导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求
背景回顾
2021年5月7日,美国最大输油管道公司Colonial Pipeline遭勒索软件攻击,导致其被迫关闭管道系统。
截至发稿前,Colonial称已通报了联邦当局,并雇用了FireEye公司进行事件调查。在管道关闭的第三天,Colonial表示正在制定系统重启计划,同时使其四个主要输油管线保持离线状态。该公司表示,只有在确保完全安全且符合所有联邦法规的批准后,才会将其系统重新上线。
美国宣布进入紧急状态的消息一出,全球的网络安全领域都在关注此事。据报道称,Colonial公司每天向美国东部运输25亿桶石油,并与30座炼油厂和近300个分销终端相连。它从德克萨斯州向东北部运送天然气和其他燃料,约占东海岸消耗燃料的45%。
昨天早些时候,拜登政府针针对此事件出台紧急豁免,因为担心输送短缺对石油和天然气价格构成上行压力,因此解除了对公路燃料运输的限制,Colonial公司对美国关键基础设施及国家安全的重要性显而易见。美国商务部长Gina Raimondo称,总统已经听取了简报,此时乃是应当“齐心协力,上下一心”的情况,以确保勒索攻击不会中断美国的石油供应。
多个消息源将攻击者确定为DarkSide组织,这是一家东欧的网络犯罪勒索团伙。最新消息称,DarkSide勒索团伙承认他们是造成美国“断油”事件的元凶。
一个大问题是Colonial能够以多快的速度制定其重启计划。
ICS网络安全和部门负责人,FBI InfraGard部门负责人Marc Ayala称:
| 没有简单的电灯开关或按钮即可神奇地重启和恢复操作。 |
即使还有其他问题尚待解决,Colonial公司勒索事件也为ICS企业应如何应对网络攻击提供了一些经验教训。
深入了解OT系统可能加快重启速度
缺乏对OT系统安全状态的了解可能是导致Colonial停运的主要原因。
Marc Ayala提到:
| 该事件最大的问题是不清楚影响的深度、范围和广度。停止运营是一个明确的信号,表明他们对当前的运营流程、安全系统和安全环境不信任。 |
在一份给客户的说明中,Marc Ayala预测,Colonial恢复运营将需要48到84个小时或更长时间。
网络安全公司Tenable的安全运营副总裁Marty Edwards也是在ICS-CERT任职时间最长的董事,对此观点表示赞同:
| 他们(指ICS运营者,如本次事件的主角Colonial)需要对环境有足够的了解,才能知道实际影响的范围。通常情况下,关键基础设施所有者和运营商根本没有足够的可见性,尤其是在这些操作技术和工业控制系统环境中。 |
更好的细分可以避免停机
为了避免类似的操作系统停机,ICS组织应集中精力更好地划分功能和网络。
Marc Ayala提到:
- 应该有明确而适当的细分,必须从架构层面进行重构。我们得知道如何做出反应,IT到OT的分界不清晰是我们面临的最大威胁之一。
在寻找受感染的组件并尽快隔离它们以加快恢复正常操作的过程中,分段就发挥了作用。Marty Edwards表示:
| ICS组织必须具有这种实时的可见性,如果某件事开始影响你在一个地理区域内的运行时,必须能够快速进入系统并找出可能存在漏洞的其他地方,并将这些系统分段并隔离。 |
攻击透明度至关重要
ICS组织需要考虑的另一个关键因素是围绕勒索攻击事件的治理策略,尤其是在事前阶段。整理有效的通信策略,为攻击的后果做准备。Marty Edwards称:
| 我总是鼓励组织尽可能多地提高透明度。对于这类事件,他们应预先准备经过审核的保留声明、新闻稿等,以便首席信息安全官接到电话时可以从容应对。 |
ICS组织还应针对如何管理此类勒索攻击制定详尽的计划。如果公司拥有经过良好测试和维护的容灾备份计划,且对所有这些类型的系统都有良好的备份,那么他们就有信心可以隔离事件,并在尽可能短的时间内恢复。
与政府合作很重要
Marc Ayala在与联邦政府的合作中给予了Colonial很高的评价。从长远来看,政府机构应该在为此类事件做准备中发挥更关键的作用。
Marty Edwards称:
| 我们已经说了很长时间了,必须是真正的伙伴关系。我不会把“伙伴关系”这个词定义为信息共享计划之类的东西。我们需要将私营部门和联邦政府结合起来,政府非常实诚地提出了一系列的解决方案。 |
