前段時間影響了美國猶他州、懷俄明州和加利福尼亞州電網(wǎng)控制系統(tǒng)的拒絕服務(wù)(DoS)攻擊很有意思，原因有三。

[[267643]]

首先，黑客沒有直接攻擊電網(wǎng)電力生產(chǎn)和輸送的控制系統(tǒng)，而是中斷了公共事業(yè)運營商監(jiān)視這些系統(tǒng)當(dāng)前狀態(tài)的能力。公共事業(yè)產(chǎn)業(yè)稱此類事件為 “視野丟失”。如果攻擊者想要切斷部分電網(wǎng)，他們首先要做的就是這一步，因為這可以讓公共事業(yè)運營商看不到他們接下來要做的破壞性操作，比如關(guān)閉繼電器切斷電流。工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)攻擊早期案例之一的震網(wǎng)事件中攻擊者就采取了類似的操作，他們讓核離心機操作員誤以為一切正常，而實際上離心機已經(jīng)在超高速運轉(zhuǎn)，最終導(dǎo)致?lián)p壞。

其次，攻擊者通過黑掉聯(lián)網(wǎng)設(shè)備來造成可見性喪失。此前也有攻擊網(wǎng)絡(luò)設(shè)備的案例，比如2018年據(jù)傳是俄羅斯黑客搞的VPNFilter事件。這些攻擊中，黑客同樣利用了網(wǎng)絡(luò)設(shè)備中未被修復(fù)的漏洞，以便監(jiān)聽網(wǎng)絡(luò)流量，盜取憑證，在流量中注入惡意代碼以破壞終端。因為通常直接暴露在互聯(lián)網(wǎng)上，且既沒有內(nèi)置反惡意軟件功能也難以安裝補丁，這些設(shè)備相對容易被黑。

第三，電力行業(yè)是美國目前唯一一個擁有最小網(wǎng)絡(luò)安全標(biāo)準(zhǔn)規(guī)范(NERC CIP)的關(guān)鍵基礎(chǔ)設(shè)施垂直行業(yè)。其他垂直行業(yè)，比如油氣、化工、制藥、制造與交通運輸業(yè)，現(xiàn)下都還沒有任何網(wǎng)絡(luò)規(guī)范。所以，該事件很可能引致監(jiān)管機構(gòu)的更多審查。監(jiān)管機構(gòu)最近才對一家大型美國公共事業(yè)機構(gòu)開出了創(chuàng)紀(jì)錄的1千萬美元罰款，處罰理由是忽視網(wǎng)絡(luò)安全導(dǎo)致發(fā)生多起事故，該機構(gòu)沒有一個正式的、協(xié)調(diào)一致的網(wǎng)絡(luò)規(guī)范實施方法，比如在員工離職時注銷其掌握的管理員密碼。

美國人是怎么維護電網(wǎng)安全的?

NERC CIP 監(jiān)管規(guī)定是重要的第一步，但并未更新到納入現(xiàn)代安全控制措施，比如持續(xù)監(jiān)視以檢測公共事業(yè)網(wǎng)絡(luò)上的可疑或未授權(quán)行為。而且這些規(guī)定都有賴于公共事業(yè)公司自己上報事件，那瞞報情況的出現(xiàn)幾乎是必然的，畢竟上報事件很可能會招致罰款和股東訴訟。

有些人錯誤地認(rèn)為國防部或者聯(lián)邦調(diào)查局(FBI)負(fù)責(zé)保護電網(wǎng)不受民族國家攻擊。但實際上，美國85%的關(guān)鍵基礎(chǔ)設(shè)施都是私營產(chǎn)業(yè)掌握著。在這些關(guān)鍵基礎(chǔ)設(shè)施遭到攻擊前，美國國防部和國土安全部(DHS)或FBI是既沒有資源也沒有法律依據(jù)來防護民用設(shè)施。

整個電網(wǎng)被網(wǎng)絡(luò)攻擊搞癱的概率有多大?

黑客幾乎是不可能搞定整個美國電網(wǎng)的，因為電網(wǎng)本來就特別設(shè)計成了不會發(fā)生單點故障的結(jié)構(gòu)。不過，倒是可以想象一下意志堅定的民族國家攻擊者對特定人口稠密區(qū)下手以造成重大供電中斷與混亂的場景，就像俄羅斯黑客在2015年和2016年圣誕對烏克蘭做的那樣。比如說，在隆冬時節(jié)給華盛頓特區(qū)或華爾街?jǐn)鄠€電，那肯定就能給美國人民帶來嚴(yán)重的經(jīng)濟和心理打擊了，甚至還會鬧出人命。

這種情況并非只存在于理論上。2018年3月，美國FBI/DHS總結(jié)道，至少自2016年3月開始，俄羅斯政府黑客就攻擊了多個政府實體和美國關(guān)鍵基礎(chǔ)設(shè)施產(chǎn)業(yè)，包括能源、核、商業(yè)設(shè)施，水處理、航空及關(guān)鍵制造行業(yè)。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文