上周六,Colonial Pipeline发表声明宣布遭遇网络攻击,导致部分IT系统停机,管道运营中断。上周日,该公司在声明更新中指出遭遇了勒索软件攻击,已经聘请第三方网络安全公司(据称是FireEye),对事件展开调查。
Colonial Pipeline在最新的声明中指出:
5月7日,Colonial Pipeline公司发现遭受网络攻击。此后,我们确定该事件涉及勒索软件。作为响应,我们主动使某些系统脱机以控制威胁,该攻击暂时停止了所有管道的运行,并影响了我们的某些IT系统。得知此问题后,一家领先的第三方网络安全公司被聘用,他们已经对该事件的性质和范围进行了调查,该调查正在进行中。我们已经联系了执法部门和其他联邦机构。
Colonial Pipeline正在采取步骤来理解和解决此问题。目前,我们的主要重点是安全高效地恢复服务以及努力恢复正常运行。此过程已经在进行中,我们正在努力解决此问题,并最大程度地减少对我们的客户以及那些依赖Colonial Pipeline的客户的干扰。
Colonial Pipeline是美国最大的成品油管道,每天通过管道系统输送超过1亿加仑的燃料,该管道系统连接得克萨斯州休斯顿和新泽西州林登,跨度长达5500多英里(下图),美国东海岸45%的燃料都由该管道系统提供,此外Colonial Pipeline还为美国军方提供精炼石油产品,例如汽油、柴油、喷气燃料。
2019年,政府问责局(GAO)的审计显示,美国国土安全部(DHS)的运输安全管理局(TSA)需要解决其管道安全计划中的重大管理缺陷。
值得注意的是,近期美国政府一再警告针对政府实体和关键基础设施部门(包括能源、核能、供水、航空和关键制造业)的针对性攻击正在激增。
就在Colonial Pipeline遭遇攻击之前数日,美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)刚刚发布了新的网络安全风险公告(链接在文末),指出在所有16个关键基础设施领域中即将出现严重威胁,并提供了详细的建议,包括如何保护工控系统的OT网络环境,并强烈建议立即创建准确的,可操作的OT网络图。
所谓OT网络图,就是所有OT、物联网、工业IoT(IIoT)资产、流程、连接路径和用户活动的图谱和清单。
但是工控系统,尤其是OT网络,依然存在让全球工控系统安全团队头痛的四大难题:
缺乏标准化。OT网络通常由已存在数十年的OT资产组成,并与各种现代资产一起工作。不仅增加了复杂性,而且往往运营在地理上分散在多个地点,其中一些地点位于偏远地区,如能源或采矿部门。
停机时间容忍度低。运行这些网络的团队优先考虑可用性而不是机密性。传统的IT资产发现工具尝试与OT资产进行通信时,会产生超过工控网络负载的流量,带来的中断和停机风险是无法避免的。
专有协议。OT资产使用各种专有的、特定于供应商的协议进行通信。鉴于OT协议的绝对数量、兼容性和覆盖范围,资产发现需要大量的投资和精力。
远程用户活动。VPN等许多传统的远程访问解决方案对远程用户操作的可见性有限,这使其不适用于处理工业环境。
网络安全公司CI Security的首席安全官迈克·汉密尔顿指出,Colonial Pipeline的燃气管道已被定性为关键基础设施。故意破坏或破坏这些系统可被视为恐怖主义行为。此事件不排除是国家黑客以勒索软件作为掩护实施攻击。
美国天然气管道运营商上一次遭受攻击是2014年,当时美国几家天然气管道运营商的第三方通信系统遭到网络攻击,影响了OT网络的运营。美国国土安全部最早曾在2012年发布警告说,不法分子已经将天然气行业作为攻击目标。
参考资料:
https://media.defense.gov/2021/Apr/29/2002630479/-1/-1/1/CSA_STOP-MCA-AGAINST-OT_UOO13672321.PDF
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】