勒索軟件攻擊切斷半個美國的燃油管道
上周六,Colonial Pipeline發表聲明宣布遭遇網絡攻擊,導致部分IT系統停機,管道運營中斷。上周日,該公司在聲明更新中指出遭遇了勒索軟件攻擊,已經聘請第三方網絡安全公司(據稱是FireEye),對事件展開調查。
Colonial Pipeline在最新的聲明中指出:
5月7日,Colonial Pipeline公司發現遭受網絡攻擊。此后,我們確定該事件涉及勒索軟件。作為響應,我們主動使某些系統脫機以控制威脅,該攻擊暫時停止了所有管道的運行,并影響了我們的某些IT系統。得知此問題后,一家領先的第三方網絡安全公司被聘用,他們已經對該事件的性質和范圍進行了調查,該調查正在進行中。我們已經聯系了執法部門和其他聯邦機構。
Colonial Pipeline正在采取步驟來理解和解決此問題。目前,我們的主要重點是安全高效地恢復服務以及努力恢復正常運行。此過程已經在進行中,我們正在努力解決此問題,并最大程度地減少對我們的客戶以及那些依賴Colonial Pipeline的客戶的干擾。
Colonial Pipeline是美國最大的成品油管道,每天通過管道系統輸送超過1億加侖的燃料,該管道系統連接得克薩斯州休斯頓和新澤西州林登,跨度長達5500多英里(下圖),美國東海岸45%的燃料都由該管道系統提供,此外Colonial Pipeline還為美國軍方提供精煉石油產品,例如汽油、柴油、噴氣燃料。
2019年,政府問責局(GAO)的審計顯示,美國國土安全部(DHS)的運輸安全管理局(TSA)需要解決其管道安全計劃中的重大管理缺陷。
值得注意的是,近期美國政府一再警告針對政府實體和關鍵基礎設施部門(包括能源、核能、供水、航空和關鍵制造業)的針對性攻擊正在激增。
就在Colonial Pipeline遭遇攻擊之前數日,美國國家安全局(NSA)和網絡安全與基礎設施安全局(CISA)剛剛發布了新的網絡安全風險公告(鏈接在文末),指出在所有16個關鍵基礎設施領域中即將出現嚴重威脅,并提供了詳細的建議,包括如何保護工控系統的OT網絡環境,并強烈建議立即創建準確的,可操作的OT網絡圖。
所謂OT網絡圖,就是所有OT、物聯網、工業IoT(IIoT)資產、流程、連接路徑和用戶活動的圖譜和清單。
但是工控系統,尤其是OT網絡,依然存在讓全球工控系統安全團隊頭痛的四大難題:
缺乏標準化。OT網絡通常由已存在數十年的OT資產組成,并與各種現代資產一起工作。不僅增加了復雜性,而且往往運營在地理上分散在多個地點,其中一些地點位于偏遠地區,如能源或采礦部門。
停機時間容忍度低。運行這些網絡的團隊優先考慮可用性而不是機密性。傳統的IT資產發現工具嘗試與OT資產進行通信時,會產生超過工控網絡負載的流量,帶來的中斷和停機風險是無法避免的。
專有協議。OT資產使用各種專有的、特定于供應商的協議進行通信。鑒于OT協議的絕對數量、兼容性和覆蓋范圍,資產發現需要大量的投資和精力。
遠程用戶活動。VPN等許多傳統的遠程訪問解決方案對遠程用戶操作的可見性有限,這使其不適用于處理工業環境。
網絡安全公司CI Security的首席安全官邁克·漢密爾頓指出,Colonial Pipeline的燃氣管道已被定性為關鍵基礎設施。故意破壞或破壞這些系統可被視為恐怖主義行為。此事件不排除是國家黑客以勒索軟件作為掩護實施攻擊。
美國天然氣管道運營商上一次遭受攻擊是2014年,當時美國幾家天然氣管道運營商的第三方通信系統遭到網絡攻擊,影響了OT網絡的運營。美國國土安全部最早曾在2012年發布警告說,不法分子已經將天然氣行業作為攻擊目標。
參考資料:
https://media.defense.gov/2021/Apr/29/2002630479/-1/-1/1/CSA_STOP-MCA-AGAINST-OT_UOO13672321.PDF
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
