近年來，全球范圍內(nèi)的制造業(yè)安全事件頻發(fā)，安全形勢不容樂觀。根據(jù) IBM Security 年度 X-Force 威脅情報指數(shù)，勒索軟件和網(wǎng)絡(luò)釣魚是 2021 年企業(yè)面臨的首要網(wǎng)絡(luò)安全問題，而制造業(yè)成為勒索軟件攻擊的重災區(qū)。

2021 年與 2020 年前 10 大行業(yè)遭受的攻擊率（資料來源：IBM Security X-Force）

• 1月21日，臺灣地區(qū)電子產(chǎn)品制造公司臺達電子（Delta Electronics）受到勒索軟件攻擊，導致臺達電子1500臺服務器和 12000 臺計算機被攻擊者加密，受影響設(shè)備占比約20.8%，面臨1500萬美元贖金。
• 6月3日，全球制造業(yè)巨頭富士康旗下位于墨西哥的一家生產(chǎn)工廠遭受到勒索軟件攻擊，黑客組織加密了這家工廠約1200臺服務器，竊取了100 GB的未加密文件，并刪除了20TB至30TB的備份內(nèi)容，索取1804.0955比特幣贖金，約人民幣2.3億元。本次勒索攻擊一度導致該工廠業(yè)務中斷。
• 8月3日，蘋果獨家芯片供應商臺積電遭遇勒索病毒入侵，導致臺積電廠區(qū)全線停擺。
• ……

勒索軟件攻擊往往導致企業(yè)生產(chǎn)線停頓，造成巨大損失。制造業(yè)企業(yè)面對迅速恢復產(chǎn)能的巨大壓力，更傾向于向攻擊者支付贖金。

勒索病毒的傳播途徑

那企業(yè)到底是怎么中的勒索病毒呢？其實勒索病毒非常善于偽裝，就潛伏在我們身邊：

• 一不留神誤點了一封釣魚郵件
• 下載并安裝了一個內(nèi)置木馬病毒的軟件
• 沒留意仿冒網(wǎng)站并在上面輸入了賬號密碼
• 電腦沒安裝或者沒運行殺毒軟件
• 系統(tǒng)沒打補丁或者沒修復漏洞
• 在辦公電腦上使用了含木馬病毒的U盤
• ……

面對這些勒索病毒，該怎么防范？企業(yè)常規(guī)的防御思維是見招拆招，比如告誡員工不要打開陌生人或來歷不明的郵件，給辦公電腦安裝殺毒軟件，安裝系統(tǒng)補丁，定期備份文件，定期安全培訓，定期更改密碼……雖然沒什么毛病，但怎么看都像是兵來將擋水來土掩，被動挨打。

正確的防勒索病毒手段，一定是以不變應萬變。舉個例子，疫情期間，乘坐飛機的時候都知道禁止攜帶易燃易爆等危險物品，并提供 48 小時核酸陰性證明，但大家都會遵守這個規(guī)定嗎？不確定，所以會有安檢通道，除了檢查乘客是否攜帶危險物品，還要查驗 48 小時核酸檢測報告，只有全部符合機場要求，才會放行。

安全基線的概念便是如此。機場設(shè)置了安全規(guī)則，相當于乘客進入機場必須滿足的安全基線，而安全檢查是保證安全基線牢固的手段。本文接下來要講到的終端準入控制，就類似于機場的安全檢查手段。企業(yè)設(shè)置了安全規(guī)則，通過終端準入控制，確保接入企業(yè)網(wǎng)絡(luò)的每臺終端都是安全的、符合規(guī)范的，以此來提升企業(yè)內(nèi)網(wǎng)的安全準入基線，從而主動防御勒索病毒。

接下來我們就結(jié)合一個制造業(yè)真實的客戶案例，看看他們是怎么通過終端準入控制方案防范勒索病毒的。

客戶背景

某公司是全球領(lǐng)先的筆記本電腦代工廠商，成立于上世紀 80 年代，經(jīng)過三十多年發(fā)展，該公司在亞洲、歐洲、美洲等區(qū)域均有多個生產(chǎn)和制造基地，員工規(guī)模龐大，僅大陸一個生產(chǎn)基地員工規(guī)模就已超 5 萬人。

