背景回顾2021年5月7日,美国最大的输油管道公司ColonialPipeline遭到勒索软件攻击,导致其被迫关闭管道系统。截至发稿时,Colonial表示已通知联邦当局并聘请FireEye调查此事件。在管道关闭的第三天,Colonial表示正在制定重启系统的计划,同时保持其四个主要管道离线。该公司表示,只有在系统完全安全并符合所有联邦法规并获得批准后,才会将其系统重新上线。美国宣布进入紧急状态的消息一出,全球网络安全领域都关注了此事。据报道,Colonial每天向美国东部运送25亿桶石油,并与30家炼油厂和近300个配送终端相连。它将天然气和其他燃料从德克萨斯州运送到东北部,约占东海岸燃料消耗量的45%。昨天早些时候,拜登政府针对这一事件发布了紧急豁免,取消了对公路燃料运输的限制,原因是担心交付短缺会给石油和天然气价格带来上行压力,Colonial对美国关键基础设施和国家安全的担忧。重要性不言而喻。美国商务部长吉娜·雷蒙多(GinaRaimondo)表示,总统已听取简报,现在是“齐心协力”以确保勒索攻击不会扰乱美国石油供应的时候了。多个消息来源已将攻击者确定为东欧网络犯罪勒索团伙DarkSide组织。据最新消息,DarkSide勒索团伙承认他们是美国“断油”事件的罪魁祸首。一个大问题是Colonial能够多快制定重启计划。“没有简单的电灯开关或按钮可以神奇地重启和恢复操作,”ICS网络安全和部门负责人兼FBIInfraGard部门负责人MarcAyala说。即使还有其他问题有待解决,Colonial敲诈勒索为ICS公司应如何应对网络攻击提供了一些教训。深入了解OT系统可以加快重启速度缺乏对OT系统安全状态的了解可能是Colonial中断的主要原因。MarcAyala提到:这起事件最大的问题是影响的深度、范围和广度都不清楚。停止运营是一个明确的信号,表明他们不信任当前的运营流程、安全系统和安全环境。在给客户的一份报告中,马克阿亚拉预测Colonial需要48到84小时或更长时间才能恢复运营。网络安全公司Tenable的安全运营副总裁、ICS-CERT任职时间最长的主管MartyEdwards同意这一观点:他们(指ICS运营商,比如本次事件的主角Colonial)需要有足够的环保意识。只有了解,才能知道实际的影响范围。通常,关键基础设施所有者和运营商根本没有足够的可见性,尤其是在这些运营技术和工业控制系统环境中。更好的分段避免停机为避免类似的操作系统中断,ICS组织应专注于更好地划分功能和网络。MarcAyala提到:应该有明确和适当的分割,这必须从架构层面进行重构。我们需要知道如何应对,IT和OT之间模糊的界限是我们面临的最大威胁之一。分段在查找受感染组件并尽快隔离它们以加快恢复正常操作的过程中发挥作用。MartyEdwards说:ICS组织必须具有这种实时可见性,如果某事开始影响您在某个地理区域的运营,您必须能够快速进入系统并找到可能存在漏洞的其他地方,并将这些系统整合在一起。分段和隔离。攻击透明度至关重要ICS组织要考虑的另一个关键因素是围绕勒索软件攻击事件的治理策略,尤其是在事件发生前阶段。制定有效的通信策略,为攻击的后果做好准备。MartyEdwards:我总是鼓励组织尽可能透明。对于这些类型的事件,他们应该事先审查保留声明、新闻稿等,以便CISO准备好在接到电话时做出响应。ICS组织还应该制定有关如何管理此类勒索软件攻击的详细计划。如果一家公司有一个经过良好测试和维护的灾难恢复计划,并为所有这些类型的系统提供良好的备份,他们就可以相信可以在尽可能短的时间内隔离和恢复事件。与政府合作很重要MarcAyala对Colonial与联邦政府的合作给予了高度评价。从长远来看,政府机构应该在为此类事件做准备方面发挥更关键的作用。MartyEdwards说:我们长期以来一直在说,它必须是真正的伙伴关系。我不会将“伙伴关系”这个词定义为信息共享计划之类的东西。我们需要将私营部门和联邦政府联合起来,政府非常诚实地提出了一系列解决方案。
