水务与污水处理运营商在保障设施持续运行的同时,需有效管控网络安全风险。攻击者常通过常规文件交换及第三方服务,同时针对业务系统与运营系统发起攻击。分散的站点布局与承包商活动增加了介质处理方式的多样性。对可移动介质实施统一、可审计的管控措施已成为实际需求。
行业格局
根据世界经济论坛《2025年全球网络安全展望》报告,72%的受访机构表示过去一年网络风险有所上升。54%的大型机构指出第三方和供应链挑战是增强韧性的最大障碍,这使得跨供应商和现场合作伙伴的管控变得复杂。针对关键基础设施的重大事件,各地区应对准备程度参差不齐,这凸显了水务设施若遭攻击将引发的系统性风险。
地缘政治因素影响着近60%的组织机构战略决策,增加了关键基础设施遭受波及性攻击的可能性。公共部门实体(包括区域公用事业机构)报告的韧性信心水平与私营同行存在差异。
文件传播型及与OT相关的威胁
2025OPSWAT 态势报告指出,运营技术(OT)网络安全及关键基础设施(包括公用事业)正面临日益增大的压力。攻击者将经济动机与间谍活动相结合,加剧了运营中断的风险。以下是当前影响OT及关键基础设施的主要文件传播型威胁类型。
基于文件的向量
PDF文件、压缩包和HTML文件仍是常见的恶意软件载体,其中HTML文件的恶意传播正呈上升趋势。
示例:供应商携带USB 项目压缩包和PDF提交文件的USB 抵达。当该压缩包在工程工作站解压时,隐藏脚本将被触发,企图渗透至工厂系统——除非该存储介质在接收时经过扫描,并在使用时通过终端检测再次验证。
网络钓鱼与社会工程学
基于电子邮件的攻击通常始于凭证窃取或无文件脚本的载荷部署。OPSWAT 提及的一项研究显示,凭证钓鱼攻击活动激增了703%。
示例:某承包商的笔记本电脑在场外遭遇网络钓鱼攻击,随后被用于将"干净"的报告复制到USB 现场访问。预先部署的有效载荷随之潜入,并在工厂内部首次打开时无需扫描和终端验证即可执行。
攻击链
多阶段恶意软件日益复杂,单引擎或仅基于签名的筛查可能遗漏威胁,这些威胁最终会被深度分析发现。OPSWAT 数据显示,多阶段复杂性跃升127%,且公共数据源遗漏的文件中有7.3%被重新归类为恶意文件。
示例:一个看似无害的配置文件封装的存档通过单引擎杀毒扫描后,在跳板主机上被解压时会提取第二阶段组件。若缺乏多层杀毒扫描(在文件进入系统时)和使用验证机制(在文件被调用时),这种延迟激活的恶意程序便可能潜入控制环境。
为何此事对我们的客户至关重要
该组织运营着分散的设施,这些设施历来接受来自可移动介质和承包商设备的数据。若未在入口点实施强制性、可审计的扫描及用户授权机制,单个受感染文件便可能中断治疗流程、引发高昂的停机损失,或动摇公众信任。其风险特征与行业趋势相符——基于文件的恶意软件、钓鱼攻击引发的入侵以及供应链漏洞,正与服务数百万用户的全天候运营相互交织。
每个场地的加固外围
一套标准化的OPSWAT 现已全面管控所有可移动存储介质,确保其在接触公用事业供应商的工厂或办公系统前完成安全检测。实际操作中,每个站点均设有可预测的接收点,系统会持续记录扫描对象、扫描时间及操作人员信息,并通过可重复的流程将未经审查的介质隔离于受控网络之外。终端端点MetaDefender Endpoint 实施"使用时验证"机制。
MetaDefender Kiosk 与应用程序
固定MetaDefender 设备现已成为所有可移动存储介质(USB 、SD卡或光盘)进入操作系统的首要检查点。访客管理系统将设备使用权限限制在经过身份验证的人员范围内,因此员工和承包商必须使用公司凭证进行身份验证,方可扫描存储介质并获取"放行"或"拦截"的明确结果。
Kiosk 现已在Multiscanning基础上叠加三层高级控制。深度CDR™技术通过文件拆解与重建移除活动内容,为允许的文件类型生成安全副本。主动DLP™技术检测文件中的敏感数据,并根据策略在释放前实施拦截或屏蔽处理。File-based Vulnerability Assessment 安装程序、固件及软件包中的已知漏洞,并拦截不符合策略要求的项目。
