珞安工控安全防护产品的代表作“珞安卫士”在某超大型智能制造企业部署超40000台工业主机,或成为目前业内规模最大的工业主机安全防护项目。
作为典型智能制造企业(简称:A企业),A企业拥有遍布全国的工业园区,综合实力雄厚。但A企业生产线的计算机都是十几年前的PC机,和目前主流设备相比性能普遍较低。同时,A企业生产线上使用的软件因为行业特点需要频繁更新。为了避免重蹈台积电遭受“勒索”病毒攻击的覆辙,保障工业生产主机的安全,A企业曾考虑过统一部署杀毒软件的方案,但因工业生产主机的设备性能有限,杀毒软件对主机性能的影响太大,最终该方案被放弃。A企业经过调研,将安全防护方案转向了进程白名单类安全产品。进程白名单类安全产品采用了一种轻量级的主动防御机制,通过白名单准入机制,拦截所有未知应用运行,进而将病毒木马御之门外。
进程白名单方案,简单高效,无需更新病毒库,不存在误杀,还可有效规避设备性能低下的问题。但该方案引入了另一个问题:软件更新和系统补丁更新无法工作。对于很少更新工控软件的企业来说,这或许不是问题,但对于一些需要经常更新和安装软件的制造企业来说,尤其是生产电子类设备的企业,这将是一个致命的问题!靠人工逐台处理,对于动辄上千的制造企业来说,几乎不太可能。
针对这种场景,珞安凭借自身在工业主机安全防护领域长期的技术积累与优势,在与多家安全厂商经过长达半年的技术方案与安全服务比拼中脱颖而出,独家提供了丰富的、多层次化的工业软件更新及分布式超大规模部署解决方案,满足A企业不同场景下的工业软件更新需求。
解决方案
方案一:手动软件更新解决方案,实现个别终端的软件更新快速处理
系统运维人员通过珞安卫士提供的追加软件功能,借助智能化软件更新追踪技术,自动捕获更新软件执行过程中所更新的可执行文件,并将其追加到白名单中,从而保障更新后的软件自动放行。
方案二:基于软件更新平台的自动化软件更新解决方案,实现对软件的智能放行
该方案只需要系统运维人员配置信任的软件更新平台程序,珞安卫士将自动追踪由平台下载并调度执行的软件更新程序,将其更新的可执行文件自动加入白名单,进而让平台更新后的软件可以无障碍运行。典型如360的软件管家和腾讯的软件管理工具,通过此方案,可以完美支持软件的更新。对于软件更新平台,系统采用了基于文件指纹的判定机制,保证更新平台可信任,杜绝恶意程序仿冒软件更新平台,植入病毒木马的可能。
方案三:基于信任软件库的软件更新解决方案,构建企业自己的信任软件仓库
很多企业并没有类似的软件更新平台,也不可能把需要更新的软件都设置成更新平台。对此,珞安卫士提供了基于信任软件库的软件更新解决方案,运维人员将更新软件的基本信息(文件指纹、产品名称、版本等)提交到信任软件库中,系统会自动推送信任软件列表给受控终端,受控终端依据文件指纹信息,自动识别受信任的更新程序,借助软件更新智能捕获技术,系统后台将更新的可执行文件自动加入白名单,确保更新后的程序不被拦截。
方案四:智能化系统补丁更新捕获机制,让补丁更新不再成为摆设
操作系统补丁更新,是解决操作系统漏洞的最有效方案。但因为白名单的引入,贸然进行补丁更新,被更新的系统文件不被信任,很可能会造成系统无法正常启动。传统的办法是停用补丁更新功能或者人工处理。珞安卫士通过深入研究系统补丁更新的流程和文件更新机制,针对性地研发出了系统补丁更新捕获技术,独家实现了对操作系统补丁更新的完美支持,让操作系统的补丁更新机制不再成为摆设。
珞安卫士是珞安针对工业主机业务环境相对固定、稳定第一的特点,为工业主机量身打造的一款安全防护软件,提供进程白名单管控、U盘白名单管控、操作系统安全加固三大核心功能,系统采用了白名单机制,拦截一切未知程序和脚本的执行,既可有效抵御已知和未知的恶意代码,又规避了传统杀毒软件病毒库更新不及时的问题,从根本上保障主机运行环境的安全。同时,配合完善的软件更新机制,安全运维人员可以轻松搞定工业场景下的主机安全运维。
为了应对日益严重的安全威胁和更加隐蔽的APT攻击,珞安目前已构建面向工业主机的终端检测与响应平台,借助珞安卫士的强防御、强审计能力,强化基于用户和实体的异常行为分析,构建智能威胁感知体系,通过端+网的有机互动,打造面向工业主机的EDR产品:
通过端+网结合分析,实现分布式安全威胁检测;
基于安全域,实现设备的聚类分析,构建个体和群体的多层次行为模型,实时发现异常行为;
通过内置高风险操作行为模式库,识别并预警用户或主机的高风险操作行为;
借助统一的安全管理平台,实现卫士、防火墙等安全产品的策略互动,主动隔离威胁。
