導致美國進入緊急狀態的勒索事件揭示出的網絡安全實踐需求

作者：Akane 2021-05-11 12:09:42

多個消息源將攻擊者確定為DarkSide組織，這是一家東歐的網絡犯罪勒索團伙。

背景回顧

2021年5月7日，美國最大輸油管道公司Colonial Pipeline遭勒索軟件攻擊，導致其被迫關閉管道系統。

截至發稿前，Colonial稱已通報了聯邦當局，并雇用了FireEye公司進行事件調查。在管道關閉的第三天，Colonial表示正在制定系統重啟計劃，同時使其四個主要輸油管線保持離線狀態。該公司表示，只有在確保完全安全且符合所有聯邦法規的批準后，才會將其系統重新上線。

美國宣布進入緊急狀態的消息一出，全球的網絡安全領域都在關注此事。據報道稱，Colonial公司每天向美國東部運輸25億桶石油，并與30座煉油廠和近300個分銷終端相連。它從德克薩斯州向東北部運送天然氣和其他燃料，約占東海岸消耗燃料的45%。

昨天早些時候，拜登政府針針對此事件出臺緊急豁免，因為擔心輸送短缺對石油和天然氣價格構成上行壓力，因此解除了對公路燃料運輸的限制，Colonial公司對美國關鍵基礎設施及國家安全的重要性顯而易見。美國商務部長Gina Raimondo稱，總統已經聽取了簡報，此時乃是應當“齊心協力，上下一心”的情況，以確保勒索攻擊不會中斷美國的石油供應。

多個消息源將攻擊者確定為DarkSide組織，這是一家東歐的網絡犯罪勒索團伙。最新消息稱，DarkSide勒索團伙承認他們是造成美國“斷油”事件的元兇。

一個大問題是Colonial能夠以多快的速度制定其重啟計劃。

ICS網絡安全和部門負責人，FBI InfraGard部門負責人Marc Ayala稱：

沒有簡單的電燈開關或按鈕即可神奇地重啟和恢復操作。

即使還有其他問題尚待解決，Colonial公司勒索事件也為ICS企業應如何應對網絡攻擊提供了一些經驗教訓。

深入了解OT系統可能加快重啟速度

缺乏對OT系統安全狀態的了解可能是導致Colonial停運的主要原因。

Marc Ayala提到：

該事件最大的問題是不清楚影響的深度、范圍和廣度。停止運營是一個明確的信號，表明他們對當前的運營流程、安全系統和安全環境不信任。

在一份給客戶的說明中，Marc Ayala預測，Colonial恢復運營將需要48到84個小時或更長時間。

網絡安全公司Tenable的安全運營副總裁Marty Edwards也是在ICS-CERT任職時間最長的董事，對此觀點表示贊同：

他們(指ICS運營者，如本次事件的主角Colonial)需要對環境有足夠的了解，才能知道實際影響的范圍。通常情況下，關鍵基礎設施所有者和運營商根本沒有足夠的可見性，尤其是在這些操作技術和工業控制系統環境中。

更好的細分可以避免停機

為了避免類似的操作系統停機，ICS組織應集中精力更好地劃分功能和網絡。

Marc Ayala提到：

應該有明確而適當的細分，必須從架構層面進行重構。我們得知道如何做出反應，IT到OT的分界不清晰是我們面臨的最大威脅之一。

在尋找受感染的組件并盡快隔離它們以加快恢復正常操作的過程中，分段就發揮了作用。Marty Edwards表示：

ICS組織必須具有這種實時的可見性，如果某件事開始影響你在一個地理區域內的運行時，必須能夠快速進入系統并找出可能存在漏洞的其他地方，并將這些系統分段并隔離。

攻擊透明度至關重要

ICS組織需要考慮的另一個關鍵因素是圍繞勒索攻擊事件的治理策略，尤其是在事前階段。整理有效的通信策略，為攻擊的后果做準備。Marty Edwards稱：

我總是鼓勵組織盡可能多地提高透明度。對于這類事件，他們應預先準備經過審核的保留聲明、新聞稿等，以便首席信息安全官接到電話時可以從容應對。

ICS組織還應針對如何管理此類勒索攻擊制定詳盡的計劃。如果公司擁有經過良好測試和維護的容災備份計劃，且對所有這些類型的系統都有良好的備份，那么他們就有信心可以隔離事件，并在盡可能短的時間內恢復。

與政府合作很重要

Marc Ayala在與聯邦政府的合作中給予了Colonial很高的評價。從長遠來看，政府機構應該在為此類事件做準備中發揮更關鍵的作用。

Marty Edwards稱：

我們已經說了很長時間了，必須是真正的伙伴關系。我不會把“伙伴關系”這個詞定義為信息共享計劃之類的東西。我們需要將私營部門和聯邦政府結合起來，政府非常實誠地提出了一系列的解決方案。

責任編輯：趙寧寧來源： FreeBuf

網絡安全勒索軟件網絡攻擊