黑客封锁美国燃油管道 信息安全软肋暴露无遗
已有人阅读此文 - -美国总统拜登签署多个行政令,宣布进入紧急状态,多个州油品短缺,部分地区油价升至7年新高……最近一个多星期,美国能源行业可谓神经紧绷,问题不断。导致这一切的,仅仅是因为一条燃油管道,一个勒索软件,一个黑客组织。
全美最大的成品油管道运营商美国科洛尼尔管道运输公司在5月7日遭到黑客勒索软件入侵后,采用支付赎金、备份数据等方式寻求“解锁”,最终于13日全面恢复了燃油运输系统运营。尽管科洛尼尔掏出近500万美元息事宁人,但是信息安全给能源等行业带来的恐慌可能会持续很长一阵子。
勒索软件入侵引发能源危机
5月7日,一个自称“阴暗面(DarkSide)”的黑客组织入侵科洛尼尔,导致连接美国南部和东部的一条燃油运输大动脉——科洛尼尔管道系统被迫关闭。
据消息人士透露,遭到黑客攻击的数小时后,科洛尼尔以无法追踪交易往来的加密货币支付了赎金,黑客收到付款后提供了解密工具帮助恢复其计算机网络。但因该解密工具运行速度过慢,科洛尼尔最后还是使用自己的备份数据来恢复系统。
5月13日下午,科洛尼尔宣布,已经重启了该公司的整个燃油运输系统并全面恢复运营。但是要将供应链恢复至完全正常的水平还需要几天时间。
这是美国关键基础设施迄今遭遇的较为严重的网络攻击。在科洛尼尔油管系统出现问题之后,美国包括北卡罗来纳州、佐治亚州以及马里兰州在内的诸多地区,有至少一万家的加油站陷入了没有汽油可以供应的窘迫处境。全美平均汽油价格已突破3美元每加仑(1加仑约合3.8升),创下2014年10月以来的新高。美国宣布进入紧急状态,交通部放宽17个州和首都华盛顿的石油产品公路运输限制,避免因管道关闭导致燃油短缺。
绿盟科技集团首席行业专家张智南在接受中国化工报记者专访时表示,勒索软件一般常用三种入侵方式:一是通过邮件,入侵者将邮件标题伪装成内部敏感信息,诱使工作人员打开,使得勒索病毒在工作终端被激活;二是通过网络钓鱼,攻击者将勒索软件植入到网站,当公司员工使用工作终端访问该网站时,勒索软件就被激活;三是通过利用漏洞,攻击者通过远程扫描发现目标公司网络和业务系统中可以被利用的漏洞,并获取权限,从而远程植入并激活勒索软件。科洛尼尔被勒索软件入侵也大概率是由于这三种方式之一。
据绿盟科技研究员分析,“阴暗面”使用的勒索软件可能应用了各种强加密模式,通过这种模式加密后的业务数据在没有解密密钥的情况下很难被恢复出来。最终公司被迫选择花钱消灾。
网络安全问题屡见不鲜
科洛尼尔遭遇的这次黑客攻击,可以说是美国关键性基础设备以及能源部门所遭遇到的最恶劣的网络入侵事件,在美国历史上尚属首次。美国对于此次事件明显准备不足,不仅没有做好网络安全保卫和紧急补救措施,也没有一套合理的应急性预案。
网络攻击被曝光后,多家美国媒体批评称,美国能源系统暴露出严重的网络安全防御隐患,基础设施网络脆弱无力,极为容易因攻击而崩溃。就在4月下旬,拜登政府刚刚出台一项提振能源供应体系网络安全的“百日计划”。结果话音未落,美国的能源系统就因为黑客攻击而陷入乱局,这令美国政府十分尴尬。
对此,美国总统拜登立即发布了多项命令,加固国家网络安全。拜登表示,美国政府正在密切追踪这起攻击,并将与民间石油和天然气领域以及其他领域一起推进网络安全倡议。为了加强安全,美国将进一步规范商业软件的网络安全标准,确保软件及时更新;所有美国联邦政府正在使用的软件,都必须在未来九个月内通过更新达到最新标准。拜登还要求,所有与政府存在业务往来的软件,其开发人员必须公开其安全数据。美国政府还会更重视加密验证,并建立新的网络安全审查委员会,以更专业地应对网络攻击的事件,降低各种损失,避免同样的问题再度出现。
