威努特发布“关基工控主机卫士” 哪些产品思考及亮点值得关注？

近年来，针对工业网络的各类攻击事件越来越频繁，特别是勒索攻击正在成为工业的头号网络威胁。进入工业互联网时代，原本处在封闭环境下的一台台工业生产设备逐步联网，打破了传统工业相对封闭的环境，IT与OT的打通，导致大量网络安全威胁从外网向工业内网延伸。

尤其能源、交通、水利、国防科技工业等国内工业领域关键信息基础设施（以下简称“关基”），一旦遭到破坏、丧失功能或者数据泄露，就可能会对国家安全、国计民生、公共利益造成严重危害。如何帮助关基范围内的工业企业摆脱安全困境？这也是业内一系列工业网络安全厂商们在思考的问题。

安全419注意到，工控安全代表性厂商威努特近日官宣发布了新品“关基版工控主机卫士”。据我们了解，主机安全一直以来都是威努特的优势领域，而工控主机卫士本身也是威努特旗下一款成熟的主机安全类明星产品。那么本次发布的“关基版工控主机卫士”在产品设计和功能上，融合了哪些创新技术？将如何帮助关键单位更有效应对国家级、有组织的高级威胁？

日前，安全419采访到了威努特副总经理杨璐和产品总监李之云，邀请他们围绕自身在关基安全建设方面的思考与实践，以及“关基版工控主机卫士”的独到设计等话题，展开了一次深入解读。

图/威努特关基版工控主机卫士

关基安全威胁风险加剧

市场仍然存在诸多空白亟待补充

威努特副总经理杨璐首先谈到，随着工业信息安全事件频发，以及国家对工业领域信息安全监管力度的加强，工业信息化建设已受到大部分工业企业管理者的重视。但工业网络安全的建设整体落后于IT安全，企业当前还面临诸多安全困境有待解决。

在IT安全领域，包括蜜罐仿真、文件沙箱、流量还原和基于行为检测的技术都已较为成熟，但在工业关基领域，工业业务形态和技术路线上与IT存在较大的差异，工业网络安全产品实际上难以发挥价值。

以工业蜜罐为例，当前在IT领域，蜜罐技术已经能够对网站、业务系统做到一键仿真，但在工业场景中，网站、信息系统并不是特别关键，反而是要对控制设备，PLC、DCS控制器，以及上位机业务系统去做仿真。由于技术路线上的差异，导致传统蜜罐产品实际很难直接平移到工业场景中应用。

他谈到，想要解决当前工业关基面临的现实问题，包括供需双方都需要在关基的场景下做出更多努力，充分考虑到行业差异性需求，开展行业纵深技术创新，打造符合不同行业需求的安全产品及解决方案，才能真正逐渐建立起对抗有组织的高级威胁的防护能力。本次威努特发布的关基版工控主机卫士，也正是想先从主机的层面上补齐供给侧的缺口，以一个个单点的能够通过现场检验的成熟产品，来逐步为工业关基用户构建起安全壁垒。

结合场景化安全需求

强化高级威胁检测、安全运维、数据保护三大能力

威努特产品总监李之云为我们介绍，工业企业立足于工业生产制造的行业特点，引入大数据、互联网等数字化技术，开展IT/OT相融合的数字化转型升级，应对数字化转型的网络安全风险，同样需要从OT场景兼容性和适应性为基本出发点，引入IT领域的技术和理念，打造IT/OT深度融合，具备高级威胁检测防范能力的安全解决方案。

威努特创新提出IT/OT融合的关基版工控主机卫士，该产品以应用程序白名单为基础，创新应用文件信誉评估、威胁行为检测、攻击威胁诱捕、勒索攻击检测与防范、移动介质管控与联动处置等技术，全面保护生产业务免遭病毒侵扰，准确识别高级持续性威胁，彻底防范勒索病毒，大幅提升白名单维护效率，显著降低运维管控风险，能帮助关基及广大工业企业用户有效应对日益严峻的网络安全风险。

在高级威胁检测模块方面，威努特融合了信息持续集中采集，威胁模型关联分析技术，构建高级威胁检测和响应能力。通过全面采集工业终端静态和动态信息，结合关联分析、深度学习、聚类分析等大数据分析技术，对工业主机进行长期持续的检测分析，无需特征库即可识别潜在的安全威胁，帮助关基及工业企业有效应对高级持续性威胁。

在安全运维模块方面，威努特关基版工控主机卫士与移动介质安检站产品进行了联动，能够对移动介质进行杀毒验证，保证所有移动介质都进行了病毒查杀，避免因移动介质引入安全风险，形成工业场景下技管结合的移动介质综合管控能力。

在数据保护模块方面，关基版工控主机卫士与主机防勒索系统进行了深度联动，通过集成主机防勒索系统的勒索行为监测、勒索攻击诱捕、系统安全防护、业务进程防护功能，提供包括勒索防范、数据保护、数据备份在内的一整套机制，能够有效保护关基及工业企业数据免遭勒索攻击破坏，保护关基的数据安全。

首创文件信誉评估技术

突破工业场景程序白名单技术应用困境

李之云介绍，在IT安全领域讨论安全通常是在谈“威胁”，而在OT安全领域，除了外来的威胁外，偏离正常业务的行为异常同样不能接受。生产业务的异常也可能是由攻击所引发。所以在OT安全的场景下，除了外来入侵外，还要关注业务偏离基线的程度。

