珞安工控安全防護產品的代表作“珞安衛士”在某超大型智能制造企業部署超40000臺工業主機,或成為目前業內規模最大的工業主機安全防護項目。
作為典型智能制造企業(簡稱:A企業),A企業擁有遍布全國的工業園區,綜合實力雄厚。但A企業生產線的計算機都是十幾年前的PC機,和目前主流設備相比性能普遍較低。同時,A企業生產線上使用的軟件因為行業特點需要頻繁更新。為了避免重蹈臺積電遭受“勒索”病毒攻擊的覆轍,保障工業生產主機的安全,A企業曾考慮過統一部署殺毒軟件的方案,但因工業生產主機的設備性能有限,殺毒軟件對主機性能的影響太大,最終該方案被放棄。A企業經過調研,將安全防護方案轉向了進程白名單類安全產品。進程白名單類安全產品采用了一種輕量級的主動防御機制,通過白名單準入機制,攔截所有未知應用運行,進而將病毒木馬御之門外。
進程白名單方案,簡單高效,無需更新病毒庫,不存在誤殺,還可有效規避設備性能低下的問題。但該方案引入了另一個問題:軟件更新和系統補丁更新無法工作。對于很少更新工控軟件的企業來說,這或許不是問題,但對于一些需要經常更新和安裝軟件的制造企業來說,尤其是生產電子類設備的企業,這將是一個致命的問題!靠人工逐臺處理,對于動輒上千的制造企業來說,幾乎不太可能。
針對這種場景,珞安憑借自身在工業主機安全防護領域長期的技術積累與優勢,在與多家安全廠商經過長達半年的技術方案與安全服務比拼中脫穎而出,獨家提供了豐富的、多層次化的工業軟件更新及分布式超大規模部署解決方案,滿足A企業不同場景下的工業軟件更新需求。
解決方案
方案一:手動軟件更新解決方案,實現個別終端的軟件更新快速處理
系統運維人員通過珞安衛士提供的追加軟件功能,借助智能化軟件更新追蹤技術,自動捕獲更新軟件執行過程中所更新的可執行文件,并將其追加到白名單中,從而保障更新后的軟件自動放行。
方案二:基于軟件更新平臺的自動化軟件更新解決方案,實現對軟件的智能放行
該方案只需要系統運維人員配置信任的軟件更新平臺程序,珞安衛士將自動追蹤由平臺下載并調度執行的軟件更新程序,將其更新的可執行文件自動加入白名單,進而讓平臺更新后的軟件可以無障礙運行。典型如360的軟件管家和騰訊的軟件管理工具,通過此方案,可以完美支持軟件的更新。對于軟件更新平臺,系統采用了基于文件指紋的判定機制,保證更新平臺可信任,杜絕惡意程序仿冒軟件更新平臺,植入病毒木馬的可能。
方案三:基于信任軟件庫的軟件更新解決方案,構建企業自己的信任軟件倉庫
很多企業并沒有類似的軟件更新平臺,也不可能把需要更新的軟件都設置成更新平臺。對此,珞安衛士提供了基于信任軟件庫的軟件更新解決方案,運維人員將更新軟件的基本信息(文件指紋、產品名稱、版本等)提交到信任軟件庫中,系統會自動推送信任軟件列表給受控終端,受控終端依據文件指紋信息,自動識別受信任的更新程序,借助軟件更新智能捕獲技術,系統后臺將更新的可執行文件自動加入白名單,確保更新后的程序不被攔截。
方案四:智能化系統補丁更新捕獲機制,讓補丁更新不再成為擺設
操作系統補丁更新,是解決操作系統漏洞的最有效方案。但因為白名單的引入,貿然進行補丁更新,被更新的系統文件不被信任,很可能會造成系統無法正常啟動。傳統的辦法是停用補丁更新功能或者人工處理。珞安衛士通過深入研究系統補丁更新的流程和文件更新機制,針對性地研發出了系統補丁更新捕獲技術,獨家實現了對操作系統補丁更新的完美支持,讓操作系統的補丁更新機制不再成為擺設。
珞安衛士是珞安針對工業主機業務環境相對固定、穩定第一的特點,為工業主機量身打造的一款安全防護軟件,提供進程白名單管控、U盤白名單管控、操作系統安全加固三大核心功能,系統采用了白名單機制,攔截一切未知程序和腳本的執行,既可有效抵御已知和未知的惡意代碼,又規避了傳統殺毒軟件病毒庫更新不及時的問題,從根本上保障主機運行環境的安全。同時,配合完善的軟件更新機制,安全運維人員可以輕松搞定工業場景下的主機安全運維。
為了應對日益嚴重的安全威脅和更加隱蔽的APT攻擊,珞安目前已構建面向工業主機的終端檢測與響應平臺,借助珞安衛士的強防御、強審計能力,強化基于用戶和實體的異常行為分析,構建智能威脅感知體系,通過端+網的有機互動,打造面向工業主機的EDR產品:
通過端+網結合分析,實現分布式安全威脅檢測;
基于安全域,實現設備的聚類分析,構建個體和群體的多層次行為模型,實時發現異常行為;
通過內置高風險操作行為模式庫,識別并預警用戶或主機的高風險操作行為;
借助統一的安全管理平臺,實現衛士、防火墻等安全產品的策略互動,主動隔離威脅。