近年来,全球能源设施多次暴露出信息安全问题,其中不少是黑客组织有目的性的网络攻击。2012年沙特阿美石油供应商遭遇网络攻击,针对能源部门的神秘恶意软件Shamoon删除了该公司3.5万余台计算机系统的数据。2015年圣诞节前夕,乌克兰首都基辅等地区电网遭遇黑客攻击,140万名居民家中停电。2017年,两款勒索软件在全球范围内肆意传播,造成惨重损失。2018年11月,中国化工集团旗下橡塑机械企业KM集团IT管理系统遭黑客入侵,备份服务器数据也被清除。2019年6月,比利时航空航天供应商ASCO工业公司再次遭到勒索软件攻击,四家工厂生产线被迫关闭。据统计,仅此次对科洛尼尔下手的黑客组织“阴暗面”过去3年就多次发动网络攻击,给西方国家造成数百亿美元损失。
另据日本NHK报道,“阴暗面”近日建立了一个暗网网站并发表声明表示,已入侵了东芝法国分公司的系统,并窃取了超740GB的管理信息、新业务以及个人数据等信息。
破题还需提升认识强化管理
看似固若金汤的能源网络体系,为什么总是漏洞不断,让黑客勒索屡试不爽?
张智南坦言,网络安全在很多企业看来是一个“只投入、不产出”的成本部门。只有企业的管理者网络安全意识比较强,注重加强网络和业务系统的防护,才能形成较好的防御能力。而有些企业的管理者网络安全意识相对淡薄,在网络安全方面很少投入或干脆不投入,网络和业务系统基本没有防护,就容易被攻击者所利用。
“我们常说,做好网络安全需要‘三分技术,七分管理’。勒索软件的传播往往是由于安全管理没有做到位。一是员工的网络安全意识不足,对钓鱼邮件、钓鱼网站没有足够重视,为勒索攻击的发生提供了入口。二是部分企业没有对重要业务系统的网络、主机和终端及时安装补丁文件消除漏洞,也会被攻击者所利用。三是在业务运行过程中,重要数据没有及时备份,当勒索软件加密业务数据后,无法及时恢复数据,导致业务被迫中断。”张智南告诉记者。
随着网络技术日新月异,新技术新应用层出不穷,各种信息安全行为也会不断进化。当网络安全事件造成能源危机等公共问题的时候,其安全问题就会变得更加尖锐和突出。
数据治理公司Veritas发布的2020年勒索软件恢复力报告显示,企业IT系统越复杂,越易遭受勒索攻击。根据Veritas调研,在过去一年,64%的全球企业数据安全策略未能跟上数字转型项目的步伐;61%遭受勒索攻击的公共事业企业支付过赎金。
张智南认为,通过此次事件,能源企业的管理者应该进一步认识到网络安全的重要性,特别是安全管理的重要性,将安全防护策略、安全管理制度落在实处,构建起切实运行的网络安全纵深防御技术体系和管理体系。
具体到防范勒索软件攻击层面,绿盟科技研究员给出如下建议:加强企业员工安全意识培训,不轻易打开陌生邮件或运行来历不明的程序;尽量避免危险端口对外开放,利用IPS、防火墙等设备对危险端口进行防护;开启Windows系统防火墙,通过ACL等方式,对RDP及SMB服务访问进行加固;通过Windows组策略配置账户锁定策略,对短时间内连续登陆失败的账户进行锁定;加强主机账户口令复杂度及修改周期管理,并尽量避免出现通用或规律口令的情况;修改系统管理员默认用户名,避免使用常见用户名;安装具备自保护的防病毒软件,防止被黑客退出或结束进程,并及时更新病毒库;及时更新操作系统及其他应用的高危漏洞安全补丁;定时对重要业务数据进行备份,防止数据破坏或丢失。