美國天然氣運(yùn)營商遭重大網(wǎng)絡(luò)攻擊,反思關(guān)鍵基礎(chǔ)設(shè)施為何總成“安全洼地”?
點(diǎn)擊: 作者: 零日情報(bào)局 來源: 零日情報(bào)局 發(fā)布時(shí)間:2020-02-24 11:28:28
近日,美國政府發(fā)布安全通告,稱勒索病毒攻擊了美國一天然氣管道運(yùn)營商,致使該工廠IT與OT網(wǎng)絡(luò)數(shù)據(jù)雙雙被鎖定,整個(gè)天然氣管道運(yùn)營被迫停擺持續(xù)兩天。
盡管美國的這家天然氣管道運(yùn)營商已恢復(fù)運(yùn)行,但網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施局(CISA),則在該事件的通告中公布了一份詳盡的勒索病毒攻擊緩解措施,以防類似攻擊活動(dòng)再次發(fā)生。
致命疏漏:終致基礎(chǔ)設(shè)施“螻蟻潰堤”
網(wǎng)絡(luò)攻擊的實(shí)現(xiàn),從不是一蹴而就的,往往需要多個(gè)環(huán)節(jié)串聯(lián),才能最終加密目標(biāo)數(shù)據(jù)。回顧天然氣管道運(yùn)營商的中招過程,會(huì)發(fā)現(xiàn)人、網(wǎng)絡(luò)隱患,甚至是機(jī)制上均存在安全疏漏。
致命疏漏1:IT與OT網(wǎng)絡(luò)未實(shí)施可靠的分段
我們必須知道,對于關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營商而言,除了要關(guān)注IT(信息技術(shù))網(wǎng)絡(luò),更要注意到OT(操作技術(shù))網(wǎng)絡(luò)的安全;
IT網(wǎng)絡(luò)大家比較熟悉,但對于以工業(yè)自動(dòng)化控制系統(tǒng)為代表的OT網(wǎng)絡(luò)或許要相對陌生。比如:生產(chǎn)現(xiàn)場設(shè)備與系統(tǒng),實(shí)現(xiàn)自動(dòng)化控制,監(jiān)測生產(chǎn)環(huán)境的軟硬件一般就部署在OT網(wǎng)絡(luò)環(huán)境之中。
一般來說,在網(wǎng)絡(luò)風(fēng)險(xiǎn)面前,IT系統(tǒng)擁有較為健全的安全體系,防護(hù)也備受重視;然而,OT系統(tǒng)的防護(hù)卻大相徑庭,面向OT系統(tǒng)的安全威脅常常被忽視。所以,近幾年針對OT發(fā)動(dòng)的攻擊此起彼伏,如電力、醫(yī)療、公共設(shè)施等攻擊事件層出不窮。
回到此次美國天然氣運(yùn)營商攻擊事件,官方報(bào)告可見其致命缺失就是:未能在IT和OT網(wǎng)絡(luò)之間實(shí)施可靠的分段和防御,導(dǎo)致黑客獲得了IT網(wǎng)絡(luò)的初始訪問權(quán)限,然后輕松越過IT-OT邊界,繼而在雙重網(wǎng)絡(luò)中植入勒索軟件,并成功加密數(shù)據(jù),以求達(dá)到最大傷害。
而結(jié)果,最直接的影響就是:OT網(wǎng)絡(luò)上的相關(guān)進(jìn)程,如人機(jī)接口(HMI),數(shù)據(jù)記錄系統(tǒng)和輪詢服務(wù)器無法正常運(yùn)作,運(yùn)營人員無法讀取和匯總從低端OT設(shè)備報(bào)告的實(shí)時(shí)操作數(shù)據(jù),從而導(dǎo)致運(yùn)營人員的無法了解管道設(shè)施的運(yùn)營狀況。
致命疏漏2:“屢試不爽”的釣魚攻擊
CISA的報(bào)告指出,這家企業(yè)遭遇勒索病毒的方式同樣源自高中招率的釣魚攻擊。一名員工因魚叉式釣魚攻擊,誤點(diǎn)惡意鏈接將攻擊者引入到了企業(yè)網(wǎng)絡(luò)內(nèi)部。
對于網(wǎng)絡(luò)安全防控較嚴(yán)格的關(guān)鍵基礎(chǔ)設(shè)施來說,釣魚攻擊是黑客滲透至其網(wǎng)絡(luò)內(nèi)部,擴(kuò)散病毒效率與成功率最高的手段之一。有報(bào)告顯示,自2012年起,得益于釣魚攻擊的加持,勒索病毒才開始大范圍在互聯(lián)網(wǎng)擴(kuò)散。
