導致美國進入緊急狀態的勒索事件揭示出的網絡安全實踐需求
背景回顧
2021年5月7日,美國最大輸油管道公司Colonial Pipeline遭勒索軟件攻擊,導致其被迫關閉管道系統。
截至發稿前,Colonial稱已通報了聯邦當局,并雇用了FireEye公司進行事件調查。在管道關閉的第三天,Colonial表示正在制定系統重啟計劃,同時使其四個主要輸油管線保持離線狀態。該公司表示,只有在確保完全安全且符合所有聯邦法規的批準后,才會將其系統重新上線。
美國宣布進入緊急狀態的消息一出,全球的網絡安全領域都在關注此事。據報道稱,Colonial公司每天向美國東部運輸25億桶石油,并與30座煉油廠和近300個分銷終端相連。它從德克薩斯州向東北部運送天然氣和其他燃料,約占東海岸消耗燃料的45%。
昨天早些時候,拜登政府針針對此事件出臺緊急豁免,因為擔心輸送短缺對石油和天然氣價格構成上行壓力,因此解除了對公路燃料運輸的限制,Colonial公司對美國關鍵基礎設施及國家安全的重要性顯而易見。美國商務部長Gina Raimondo稱,總統已經聽取了簡報,此時乃是應當“齊心協力,上下一心”的情況,以確保勒索攻擊不會中斷美國的石油供應。
多個消息源將攻擊者確定為DarkSide組織,這是一家東歐的網絡犯罪勒索團伙。最新消息稱,DarkSide勒索團伙承認他們是造成美國“斷油”事件的元兇。
一個大問題是Colonial能夠以多快的速度制定其重啟計劃。
ICS網絡安全和部門負責人,FBI InfraGard部門負責人Marc Ayala稱:
| 沒有簡單的電燈開關或按鈕即可神奇地重啟和恢復操作。 |
即使還有其他問題尚待解決,Colonial公司勒索事件也為ICS企業應如何應對網絡攻擊提供了一些經驗教訓。
深入了解OT系統可能加快重啟速度
缺乏對OT系統安全狀態的了解可能是導致Colonial停運的主要原因。
Marc Ayala提到:
| 該事件最大的問題是不清楚影響的深度、范圍和廣度。停止運營是一個明確的信號,表明他們對當前的運營流程、安全系統和安全環境不信任。 |
在一份給客戶的說明中,Marc Ayala預測,Colonial恢復運營將需要48到84個小時或更長時間。
網絡安全公司Tenable的安全運營副總裁Marty Edwards也是在ICS-CERT任職時間最長的董事,對此觀點表示贊同:
| 他們(指ICS運營者,如本次事件的主角Colonial)需要對環境有足夠的了解,才能知道實際影響的范圍。通常情況下,關鍵基礎設施所有者和運營商根本沒有足夠的可見性,尤其是在這些操作技術和工業控制系統環境中。 |
更好的細分可以避免停機
為了避免類似的操作系統停機,ICS組織應集中精力更好地劃分功能和網絡。
Marc Ayala提到:
- 應該有明確而適當的細分,必須從架構層面進行重構。我們得知道如何做出反應,IT到OT的分界不清晰是我們面臨的最大威脅之一。
在尋找受感染的組件并盡快隔離它們以加快恢復正常操作的過程中,分段就發揮了作用。Marty Edwards表示:
| ICS組織必須具有這種實時的可見性,如果某件事開始影響你在一個地理區域內的運行時,必須能夠快速進入系統并找出可能存在漏洞的其他地方,并將這些系統分段并隔離。 |
攻擊透明度至關重要
ICS組織需要考慮的另一個關鍵因素是圍繞勒索攻擊事件的治理策略,尤其是在事前階段。整理有效的通信策略,為攻擊的后果做準備。Marty Edwards稱:
| 我總是鼓勵組織盡可能多地提高透明度。對于這類事件,他們應預先準備經過審核的保留聲明、新聞稿等,以便首席信息安全官接到電話時可以從容應對。 |
ICS組織還應針對如何管理此類勒索攻擊制定詳盡的計劃。如果公司擁有經過良好測試和維護的容災備份計劃,且對所有這些類型的系統都有良好的備份,那么他們就有信心可以隔離事件,并在盡可能短的時間內恢復。
與政府合作很重要
Marc Ayala在與聯邦政府的合作中給予了Colonial很高的評價。從長遠來看,政府機構應該在為此類事件做準備中發揮更關鍵的作用。
Marty Edwards稱:
| 我們已經說了很長時間了,必須是真正的伙伴關系。我不會把“伙伴關系”這個詞定義為信息共享計劃之類的東西。我們需要將私營部門和聯邦政府結合起來,政府非常實誠地提出了一系列的解決方案。 |