該公司信息化建設(shè)起步早，辦公、生產(chǎn)區(qū)均以 Windows 終端為主，IT 管理規(guī)范，部署了微軟 AD 域來統(tǒng)一管理 IT 資產(chǎn)。

面臨挑戰(zhàn)：基于AD域的內(nèi)網(wǎng)安全遭遇威脅

隨著移動化辦公普及，公司業(yè)務規(guī)?？焖贁U張，越來越多的 BYOD（自攜帶設(shè)備）、IoT（物聯(lián)網(wǎng)終端）、Mac、Linux 類型的終端涌入企業(yè)內(nèi)部，基于 Windows 環(huán)境的微軟 AD 域無法納管這些泛終端，終端安全無法管控，公司隨時有被勒索軟件攻擊的風險。

如何確保接入企業(yè)網(wǎng)絡(luò)的終端安全、合規(guī)，是擺在IT部門安全負責人張經(jīng)理面前的一道難題。

張經(jīng)理坦言：“前不久，我們一個友商因為生產(chǎn)線上的啞終端漏洞被勒索軟件攻擊，面臨上億元的巨額贖金。這給我們敲響了警鐘，必須要對接入企業(yè)網(wǎng)絡(luò)的每一臺終端進行檢測，確保安全合規(guī)。否則下一個被勒索的很可能就是我們，我們不想這么被動，必須要先發(fā)制人，提前預防?！?/p>

解決方案：無客戶端準入，提升內(nèi)網(wǎng)安全準入基線

在尋找解決方案的期間，張經(jīng)理找到了幾個做準入控制的安全廠商，但在方案選擇上卻犯了難。

傳統(tǒng)的終端準入方案思路是借助 802.1x 客戶端來進行終端識別、準入控制和策略執(zhí)行，服務端僅負責下發(fā)策略，甚至還集成了DLP、殺毒等多合一功能。對于中小企業(yè)來說，多合一的方案可能更有吸引力，但對于大型制造業(yè)企業(yè)來說，安全要求更高更嚴格，安全設(shè)備各司其職、分工明確才更“專業(yè)可信”。

寧盾終端準入控制思路有兩點不同：一是將客戶端“減輕”，由服務端來做終端識別、準入控制和策略執(zhí)行，客戶端僅負責向服務端匯報收集到的終端信息。二是引入零信任理念，永不信任，持續(xù)驗證。將傳統(tǒng)準入方案的縱深防御變?yōu)橹鲃臃烙?，實時檢測入網(wǎng)終端的合規(guī)性，做到違規(guī)不入網(wǎng)，入網(wǎng)必合規(guī)。

該公司辦公區(qū)和生產(chǎn)線上均以 Windows 終端為主，那么需要解決的問題是如何基于AD域環(huán)境，提升企業(yè)內(nèi)網(wǎng)安全準入基線。

寧盾無客戶端準入方案正是通過接入AD域，利用域探測的方式來檢測 Windows 終端的合規(guī)性。而 IoT、BYOD終端，也可以免裝客戶端就能識別終端類型，利用流量鏡像進行檢測。對于Mac、Linux 終端，則可以基于輕量化客戶端來探測終端的“內(nèi)部”信息。

經(jīng)過調(diào)研選型及 POC 測試，該公司最終決定采用寧盾無客戶端準入方案，目前實施已超 20000 點終端。

快速上線，生產(chǎn)不受干擾

傳統(tǒng)802.1x客戶端準入方案因“重任”都壓在客戶端上，導致客戶端“龐大”、“繁重”，兼容性較差，項目實施及后續(xù)運維代價大不說，用戶體驗也有待提高。

寧盾無客戶端準入方案最直觀的優(yōu)勢是用戶體驗性很好。IT 管理人員無需再下發(fā)客戶端給上萬點終端，也無需手動調(diào)試安裝，減輕了 IT 運維工作量，用戶的日常登錄行為也絲毫不受影響，全程無感知。

但它對于IT部門的效率提升和業(yè)務持續(xù)性方面更有優(yōu)勢。“寧盾無客戶端準入方案最讓我驚喜的是可以快速上線，2萬多個終端僅用了1周時間就部署完成。當出現(xiàn)問題時，它可以快速定位，幫我們找出問題所在，極大地減輕了我們的壓力，運維效率肉眼可見地提升?！睆埥?jīng)理說到。