而經(jīng)過近十年的發(fā)展,以關(guān)鍵基礎(chǔ)設(shè)施、金融、政府等高價(jià)值組織,早已躍升為黑客眼中的“肥羊”,頻頻遭遇勒索病毒洗劫。
致命疏漏3:應(yīng)急措施竟遺漏網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)
勒索病毒攻擊發(fā)生后,企業(yè)本應(yīng)第一時(shí)間啟動(dòng)安全應(yīng)急響應(yīng)機(jī)制,而這家天然氣管道運(yùn)營商的應(yīng)急響應(yīng)計(jì)劃中,竟未制定網(wǎng)絡(luò)威脅風(fēng)險(xiǎn)響應(yīng)機(jī)制,甚至過往應(yīng)急演習(xí)中,也從未有過網(wǎng)絡(luò)攻擊處理解決經(jīng)驗(yàn)。
網(wǎng)絡(luò)攻擊響應(yīng)機(jī)制缺失,最終導(dǎo)致勒索病毒在IT與OT網(wǎng)絡(luò)持續(xù)擴(kuò)散,最終只得停工收場。
連鎖反應(yīng):管道之間相互依賴,觸發(fā)整個(gè)業(yè)務(wù)被迫關(guān)停
幸也不幸,盡管勒索病毒僅直接鎖定了一個(gè)控制設(shè)備的網(wǎng)絡(luò)數(shù)據(jù),但由于天然氣傳輸對管道的依賴性,一個(gè)控制設(shè)備的停擺最終導(dǎo)致這家企業(yè)關(guān)閉運(yùn)營持續(xù)了兩天時(shí)間。
而作為下游能源供應(yīng)商,受天然氣供應(yīng)關(guān)閉影響的上游企業(yè)雖未公布,但波及范圍可想而知。
CISA發(fā)布網(wǎng)絡(luò)攻擊緩解指南
一次勒索攻擊不可怕,可怕的是不能從中得到教訓(xùn),尤其是涉及能源、交通等重要領(lǐng)域的關(guān)鍵基礎(chǔ)設(shè)施。CISA在發(fā)布事件通告時(shí),就以這家天然氣供應(yīng)商為例,向關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域組織機(jī)構(gòu)發(fā)布了一份從技術(shù)到運(yùn)營的緩解措施指南。
深入研究后,零日決定從OT網(wǎng)絡(luò)安全、權(quán)限設(shè)置威脅攔截、防御程序設(shè)置和應(yīng)急響應(yīng)機(jī)制等方面,解讀這份勒索病毒緩解干貨。
(1) OT網(wǎng)絡(luò)安全
隔離連接:勒索病毒之所以從OT蔓延到IT網(wǎng)絡(luò),關(guān)鍵在于網(wǎng)絡(luò)架構(gòu)建設(shè)上未對OT、IT等網(wǎng)絡(luò)模塊進(jìn)行應(yīng)急隔離。這時(shí)就可以通過對網(wǎng)絡(luò)進(jìn)行物理和邏輯隔離,確定非軍事區(qū)(DMZ),消除IT和OT等網(wǎng)絡(luò)之間不受管制的通信,避免勒索攻擊發(fā)生時(shí)企業(yè)內(nèi)網(wǎng)擴(kuò)散的問題。
可信通道:建立OT網(wǎng)絡(luò)資產(chǎn)邏輯區(qū)域,在區(qū)域范圍內(nèi)設(shè)定可信通信通道,并對通道內(nèi)網(wǎng)絡(luò)流量進(jìn)行監(jiān)控與過濾,進(jìn)而達(dá)到阻止工控系統(tǒng)(ICS)協(xié)議遍歷IT網(wǎng)絡(luò)。
身份驗(yàn)證與備份:針對遠(yuǎn)程訪問OT和IT網(wǎng)絡(luò),設(shè)定多重訪問身份驗(yàn)證,定期對IT和OT網(wǎng)絡(luò)實(shí)施常規(guī)數(shù)據(jù)備份。
(2)權(quán)限設(shè)置威脅攔截
訪問權(quán)限分級:根據(jù)最小特權(quán)和職責(zé)分離的原則,設(shè)定不同賬戶的訪問、管理權(quán)限。
垃圾郵件過濾:通過垃圾郵件過濾器,篩查包含可執(zhí)行文件的電子郵件,防止網(wǎng)絡(luò)釣魚郵件進(jìn)入企業(yè)員工郵箱。
網(wǎng)絡(luò)流量過濾:利用網(wǎng)絡(luò)流量過濾方式,禁止已知惡意Internet協(xié)議(IP)地址進(jìn)出企業(yè)挖網(wǎng)絡(luò)通信,并防止用戶使用統(tǒng)一資源定位器(URL)黑名單和/或白名單訪問惡意網(wǎng)站。
