复杂性和风险：
**1.风险评估：**在应用任何补丁之前，进行全面的风险评估，以确定潜在的影响和必要的缓解措施。
**2.分层安全策略：**实施多层次的安全防护措施，包括物理安全、网络安全、主机安全和应用安全，以减少对单一补丁的依赖。
**3.定期安全审计：**定期进行系统和网络安全审计，以识别漏洞和潜在的安全风险。
**4.补丁测试环境：**在生产环境之外建立一个测试环境，用于测试补丁的兼容性和性能影响。
**5.补丁管理程序：**制定严格的补丁管理程序，包括补丁的获取、测试、批准、部署和记录。
**6.漏洞扫描：**使用自动化工具定期扫描系统，以识别已知漏洞，并评估补丁升级的紧迫性。
**7.白名单机制：**在工业控制系统中实施白名单策略，只允许已知安全和经过批准的软件运行。
**8.访问控制：**严格控制对工业控制系统的访问，确保只有授权人员能够进行更改或应用补丁。
**9.安全培训：**对操作人员和维护人员进行安全意识和最佳实践培训，以减少人为错误和安全风险。
**10.备份和恢复计划：**确保在应用补丁之前有完整的系统备份，并制定有效的恢复计划，以应对可能出现的问题。
**11.供应链安全：**确保补丁和软件更新来自可信的供应商，并验证其完整性和安全性。
**12.监控和响应：**加强系统监控，以便及时发现异常行为或攻击，并迅速响应。
**13.合规性检查：**确保补丁管理流程符合行业标准和法规要求。
**14.安全补丁优先级：**根据漏洞的严重性和系统的关键性，确定补丁应用的优先级。
**15.与供应商合作：**与软件和硬件供应商建立紧密的合作关系，确保及时获得安全更新和支持。
**16.使用虚拟补丁：**在某些情况下，如果应用补丁的风险太高，可以使用虚拟补丁（如WAF规则）来暂时缓解风险。
**17.安全监控和入侵检测系统：**部署安全监控和入侵检测系统，以便实时监控网络和系统活动，及时发现和响应安全事件。
通过这些策略，工业组织可以在保持生产稳定性的同时，提高其安全防护能力，减少潜在的安全风险。
六方云提出以“藏漏洞”为主，“补漏洞”为辅的主动防御架构****六方云基于多年的工业网络信息安全实践，充分考虑到工业场景下补丁升级的困难和风险，提出了如下的工业网络信息安全方案架构：
**• 安全防护理念：**主动防御；以“藏漏洞”为主，“补漏洞”为辅；OT/IT融合防护
**• 安全防护框架：**零信任+纵深防御
**• 安全防护模型：**一个中心+三重防护
• 安全防护措施：美国DHS提出的7大工控系统防护措施
**• 安全防护技术：**白+黑+行为分析

在当今数字化时代，工业系统面临着日益复杂的网络安全威胁。为了有效应对这些挑战，我们必须采取一种全新的安全防护理念，即主动防御。这种理念强调的是以“藏漏洞”为主，"补漏洞"为辅，通过OT（运营技术）与IT（信息技术）的融合防护，构建一个更加安全、可靠的工业环境。

主动防御：安全防护的新篇章主动防御是一种前瞻性安全策略，它不仅仅关注于传统的防御措施，如防火墙和杀毒软件，而是更加注重对潜在威胁的预测、识别和响应。这种策略要求我们从被动防御转变为主动识别和缓解风险，通过持续监控和分析系统行为，及时发现并隔离异常活动。
零信任+纵深防御：构建安全防护框架零信任安全模型假设没有任何人或设备可以自动获得信任。在这种模型中，每次访问请求都必须经过验证，无论请求来自何处。结合纵深防御策略，我们可以在网络的多个层次上设置安全控制点，确保即使某个防御层被突破，攻击者也无法轻易达到目标。
一个中心+三重防护：安全防护模型我们的安全防护模型以一个中心为核心，即安全运营中心（SOC），它负责监控、分析和响应所有安全事件。三重防护包括：
1.安全区域边界安全区域边界的防护着重于定义和保护网络中不同安全级别的区域。通过建立网络分段和实施访问控制策略，可以限制和监控不同区域之间的数据流动。这包括使用工业防火墙、网络隔离设备和安全网关来防止未授权的访问和潜在的威胁传播。
2.安全网络通信网络通信的安全性，涉及到加密技术的使用，以确保数据传输的机密性和完整性。通过VPN、TLS等协议，可以保护数据在传输过程中不受窃听和篡改。此外，还需要对网络流量进行监控和过滤，以防止恶意软件和攻击者利用网络通信进行横向移动。
3.安全计算环境计算环境包括服务器、工作站、控制器等设备的安全性。这要求对操作系统和应用程序进行加固，及时应用安全补丁，以及使用防病毒软件和入侵检测系统来保护系统不受恶意软件和攻击的侵害。此外，还需要对用户权限进行严格控制，确保只有授权用户才能访问和操作关键系统。
美国DHS提出的7大工控系统防护措施美国国土安全部（DHS）提出了以下7大工控系统防护措施，以加强工业控制系统的安全性：
**1.设置应用程序白名单：**通过仅允许已知和信任的应用程序运行，可以缓解38%的安全问题。这是一种有效的访问控制手段，可以减少恶意软件的运行机会。
**2.确保正确配置与管理补丁：**适当的配置和及时管理安全补丁可以缓解29%的问题。这意味着要定期更新系统，修补已知漏洞，以防止攻击者利用这些漏洞。
**3.降低易受攻击面：**通过减少系统和网络的攻击面，比如关闭不必要的端口和服务，可以缓解17%的问题。这有助于减少潜在的入侵点。
**4.建立可防御的环境：**创建一个具有防御措施的环境，如使用防火墙和入侵检测系统，可以缓解9%的问题。这有助于及时发现和防御攻击。
5.认证管理：强化认证机制，确保只有经过验证的用户才能访问系统，可以缓解4%的问题。这包括使用多因素认证等安全措施。
**6.远程访问控制：**严格控制和管理远程访问，确保所有远程会话都是安全的，可以缓解1%的问题。这可能包括使用VPN和加密通道来保护远程连接。
**7.监测与响应机制：**建立有效的监测系统和响应计划，以便在检测到异常或攻击时迅速采取行动，可以缓解2%的问题。这包括实时监控网络流量和系统日志，以及制定应急响应计划。
白+黑+行为分析：安全防护技术
**1.白名单技术：**只允许已知安全的应用和服务运行，从而减少未知威胁的风险。
**2.黑名单技术：**阻止已知恶意的软件和活动，及时更新以应对新出现的威胁。
**3.行为分析：**通过分析系统和用户行为，识别异常模式，从而发现潜在的内部和外部威胁。
通过这些先进的安全防护技术和措施，我们可以构建一个更加坚固的防御体系，保护工业控制系统免受日益复杂的网络攻击。这不仅需要技术的创新，还需要我们在安全理念和操作上的持续进步和改进。

— 【 THE END 】—