上周六，Colonial Pipeline發(fā)表聲明宣布遭遇網(wǎng)絡(luò)攻擊，導(dǎo)致部分IT系統(tǒng)停機(jī)，管道運(yùn)營(yíng)中斷。上周日，該公司在聲明更新中指出遭遇了勒索軟件攻擊，已經(jīng)聘請(qǐng)第三方網(wǎng)絡(luò)安全公司(據(jù)稱是FireEye)，對(duì)事件展開(kāi)調(diào)查。

[[398394]]

Colonial Pipeline在最新的聲明中指出：

5月7日，Colonial Pipeline公司發(fā)現(xiàn)遭受網(wǎng)絡(luò)攻擊。此后，我們確定該事件涉及勒索軟件。作為響應(yīng)，我們主動(dòng)使某些系統(tǒng)脫機(jī)以控制威脅，該攻擊暫時(shí)停止了所有管道的運(yùn)行，并影響了我們的某些IT系統(tǒng)。得知此問(wèn)題后，一家領(lǐng)先的第三方網(wǎng)絡(luò)安全公司被聘用，他們已經(jīng)對(duì)該事件的性質(zhì)和范圍進(jìn)行了調(diào)查，該調(diào)查正在進(jìn)行中。我們已經(jīng)聯(lián)系了執(zhí)法部門和其他聯(lián)邦機(jī)構(gòu)。

Colonial Pipeline正在采取步驟來(lái)理解和解決此問(wèn)題。目前，我們的主要重點(diǎn)是安全高效地恢復(fù)服務(wù)以及努力恢復(fù)正常運(yùn)行。此過(guò)程已經(jīng)在進(jìn)行中，我們正在努力解決此問(wèn)題，并最大程度地減少對(duì)我們的客戶以及那些依賴Colonial Pipeline的客戶的干擾。

Colonial Pipeline是美國(guó)最大的成品油管道，每天通過(guò)管道系統(tǒng)輸送超過(guò)1億加侖的燃料，該管道系統(tǒng)連接得克薩斯州休斯頓和新澤西州林登，跨度長(zhǎng)達(dá)5500多英里(下圖)，美國(guó)東海岸45%的燃料都由該管道系統(tǒng)提供，此外Colonial Pipeline還為美國(guó)軍方提供精煉石油產(chǎn)品，例如汽油、柴油、噴氣燃料。

2019年，政府問(wèn)責(zé)局(GAO)的審計(jì)顯示，美國(guó)國(guó)土安全部(DHS)的運(yùn)輸安全管理局(TSA)需要解決其管道安全計(jì)劃中的重大管理缺陷。

值得注意的是，近期美國(guó)政府一再警告針對(duì)政府實(shí)體和關(guān)鍵基礎(chǔ)設(shè)施部門(包括能源、核能、供水、航空和關(guān)鍵制造業(yè))的針對(duì)性攻擊正在激增。

就在Colonial Pipeline遭遇攻擊之前數(shù)日，美國(guó)國(guó)家安全局(NSA)和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)剛剛發(fā)布了新的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)公告(鏈接在文末)，指出在所有16個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域中即將出現(xiàn)嚴(yán)重威脅，并提供了詳細(xì)的建議，包括如何保護(hù)工控系統(tǒng)的OT網(wǎng)絡(luò)環(huán)境，并強(qiáng)烈建議立即創(chuàng)建準(zhǔn)確的，可操作的OT網(wǎng)絡(luò)圖。

所謂OT網(wǎng)絡(luò)圖，就是所有OT、物聯(lián)網(wǎng)、工業(yè)IoT(IIoT)資產(chǎn)、流程、連接路徑和用戶活動(dòng)的圖譜和清單。

但是工控系統(tǒng)，尤其是OT網(wǎng)絡(luò)，依然存在讓全球工控系統(tǒng)安全團(tuán)隊(duì)頭痛的四大難題：

缺乏標(biāo)準(zhǔn)化。OT網(wǎng)絡(luò)通常由已存在數(shù)十年的OT資產(chǎn)組成，并與各種現(xiàn)代資產(chǎn)一起工作。不僅增加了復(fù)雜性，而且往往運(yùn)營(yíng)在地理上分散在多個(gè)地點(diǎn)，其中一些地點(diǎn)位于偏遠(yuǎn)地區(qū)，如能源或采礦部門。

停機(jī)時(shí)間容忍度低。運(yùn)行這些網(wǎng)絡(luò)的團(tuán)隊(duì)優(yōu)先考慮可用性而不是機(jī)密性。傳統(tǒng)的IT資產(chǎn)發(fā)現(xiàn)工具嘗試與OT資產(chǎn)進(jìn)行通信時(shí)，會(huì)產(chǎn)生超過(guò)工控網(wǎng)絡(luò)負(fù)載的流量，帶來(lái)的中斷和停機(jī)風(fēng)險(xiǎn)是無(wú)法避免的。

專有協(xié)議。OT資產(chǎn)使用各種專有的、特定于供應(yīng)商的協(xié)議進(jìn)行通信。鑒于OT協(xié)議的絕對(duì)數(shù)量、兼容性和覆蓋范圍，資產(chǎn)發(fā)現(xiàn)需要大量的投資和精力。

遠(yuǎn)程用戶活動(dòng)。VPN等許多傳統(tǒng)的遠(yuǎn)程訪問(wèn)解決方案對(duì)遠(yuǎn)程用戶操作的可見(jiàn)性有限，這使其不適用于處理工業(yè)環(huán)境。

網(wǎng)絡(luò)安全公司CI Security的首席安全官邁克·漢密爾頓指出，Colonial Pipeline的燃?xì)夤艿酪驯欢ㄐ詾殛P(guān)鍵基礎(chǔ)設(shè)施。故意破壞或破壞這些系統(tǒng)可被視為恐怖主義行為。此事件不排除是國(guó)家黑客以勒索軟件作為掩護(hù)實(shí)施攻擊。

美國(guó)天然氣管道運(yùn)營(yíng)商上一次遭受攻擊是2014年，當(dāng)時(shí)美國(guó)幾家天然氣管道運(yùn)營(yíng)商的第三方通信系統(tǒng)遭到網(wǎng)絡(luò)攻擊，影響了OT網(wǎng)絡(luò)的運(yùn)營(yíng)。美國(guó)國(guó)土安全部最早曾在2012年發(fā)布警告說(shuō)，不法分子已經(jīng)將天然氣行業(yè)作為攻擊目標(biāo)。

參考資料：

https://media.defense.gov/2021/Apr/29/2002630479/-1/-1/1/CSA_STOP-MCA-AGAINST-OT_UOO13672321.PDF

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文