禁用文件宏腳本:通過電子郵件傳輸?shù)?span lang="EN-US">Microsoft Office文件中禁用宏腳本,實(shí)施執(zhí)行預(yù)防。
限制網(wǎng)絡(luò)資源訪問:主要限制以遠(yuǎn)程桌面訪問(RDP)為代表的資源訪問,從來源上攔截威脅。
(3) 防御程序應(yīng)用設(shè)置
殺軟程序應(yīng)用:設(shè)置防病毒/防惡意軟件 程序,通過最新簽名對IT網(wǎng)絡(luò)資產(chǎn)進(jìn)行定期掃描,并基于風(fēng)險(xiǎn)資產(chǎn)清單策略,識(shí)別和評估OT網(wǎng)絡(luò)惡意軟件。
程序白名單:設(shè)置應(yīng)用程序白名單預(yù)防惡意執(zhí)行,該白名單僅允許系統(tǒng)執(zhí)行已知安全程序和允許程序。通過軟件限制策略(SRP),防止程序從常見位置執(zhí)行勒索軟件。
(4) 應(yīng)急響應(yīng)機(jī)制
應(yīng)急響應(yīng)制度:在確保組織安全計(jì)劃和應(yīng)急響應(yīng)計(jì)劃與網(wǎng)絡(luò)訪問正常需求情況下,開發(fā)測試網(wǎng)絡(luò)安全應(yīng)急響應(yīng)規(guī)范與標(biāo)準(zhǔn),識(shí)別網(wǎng)絡(luò)安全故障做到有效應(yīng)對。
應(yīng)急響應(yīng)演練:模擬電子通信質(zhì)量不佳的網(wǎng)絡(luò)環(huán)境,演練手動(dòng)或自動(dòng)等方式,切換故障網(wǎng)絡(luò)與備用控制系統(tǒng)等,并作為經(jīng)驗(yàn)記錄在應(yīng)急反應(yīng)規(guī)范標(biāo)準(zhǔn)中。
零日反思
在這個(gè)勒索病毒成為常規(guī)化網(wǎng)絡(luò)攻擊的今天,很難想象美國關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域,仍然存在對網(wǎng)絡(luò)攻擊毫無應(yīng)對的企業(yè),而這也像一面鏡子,提醒著我們網(wǎng)絡(luò)安全的前路,依然漫長且艱險(xiǎn)。
最后,建議國內(nèi)相關(guān)領(lǐng)域,可以大膽的結(jié)合自身情況,借鑒CISA關(guān)鍵基礎(chǔ)設(shè)施勒索病毒緩解措施。
參考資料:
ZDnet《美國國土安全部稱勒索軟件打擊美國天然氣管道運(yùn)營商》
CISA《警報(bào)(AA20-049A)勒索軟件影響管道運(yùn)營》
【本文原載微信公眾號(hào)“零日情報(bào)局”
責(zé)任編輯:向太陽
特別申明:
1、本文只代表作者個(gè)人觀點(diǎn),不代表本站觀點(diǎn),僅供大家學(xué)習(xí)參考;
2、本站屬于非營利性網(wǎng)站,如涉及版權(quán)和名譽(yù)問題,請及時(shí)與本站聯(lián)系,我們將及時(shí)做相應(yīng)處理;
3、歡迎各位網(wǎng)友光臨閱覽,文明上網(wǎng),依法守規(guī),IP可查。
作者 相關(guān)信息
美國天然氣運(yùn)營商遭重大網(wǎng)絡(luò)攻擊,反思關(guān)鍵基
2020-02-24內(nèi)容 相關(guān)信息
美國天然氣運(yùn)營商遭重大網(wǎng)絡(luò)攻擊,反思關(guān)鍵基礎(chǔ)設(shè)施為何總成“安全洼地”?
2020-02-24? 昆侖專題 ?
? 十九大報(bào)告深度談 ?
? 新征程 新任務(wù) 新前景 ?
? 我為中國夢獻(xiàn)一策 ?
? 國資國企改革 ?
? 雄安新區(qū)建設(shè) ?
? 黨要管黨 從嚴(yán)治黨 ?
熱點(diǎn)排行
王立華:新冠疫災(zāi)嚴(yán)重警示我們,要盡快建立國家生化安全防衛(wèi)體系王立華:新冠疫災(zāi)嚴(yán)重警示我們,要盡快建立國家生化安全防衛(wèi)體系王立華:新冠疫災(zāi)嚴(yán)重警示我們,要盡快建立國家生化安全防衛(wèi)體系
建言點(diǎn)贊
陳文玲:在不確定性的世界彰顯中國之治與經(jīng)濟(jì)韌性活力
既要有火線免職,也要有火線提拔
宋方敏:呼吁立法解決共產(chǎn)黨在香港的合法地位? 社會(huì)調(diào)查 ?
圖片新聞
