防御受污染的移动设备

安全媒体交换(SMX)等解决方案旨在保护设施免受USB威胁,而不需要影响操作或工业人员的程序或限制。

作者:Gregory Hale, ISSSource 2017年6月14日

工人和承包商每天都面临着尽可能高效和快速完成工作的压力,所以有时这意味着要走一些捷径。

这可能意味着工人或承包商可能拿出手机、u盘或硬盘来提取文件,以帮助解决问题。

这正是恶意软件进入系统并走向破坏性路径的时候。

解决这个问题的一个方法是由霍尼韦尔过程解决方案(HPS)推出的安全媒体交换(SMX),它可以保护设备免受USB威胁,而不需要影响操作或工业人员的复杂程序或限制。

HPS的软件工程师Seth Carpenter在一次电话会议上说:“SMX拥有关于外界威胁的信息,可以快速分析硬盘上的所有东西。”他说:“它将对以前没有见过的文件进行分析,然后所有经系统批准的经过验证的文件进行检查,然后他们就可以继续工作了。然后他拔下USB驱动器,进入他想要的系统,进行另一个过程。”

这就是第二次检查发生的地方。

卡彭特说:“所有受保护的终端上都运行着一种软件,可以验证用户是否通过了正确的程序。”“它将查看哪些文件被批准通过系统,如果有任何文件被隔离,他将无法使用它们。然后他就像往常一样继续他的工作。如果他进行初次登记,没有问题。在一天结束的时候,如果他去结账,他可以像平常一样使用他的u盘。”

Carpenter举了一个例子,当他还是一个年轻的工程师的时候,在一个项目快结束的时候,一个年长的工程师需要解决一个问题,于是他拿出自己的移动硬盘去找文件。不知从哪儿冒出来一个人"跑着喊着,不,不,不"

如果硬盘上有任何恶意文件,它可能会阻止项目按时启动。

根据BSI出版物的一份报告,员工和承包商通过USB设备传播恶意软件,并与现场控制和计算机系统进行补丁、更新和数据交换,这是2016年这些系统面临的第二大主要威胁。

不受控制的usb已经导致发电厂离线,涡轮机控制工作站关闭,钢铁厂被Conficker感染。

关于安全性的一个问题是,它可能会给用户带来麻烦,占用太多的时间。

使用SMX,用户将USB驱动器插入模块,然后扫描设备,寻找并删除恶意软件。

当用户插入USB,它有一个容易使用的格式,让你知道做的每一步的方式。此外,根据驱动器的大小和它有多少文件,获得系统批准的时间范围不应该太长。

“我们希望它对用户友好,易于使用,”Carpenter说。

插入一个USB驱动器并找到已知的恶意文件是一回事,但是一个没有已知特征的零日呢?

Carpenter表示:“这就是我们与霍尼韦尔高级威胁情报交换系统(ATIX)连接的地方。“我们使用基于特征的检测、基于利用的检测、基于启发式的检测和对输入的东西进行动态分析。对于一个以前从未见过的、不知道是好是坏的文件,我们给客户一个上传文件到ATIX的选项,我们可以做一些高级分析。我们可以在沙箱里运行看看这些文件是否有恶意。我们可以在特定于控制系统的沙箱环境中运行它。我们查找恶意行为,并通知系统管理员。”

格雷戈里·黑尔是ISSSource的编辑和创始人,在出版行业有超过25年的历史。这篇文章最初发表在ISSSource.com。ISSSource是CFE媒体内容合作伙伴。编辑Carly Marchal,内容专家,CFE媒体。