背景回顧

2021年5月7日，美國最大輸油管道公司Colonial Pipeline遭勒索軟件攻擊，導(dǎo)致其被迫關(guān)閉管道系統(tǒng)。

截至發(fā)稿前，Colonial稱已通報了聯(lián)邦當局，并雇用了FireEye公司進行事件調(diào)查。在管道關(guān)閉的第三天，Colonial表示正在制定系統(tǒng)重啟計劃，同時使其四個主要輸油管線保持離線狀態(tài)。該公司表示，只有在確保完全安全且符合所有聯(lián)邦法規(guī)的批準后，才會將其系統(tǒng)重新上線。

美國宣布進入緊急狀態(tài)的消息一出，全球的網(wǎng)絡(luò)安全領(lǐng)域都在關(guān)注此事。據(jù)報道稱，Colonial公司每天向美國東部運輸25億桶石油，并與30座煉油廠和近300個分銷終端相連。它從德克薩斯州向東北部運送天然氣和其他燃料，約占東海岸消耗燃料的45%。

昨天早些時候，拜登政府針針對此事件出臺緊急豁免，因為擔心輸送短缺對石油和天然氣價格構(gòu)成上行壓力，因此解除了對公路燃料運輸?shù)南拗?，Colonial公司對美國關(guān)鍵基礎(chǔ)設(shè)施及國家安全的重要性顯而易見。美國商務(wù)部長Gina Raimondo稱，總統(tǒng)已經(jīng)聽取了簡報，此時乃是應(yīng)當“齊心協(xié)力，上下一心”的情況，以確保勒索攻擊不會中斷美國的石油供應(yīng)。

多個消息源將攻擊者確定為DarkSide組織，這是一家東歐的網(wǎng)絡(luò)犯罪勒索團伙。最新消息稱，DarkSide勒索團伙承認他們是造成美國“斷油”事件的元兇。

一個大問題是Colonial能夠以多快的速度制定其重啟計劃。

ICS網(wǎng)絡(luò)安全和部門負責人，F(xiàn)BI InfraGard部門負責人Marc Ayala稱：

即使還有其他問題尚待解決，Colonial公司勒索事件也為ICS企業(yè)應(yīng)如何應(yīng)對網(wǎng)絡(luò)攻擊提供了一些經(jīng)驗教訓(xùn)。

深入了解OT系統(tǒng)可能加快重啟速度

缺乏對OT系統(tǒng)安全狀態(tài)的了解可能是導(dǎo)致Colonial停運的主要原因。

Marc Ayala提到：

在一份給客戶的說明中，Marc Ayala預(yù)測，Colonial恢復(fù)運營將需要48到84個小時或更長時間。

網(wǎng)絡(luò)安全公司Tenable的安全運營副總裁Marty Edwards也是在ICS-CERT任職時間最長的董事，對此觀點表示贊同：

更好的細分可以避免停機

為了避免類似的操作系統(tǒng)停機，ICS組織應(yīng)集中精力更好地劃分功能和網(wǎng)絡(luò)。

Marc Ayala提到：

應(yīng)該有明確而適當?shù)募毞郑仨殢募軜?gòu)層面進行重構(gòu)。我們得知道如何做出反應(yīng)，IT到OT的分界不清晰是我們面臨的最大威脅之一。 

在尋找受感染的組件并盡快隔離它們以加快恢復(fù)正常操作的過程中，分段就發(fā)揮了作用。Marty Edwards表示：

攻擊透明度至關(guān)重要

ICS組織需要考慮的另一個關(guān)鍵因素是圍繞勒索攻擊事件的治理策略，尤其是在事前階段。整理有效的通信策略，為攻擊的后果做準備。Marty Edwards稱：

ICS組織還應(yīng)針對如何管理此類勒索攻擊制定詳盡的計劃。如果公司擁有經(jīng)過良好測試和維護的容災(zāi)備份計劃，且對所有這些類型的系統(tǒng)都有良好的備份，那么他們就有信心可以隔離事件，并在盡可能短的時間內(nèi)恢復(fù)。

與政府合作很重要

Marc Ayala在與聯(lián)邦政府的合作中給予了Colonial很高的評價。從長遠來看，政府機構(gòu)應(yīng)該在為此類事件做準備中發(fā)揮更關(guān)鍵的作用。

Marty Edwards稱：