导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求

背景回顾

2021年5月7日，美国最大输油管道公司Colonial Pipeline遭勒索软件攻击，导致其被迫关闭管道系统。

截至发稿前，Colonial称已通报了联邦当局，并雇用了FireEye公司进行事件调查。在管道关闭的第三天，Colonial表示正在制定系统重启计划，同时使其四个主要输油管线保持离线状态。该公司表示，只有在确保完全安全且符合所有联邦法规的批准后，才会将其系统重新上线。

美国宣布进入紧急状态的消息一出，全球的网络安全领域都在关注此事。据报道称，Colonial公司每天向美国东部运输25亿桶石油，并与30座炼油厂和近300个分销终端相连。它从德克萨斯州向东北部运送天然气和其他燃料，约占东海岸消耗燃料的45%。

昨天早些时候，拜登政府针针对此事件出台紧急豁免，因为担心输送短缺对石油和天然气价格构成上行压力，因此解除了对公路燃料运输的限制，Colonial公司对美国关键基础设施及国家安全的重要性显而易见。美国商务部长Gina Raimondo称，总统已经听取了简报，此时乃是应当“齐心协力，上下一心”的情况，以确保勒索攻击不会中断美国的石油供应。

多个消息源将攻击者确定为DarkSide组织，这是一家东欧的网络犯罪勒索团伙。最新消息称，DarkSide勒索团伙承认他们是造成美国“断油”事件的元凶。

一个大问题是Colonial能够以多快的速度制定其重启计划。

ICS网络安全和部门负责人，FBI InfraGard部门负责人Marc Ayala称：

没有简单的电灯开关或按钮即可神奇地重启和恢复操作。

即使还有其他问题尚待解决，Colonial公司勒索事件也为ICS企业应如何应对网络攻击提供了一些经验教训。

深入了解OT系统可能加快重启速度

缺乏对OT系统安全状态的了解可能是导致Colonial停运的主要原因。

Marc Ayala提到：

该事件最大的问题是不清楚影响的深度、范围和广度。停止运营是一个明确的信号，表明他们对当前的运营流程、安全系统和安全环境不信任。

在一份给客户的说明中，Marc Ayala预测，Colonial恢复运营将需要48到84个小时或更长时间。

网络安全公司Tenable的安全运营副总裁Marty Edwards也是在ICS-CERT任职时间最长的董事，对此观点表示赞同：

他们(指ICS运营者，如本次事件的主角Colonial)需要对环境有足够的了解，才能知道实际影响的范围。通常情况下，关键基础设施所有者和运营商根本没有足够的可见性，尤其是在这些操作技术和工业控制系统环境中。

更好的细分可以避免停机

为了避免类似的操作系统停机，ICS组织应集中精力更好地划分功能和网络。

Marc Ayala提到：

 
 
应该有明确而适当的细分，必须从架构层面进行重构。我们得知道如何做出反应，IT到OT的分界不清晰是我们面临的最大威胁之一。 
 

在寻找受感染的组件并尽快隔离它们以加快恢复正常操作的过程中，分段就发挥了作用。Marty Edwards表示：

ICS组织必须具有这种实时的可见性，如果某件事开始影响你在一个地理区域内的运行时，必须能够快速进入系统并找出可能存在漏洞的其他地方，并将这些系统分段并隔离。

攻击透明度至关重要

ICS组织需要考虑的另一个关键因素是围绕勒索攻击事件的治理策略，尤其是在事前阶段。整理有效的通信策略，为攻击的后果做准备。Marty Edwards称：

我总是鼓励组织尽可能多地提高透明度。对于这类事件，他们应预先准备经过审核的保留声明、新闻稿等，以便首席信息安全官接到电话时可以从容应对。

ICS组织还应针对如何管理此类勒索攻击制定详尽的计划。如果公司拥有经过良好测试和维护的容灾备份计划，且对所有这些类型的系统都有良好的备份，那么他们就有信心可以隔离事件，并在尽可能短的时间内恢复。

与政府合作很重要

Marc Ayala在与联邦政府的合作中给予了Colonial很高的评价。从长远来看，政府机构应该在为此类事件做准备中发挥更关键的作用。

Marty Edwards称：

我们已经说了很长时间了，必须是真正的伙伴关系。我不会把“伙伴关系”这个词定义为信息共享计划之类的东西。我们需要将私营部门和联邦政府结合起来，政府非常实诚地提出了一系列的解决方案。