启明星辰工业防火墙从容应对电力危机

启明星辰工业防火墙从容应对电力危机

作者：

来源：《中国信息化周报》2016年第27期

2015年12月23日，乌克兰至少三个区域的电力系统遭到网络攻击。本次攻击造成面积停电，电力中断3～6小时，约140万人受到影响。

启明星辰经过对病毒样本分析，发现本次攻击过程开始于一个带有恶意宏的XLS文件，黑客通过钓鱼手段将此恶意文件发送给攻击目标，XLS文件运行后启动恶意宏代码执行，宏代码会在临时文件目录下释放文件vba_macro.exe，这便是释放器。他通过释放BlackEnergy来执行后续操作。

据悉，启明星辰工业防火墙团队在设计之初，就对工业现场环境进行了深入调研，密切关注工业化和信息化两化融和中恶意代码通过传统IT网络对工业设备的攻击，并在工业防火墙集成了的更加先进灵活的入侵检测引擎。在应对这次攻击的过程中，通过该引擎可以直接处理base编码后的数据，对BlackEnergy上线通讯特征进行监测，并通过丰富的数据提取能力实现快速发现、定位感染主机。用户只需在防火墙中通过加入启明星辰提供的特征，无需定制开发即可防护此类攻击。

启明星辰工业防火墙从设计之初就全面研究工业环境下的安全需求。产品除具备工控防火墙的主流功能外，在安全防护方面最大的特点是集成了工业入侵防护引擎，并内

龙源期刊网 http://www.qikan.com.cn

置了工业漏洞库。用户可以根据自己的情况选择适用场景进行快速部署。通过该引擎，可以对工业协议和内容进行合规性检查，阻断黑客对工控设备的扫描行为，并对可以对SCADA缓冲区溢出和目录遍历等攻击进行防护。该特征库依托启明星辰ADLab等部门研究成果，可以提供最新最全的工控漏洞特征。

李转琴补充说：“启明星辰工业防火墙的入侵防护引擎还是一个开放、可扩展的引擎，通过它我们可以灵活地根据企业内部的特定工控设备或协议实施有针对性的防护策略；用它在用户现场即可快速动态制定防护规则，来深入地检测工控协议内容，而不需要经过长时间的定制开发；利用该检测引擎，结合流量自学习功能，可以对用户私有协议进行快速的学习，并进行流量可视化展现。”