针对OT安全这一业务需求，威努特率先提出文件信誉评估技术，从安全威胁和业务需求两个角度评估应用等级，安全威胁角度评估应用安全性，业务需求角度评估应用必要性。

图 /威努特首创多维度文件信誉评估技术

他解释道，按照等保和关基的相关要求，用户应该参照最小化原则，建立可控的安全应用列表，文件信誉评估重点在应用引入业务系统和生产系统前进行两个方面的评估：首先从病毒、漏洞、行为、威胁情报等维度去判断应用和执行体的安全性，对可能存在威胁的应用禁止引入；另一方面去评估其必要性，禁止非必要性的应用被引入。

简单来讲就是，首先判断在其他主机上是否存在该应用，如果是在整个关基单位上千主机中都不存在，极可能是非必要应用，进而阻止安装部署；其次，判断应用自身的存活时间，假设一个应用刚刚被创建不久，就会被判断为安全等级较低，不建议安装部署，诸如此类，通过多个方面去判断应用的必要性。

从必要性和威胁两个角度去做出综合判断，就能够形成一个较为精确的应用安全等级评估指标，能够很好地解决了我们工业场景里面最为关注的威胁和业务基线的问题。

另外值得一提的是，文件信誉评估技术，还能够彻底解决当前程序白名单产品普遍存在的有效性和易用性问题。

过去工业关基领域的主机类产品大多都专注在防病毒层面，以程序白名单技术作为病毒防范的首选方案，但随着数字化转型的推进以及高级威胁渗透加剧，主流程序白名单产品面临着被穿透、污染，无法满足安全性及易用性需要的难题。

一方面，白名单无法确保真的“白”，仅依赖病毒特征以及数字签名评价应用，存在被高级威胁污染、穿透的风险，导致白名单列表中存在威胁；另一方面，威胁告警也无法确保真的“黑”，由于缺乏对业务应用精准的识别能力，白名单产品还会经常拦截业务应用的更新，导致大量的误报。

“如果安全产品无法识别应用的威胁等级，就意味着它会以告警的方式把决策权推给用户。在一个相对复杂的环境下，一线人员就需要频繁地处理告警，甚至每天多达数百个。在给一线运维带来巨大工作压力的同时，也会造成企业生产效率的降低，而对于真正威胁的处置，事实上也会滞后。”

而文件信誉评估技术，将极大地优化传统白名单产品不友好的问题，解决一线人员在白名单运维上存在的困境，减轻运维的压力。

构建多层次纵深防御能力

保护工业关基企业免遭勒索攻击侵扰

杨璐介绍，关基版工控主机卫士与主机防勒索系统进行了深度联动和融合，主机防勒索系统也是威努特旗下一款成熟的产品，相对而言该产品与EDR终端安全产品具备一些异曲同工的设计之处，都强调基于规则和行为的检测方式，但该产品更专注于数据防勒索方向。

“如果说EDR被业内称为继杀毒软件之后的一种广谱药的话，威努特主机防勒索系统就是一剂针对勒索病毒的特效药。”

图/威努特多层纵深勒索攻击防范技术

从该产品的功能上来看，防勒索主要分为四步走：

第一步是基于主体行为的检测。对恶意程序对文件熵增、磁盘接口的遍历、加密函数调用、文件读写等合法程序不会做的高风险行为统统纳入监测，及时发现恶意程序并对其进行狙击；

第二步是基于诱饵文件判断。有时合法程序与恶意程序会出现相同的函数调用行为，这时候就需要先放行，以便进一步观察。威努特的做法是，在磁盘中放置大量的诱饵文件，诱导恶意程序对诱饵文件进行读写，进而通过文件熵增来找到恶意程序，将其拦截掉；

第三步是针对业务进程的防护。在windows系统中，当一个勒索程序要去加密文件时，首先要将正在使用文件的程序关闭掉，考虑到这一机制，威努特主机防勒索系统会对系统进程和业务进程进行重点保护，防止恶意中断进程的行为；

第四步则是数据备份技术，即“兜底技术”。威努特主机防勒索系统采用了轻量化的备份技术，在可疑主体程序去操作文件之初，就优先地从内存里把这个文件读出来放到备份区。假设前面四个环节全都被攻击者绕过了，也能够保证即使文件遭到加密，也能够在安全区中找到并进行恢复。

杨璐表示，威努特主机防勒索系统实际上并没有用到大量的前沿概念，但却能够真实地对勒索加密攻击起到很好的防范作用。“数据防勒索在某种程度上是一场勒索软件和安全软件的消耗战，假使其中部分防线失守了，但至少会有一道安全机制能够发挥作用，只要确保有一道关卡能够拦截恶意程序的加密动作，那么就能够达到最终数据防勒索的目的。”

采访最后，杨璐表示，作为工控安全领域的领跑者，威努特一直在推动安全产品在工业场景下持续迭代。《关键信息基础设施保护条例》的出炉，实际上也为威努特指明了产品迭代升级的方向。

“包括上述的工业蜜罐仿真、工业领域的高级威胁检测、工业资产发现等等都是威努特未来攻克的方向，逐一补齐当前工业网络安全市场供给侧的空缺，去满足工业关基的安全建设要求。当前在IT安全运营中的XDR理念已经逐渐走向落地，未来威努特也会逐渐将这一理念平移到工业领域，基于工业安全产品矩阵的基础能力底座来实现IXDR（industrial XDR）工业安全运营。”