上周六,ColonialPipeline发布声明,宣布遭遇网络攻击,导致部分IT系统关闭,管道运营中断。上周日,该公司在一份声明更新中指出,它遇到了勒索软件攻击,并聘请了一家第三方网络安全公司,据说是FireEye,来调查这起事件。ColonialPipeline在最新声明中指出:5月7日,ColonialPipeline发现其遭受网络攻击。我们已经确定该事件涉及勒索软件。作为回应,我们主动让一些系统离线以遏制威胁,攻击暂时停止了所有管道操作并影响了我们的一些IT系统。获悉该问题后,一家领先的第三方网络安全公司参与其中,他们已对事件的性质和范围展开调查,调查正在进行中。我们已经联系了执法部门和其他联邦机构。ColonialPipeline正在采取措施了解和解决这个问题。目前,我们的主要重点是安全高效地恢复服务,并努力恢复正常运营。这个过程已经在进行中,我们正在努力解决这个问题,并尽量减少对我们的客户和那些依赖ColonialPipeline的客户的干扰。ColonialPipeline是美国最大的石油产品管道,每天通过管道系统输送超过1亿加仑的燃料,该管道连接德克萨斯州休斯顿和新泽西州林登,跨度超过5,500英里(下图)),美国东海岸45%的燃料是由管道系统提供的,此外ColonialPipeline还向美军提供汽油、柴油、喷气燃料等精炼石油产品。2019年,政府问责局(GAO)的一项审计显示,美国国土安全部(DHS)运输安全管理局(TSA)需要解决其管道安全计划中的重大管理缺陷。值得注意的是,美国政府近期多次警告称,针对能源、核电、供水、航空和关键制造等政府实体和关键基础设施领域的针对性攻击正在增加。就在ColonialPipeline遭到攻击的前几天,美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)刚刚发布了一份新的网络安全风险公告(链接在文末),指出所有16关键基础设施设施领域即将面临严重威胁,关于如何保护工业控制系统OT网络环境的详细建议,以及立即创建准确、可操作的OT网络地图的强烈建议。所谓OT网络地图是所有OT、物联网、工业物联网(IIoT)资产、流程、连接路径和用户活动的地图和清单。然而,工控系统,尤其是OT网络,仍然存在四大问题让全球工控系统安全团队头疼:缺乏标准化。OT网络通常由已经存在数十年的OT资产组成,与各种现代资产一起工作。它不仅增加了复杂性,而且业务通常在地理上分散在多个地点,其中一些地点位于偏远地区,例如能源或采矿部门。低停机容忍度。运行这些网络的团队优先考虑可用性而不是机密性。当传统的IT资产发现工具尝试与OT资产通信时,它们会产生超过工业控制网络负载的流量,中断和停机的风险是不可避免的。所有权协议。OT资产使用各种专有的、特定于供应商的协议进行通信。鉴于OT协议的庞大数量、兼容性和范围,资产发现需要大量投资和努力。远程用户活动。许多传统的远程访问解决方案(如VPN)对远程用户操作的可见性有限,因此不适合处理工业环境。网络安全公司CISecurity的首席安全官MikeHamilton指出,ColonialPipeline的天然气管道已被归类为关键基础设施。故意破坏或破坏这些系统可被视为恐怖主义行为。这起事件不排除国家黑客以勒索软件为幌子实施攻击。美国天然气管道运营商上一次遭受攻击是在2014年,当时美国多家天然气管道运营商的第三方通信系统遭到网络攻击,影响了OT网络的运行。美国国土安全部于2012年首次发出警告称,犯罪分子将目标锁定在天然气行业。参考:https://media.defense.gov/2021/Apr/29/2002630479/-1/-1/1/CSA_STOP-MCA-AGAINST-OT_UOO13672321.PDF【本文为专栏作者《平安牛》原创文章》转载请通过安全牛获得授权(微信公众号id:gooann-sectv)】点此阅读作者更多好文
