工控系統(tǒng)和一般的辦公設(shè)備不同，工控系統(tǒng)冗余量小，一旦被感染，即使是只有部分的設(shè)備也會造成整個生產(chǎn)線的停工，甚至?xí)?dǎo)致設(shè)備的物理安全收到威脅。這時從損失的角度來看，保證系統(tǒng)正常運行的代價遠遠高于支付贖金，很難有其他的選擇。

當真的發(fā)生勒索事件發(fā)生時，一定要判明情況，然后冷靜并迅速的處理掉。首先要將被攻擊的異常設(shè)備進行斷網(wǎng)斷電的隔離處理，為了避免擴散的情況還要中斷內(nèi)網(wǎng)通信；然后聯(lián)系負責(zé)的安全廠商和相關(guān)機構(gòu)對異常設(shè)備中的病毒樣本進行取樣分析，以便了解攻擊者的目的和所造成的影響，并開始修復(fù)工控系統(tǒng)，盡早恢復(fù)正常工作。查明完勒索病毒入具體侵情況后，應(yīng)將異常設(shè)備進行離線修復(fù)，避免在安裝補丁等修復(fù)過程中再次受到入侵。

既然勒索病毒在工控行業(yè)如此猖狂，那有什么辦法防御嗎？勒索病毒通常是利用工控環(huán)境中的脆弱性問題和設(shè)備漏洞進行攻擊，其行為和惡意軟件的方式相同，所以在預(yù)防上也和其他工控惡意軟件一樣：

1.資產(chǎn)識別與維護

識別工控系統(tǒng)網(wǎng)絡(luò)中的設(shè)備，一經(jīng)查詢到右安全隱患或者已知漏洞的設(shè)備的存在就及時修復(fù)，對于一些不便停機升級的設(shè)備進行隔離保護，將工控系統(tǒng)網(wǎng)絡(luò)中的所有非必要的通訊端口關(guān)閉掉。

2.準入控制

準入控制就是對網(wǎng)絡(luò)邊界進行保護，按照相關(guān)規(guī)范對接入網(wǎng)絡(luò)的終端設(shè)備進行檢查，杜絕不安全的設(shè)備在未經(jīng)充分檢查下就接入工控系統(tǒng)。

3.備份與恢復(fù)

是不是的對重要的信息進行備份，如生產(chǎn)資料和系統(tǒng)等，備份的文件需要用單獨的設(shè)備離線儲存，或者保存到其他安全的環(huán)境中，并準備相應(yīng)的恢復(fù)計劃。

4.事后追查能力

為了確保工控系統(tǒng)在被攻擊后可以快速追查攻擊來源、造成的影響以及所有設(shè)備是否已經(jīng)被完全恢復(fù)，組織需要具備良好的事后追查能力。

5.安全培訓(xùn)

什么安全都少不了人和設(shè)備的結(jié)合，組織不能完全的依靠安全設(shè)備或管理制度，只有兩者相互配合才能有效的達到安防的最佳效果。我們要加強工控系統(tǒng)操作人員的安全意識，做好安全培訓(xùn)工作，杜絕相關(guān)操作人員再出現(xiàn)下載不明文件、點擊不明鏈接等高危操作而導(dǎo)致的危險入侵。