張經(jīng)理繼續(xù)補充道：“讓領(lǐng)導滿意的是部署了寧盾無客戶端準入方案后，我們的生產(chǎn)線沒有受到干擾，至今已經(jīng)平穩(wěn)運行了一年多時間。”

如果按照傳統(tǒng)準入方案實施，20000 點終端，每臺終端都需要安裝客戶端，后續(xù)需要人員駐場，會影響員工正常辦公、生產(chǎn)，對企業(yè)而言，投入的成本也更高。

無代碼策略引擎，安全策略靈活自定義配置

大型制造企業(yè)存在多線場景，例如研發(fā)場景、測試場景、生產(chǎn)區(qū)、辦公區(qū)等，不同場景對終端安全合規(guī)的要求也不盡相同，就需要配置不同的安全準入策略。以前，企業(yè)一般是將策略需求提交給準入廠商，由廠商定制開發(fā)。但業(yè)務發(fā)展快速，安全要求也不斷變化，依靠定制開發(fā)不僅影響交付時間，連上手操作可能都需要花費更多精力去學習。

如何根據(jù)企業(yè)辦公場景、業(yè)務需求靈活設(shè)置安全策略？這就要提到寧盾無客戶端準入的另一大亮點：無代碼策略引擎。

顧名思義，無代碼策略引擎就是無需寫代碼，即可快速配置出任何你想要的準入策略。寧盾“預判”了準入場景中的策略需求，將其做成一個“策略智庫”，只要自然語言能表達的管控效果，無代碼策略引擎都可以實現(xiàn)。

策略引擎管控的范圍可以是網(wǎng)段、IP段、標簽，“if”條件靈活自定義，可以任意、組合或具體條件，而行為則更加靈活多變，例如添加標簽、應用虛擬防火墻、通知消息、網(wǎng)頁通知、網(wǎng)頁重定向、Portal認證、不合規(guī)踢下線CoA、審計聯(lián)動......企業(yè)想實現(xiàn)的準入策略基本都包含在內(nèi)。

在該公司的準入方案中，IT 人員統(tǒng)共做了5個策略。

策略一：對終端進行分類、打標簽

對所有 IP，將 PC 類終端和非 PC 類終端進行分類，并添加標簽標記。

策略二：檢查終端是否加域

對 PC 類終端進行加域檢查，并添加標簽標記。

策略三：合規(guī)狀態(tài)檢查

對 PC 類終端且非隔離網(wǎng)段的IP，進行合規(guī)狀態(tài)檢查，對未加域和未運行殺毒軟件的終端分別標記為“不合規(guī)”。

策略四：不合規(guī) CoA

針對生產(chǎn)網(wǎng)段不合規(guī)的標簽，做 CoA（踢下線）處理。

策略五：隔離 VLAN 檢測

針對隔離網(wǎng)段做合規(guī)性檢查，并可針對不合規(guī)的 PC 類終端做提醒通知或告警。

無代碼策略引擎對 IT 安全部門而言，優(yōu)勢明顯：

• 無需再定制開發(fā)，項目交付快，同時減少了企業(yè)日后的額外支出；
• 操作界面友好，內(nèi)置了大量策略向?qū)峁┙o企業(yè) IT 管理人員，易于上手，減輕維護代價；
• 解決了企業(yè)不斷發(fā)展過程中復雜多變的準入管控需求，并能快速落地執(zhí)行。

“高端制造業(yè)最貴的是人才。我們注重用戶體驗，更注重用最高效經(jīng)濟的方式保護企業(yè)的信息安全，無論是對員工還是對IT運維人員來說，寧盾無客戶端準入方案都是我們最理想的選擇。”張經(jīng)理最后補充到。

寧盾無客戶端準入方案，以客戶的需求進化為核心，采用迭代、循序漸進的方法逐步提高制造企業(yè)安全基線，降低被勒索軟件攻擊的風險。如果您所在企業(yè)有防范勒索病毒的需求，可訪問寧盾官網(wǎng)了解更多解決方案。

（本文來源于寧盾，僅供學習和參考，未經(jīng)授權(quán)禁止轉(zhuǎn)載和復制。如欲了解更多內(nèi)容，可前往寧盾官網(wǎng)博客解鎖更多干貨）