MetaDefender Kiosk 将相同的工作流程扩展至办公室和工程区域的授权工作站。网络连接受限的站点遵循完全相同的工作流程,包括离线强制执行,因此在任何数据传输前,物理隔离的站点也能获得相同的扫描、净化、数据防泄漏及漏洞检测服务。
MetaDefender Endpoint 验证
文件MetaDefender Kiosk扫描后,MetaDefender Endpoint 会在使用时验证:该介质是在强制策略下完成扫描的,且文件内容未被篡改。
若发生任何变更,访问权限将被封锁,直至该项目重新扫描并验证通过。此举堵住了常见漏洞——即内容编辑或文件添加后,原本安全的媒介可能变得存在风险。同时,该机制还在非固定于自助终端附近的入口点(包括物理隔离网络或低连接性站点)增添了安全防护层。
MetascanMultiscanning
Metascan™Multiscanning 自助终端的首道检测环节。本次部署中,该系统配置了12个杀毒引擎,以扩大检测覆盖范围并减少单引擎盲区。策略会根据文件类型应用引擎组合,并在释放决策前对压缩包及嵌套内容进行扫描。 无论在联网站点还是物理隔离站点Multiscanning 相同Multiscanning 模式,并File-based Vulnerability Assessment 站点工作流将安全或标记结果分别输入Deep CDR、Proactive DLP及File-based Vulnerability Assessment 。
工作原理,端到端
- 用户在MetaDefender Kiosk 经批准的工作站进行身份验证后插入存储介质。文件将通过MetascanMultiscanning 策略控制进行扫描。
- 在发布前,根据需要采取策略措施,包括Deep CDR)、Proactive DLP以及基于文件的漏洞检查。
- Kiosk 为允许的文件Kiosk 验证签名并记录文件哈希值。
- MetaDefender Endpoint 检查自助终端签名和文件哈希值。
- 审计日志和报告记录了谁在何时扫描了什么,以支持合规性。
地面发生了什么变化
- 管控: Media 通过受控检查点Media ,不得使用临时性USB设备及光盘。
- 认证:仅经认证的人员可使用自助终端扫描并传输文件。
- 扫描执行: 运行MetaDefender Endpoint 终端设备 仅允许访问经强制策略验证的媒体和文件。
- 重新验证:修改后的 内容会被标记并回传进行重新扫描,直至通过验证。
- 一致性:物理隔离站点 与联网站点遵循相同的工作流程,从而提升跨区域的一致性。
- 经过消毒且符合政策要求的文件将被发布,而存在漏洞或敏感内容的项目在使用前将被屏蔽或进行编辑处理。
构建预测性防御体系
随着媒体控制方案的实施,工作重心转向规模化部署、可视化管理及持续优化。OPSWAT Central Management MetaDefender Kiosk 报告与日志,并集中管理跨站点的扫描事件、用户访问日志、策略执行情况及终端验证结果。
运营与安保团队基于统一数据源分析趋势、优化政策并规划产能。同一数据集同时支持水处理与污水处理设施的合规报告及事件应急准备工作。
建议的下一步措施包括:
- 中央分析系统用于 揭示媒体使用模式及拦截威胁
- 基于 趋势数据的策略调整 ,包括引擎配置和工作流
- 分阶段扩展至更多站点和承包商,以实现一致的管控
更强健的植物,更安全的地区
该组织用统一且强制执行的流程取代了各工厂和办公室中不安全的临时媒体处理方式。MetaDefender Kiosk、MetaDefender Endpoint Multiscanning "入网前扫描"控制(文件传输前的自助终端扫描)与"使用时验证"控制(终端检查机制仅允许使用经自助终端认证且未经篡改的文件)。由此显著降低运营风险,明确责任归属,并建立持续改进的可复现路径。
想要直接了解操作流程?联系我们,了解MetaDefenderMetaDefender 如何在您的环境中Kiosk 。
