工业安全：在门口检查您的闪存驱动器

在过去的几年里，工业物联网系统的漏洞引发了很多关于网络安全的讨论，但大部分讨论都集中在防止基于网络的外部攻击上。然而，一个同样重要的攻击媒介使用了一种更加（字面意义上的）普通方法：在 USB 驱动器上手动携带的恶意软件。现在霍尼韦尔正在推出一种系统，可以帮助保护工业网络免受此类“sneakernet”攻击。

闪存驱动器对计算机系统构成的危险已为人所知多年。大多数防止外部攻击的系统对在防火墙内工作的人没有这种保护。对于员工或承包商来说，使用插入网络安全边界内计算机 USB 端口的简单闪存驱动器来上传恶意软件太容易了。它甚至不必是蓄意攻击。如果员工在停车场或餐厅周围发现了一个（植入的）闪存驱动器，则只需插入驱动器以查看其中的内容，就可能无意中上传了恶意软件。

对于许多工业网络，防止此类安全漏洞的主要工作是公司政策，禁止现场人员使用任何个人闪存驱动器或完全禁止便携式媒体。虽然这提供了一些防止意外感染的保护，但它无助于防止故意采取的行动。针对在防火墙内使用的可能受感染的 USB 驱动器的某种主动安全屏障是必不可少的。

然而，简单地锁定 USB 端口是不切实际的。许多工业系统依赖这种便携式媒体作为关键系统软件更新的载体。端口需要保持开放，但也需要受到保护。

进入霍尼韦尔的SMX（安全媒体交换）系统。SMX 系统与基于 Windows 的计算设备一起使用，通过遵循简单的检查-检查-执行过程，使用两管齐下的方法来提供安全性。根据霍尼韦尔的产品新闻发布，使用 SMX，USB 驱动器必须首先在 SMX 智能网关上登记，然后才能在受保护的网络中使用。当驱动器稍后插入受保护的系统时，该计算机会在允许系统访问驱动器之前验证驱动器的签入状态。未正确签入的驱动器根本不会注册为系统可用。并且记录所有驱动器使用情况，从签入到最终签出，以便 IT 管理员可以跟踪活动。

在一次集团新闻发布会上，霍尼韦尔的首席产品技术专家赛斯·卡彭特 (Seth Carpenter) 详细介绍了该系统的工作原理。他解释说，SMX 情报网关链接到霍尼韦尔基于云的 ATIX（高级威胁情报交换）软件，该软件使用多种技术来验证正在检入的驱动器上的文件。与许多防病毒系统一样，它检查针对已知威胁的文件，并使用启发式检查来帮助识别未知威胁。他说，这些步骤导致了文件的三种分类——已知良好、已知不良和未知。如果该文件已知良好，例如预先批准的软件更新，则批准该文件供系统使用。他指出，如果一个文件被认为是坏的，它会被隔离在一个加密的 ZIP 文件中，这样受保护的系统就无法访问它们。

但是，如果初始检查将该文件归类为未知文件，则 SMX 系统可能会超出正常的防病毒操作。未知文件受系统 IT 管理员可以控制的策略的约束。这些文件可以被批准供系统使用，可以被隔离，或者可以转发到 ATIX 系统进行深入分析。Carpenter 说，这种分析可以包括在配置为匹配用户自己的系统的“沙盒”系统中运行未知文件，然后寻找异常行为等步骤。沙盒方法有助于确保检测到目标恶意软件，例如仅在找到特定系统配置时才会起作用的 Stuxnet 病毒。

Carpenter 指出，SMX 的两部分方法具有几个优点。网关与基于云的 ATIX 的连接确保 SMX 系统使用最新的威胁信息，而不会给用户的 IT 部门带来负担。受保护网络中各个系统上的保护代理是用于 Windows 的简单替代 USB 驱动程序，它允许 SMX 系统甚至在异构网络中工作。一旦安装在目标计算机上，代理将在确认之前自动验证任何插入的驱动器是否已通过网关正确签入，然后只能访问标记为已批准的文件。此行为独立于网关，因此无需使用威胁信息更新代理，也无需网关与受保护网络进行交互。

Carpenter 提出的最后一个注意事项：签入闪存驱动器会导致“驱动器内容的某些混淆”，从而使驱动器在 SMX 系统之外暂时无法使用。他说，当驱动器通过网关检出时，这个过程就相反了。同时，系统会验证驱动器的内容没有发生未经授权的更改，从而有助于防止信息被盗。

审核编辑 黄昊宇