导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求

  • A+
所属分类:云安全

导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求


背景回顾

2021年5月7日,美国最大输油管道公司Colonial Pipeline遭勒索软件攻击,导致其被迫关闭管道系统。


截至发稿前,Colonial称已通报了联邦当局,并雇用了FireEye公司进行事件调查。在管道关闭的第三天,Colonial表示正在制定系统重启计划,同时使其四个主要输油管线保持离线状态。该公司表示,只有在确保完全安全且符合所有联邦法规的批准后,才会将其系统重新上线。


美国宣布进入紧急状态的消息一出,全球的网络安全领域都在关注此事。据报道称,Colonial公司每天向美国东部运输25亿桶石油,并与30座炼油厂和近300个分销终端相连。它从德克萨斯州向东北部运送天然气和其他燃料,约占东海岸消耗燃料的45%。


昨天早些时候,拜登政府针针对此事件出台紧急豁免,因为担心输送短缺对石油和天然气价格构成上行压力,因此解除了对公路燃料运输的限制,Colonial公司对美国关键基础设施及国家安全的重要性显而易见。美国商务部长Gina Raimondo称,总统已经听取了简报,此时乃是应当“齐心协力,上下一心”的情况,以确保勒索攻击不会中断美国的石油供应。


多个消息源将攻击者确定为DarkSide组织,这是一家东欧的网络犯罪勒索团伙。最新消息称,DarkSide勒索团伙承认他们是造成美国“断油”事件的元凶


一个大问题是Colonial能够以多快的速度制定其重启计划。


ICS网络安全和部门负责人,FBI InfraGard部门负责人Marc Ayala称:

没有简单的电灯开关或按钮即可神奇地重启和恢复操作。

即使还有其他问题尚待解决,Colonial公司勒索事件也为ICS企业应如何应对网络攻击提供了一些经验教训。



深入了解OT系统可能加快重启速度

缺乏对OT系统安全状态的了解可能是导致Colonial停运的主要原因。


Marc Ayala提到:

该事件最大的问题是不清楚影响的深度、范围和广度。停止运营是一个明确的信号,表明他们对当前的运营流程、安全系统和安全环境不信任。


在一份给客户的说明中,Marc Ayala预测,Colonial恢复运营将需要48到84个小时或更长时间。


网络安全公司Tenable的安全运营副总裁Marty Edwards也是在ICS-CERT任职时间最长的董事,对此观点表示赞同:

他们(指ICS运营者,如本次事件的主角Colonial)需要对环境有足够的了解,才能知道实际影响的范围。通常情况下,关键基础设施所有者和运营商根本没有足够的可见性,尤其是在这些操作技术和工业控制系统环境中。


更好的细分可以避免停机

为了避免类似的操作系统停机,ICS组织应集中精力更好地划分功能和网络。


Marc Ayala提到:

应该有明确而适当的细分,必须从架构层面进行重构。我们得知道如何做出反应,IT到OT的分界不清晰是我们面临的最大威胁之一。


在寻找受感染的组件并尽快隔离它们以加快恢复正常操作的过程中,分段就发挥了作用。Marty Edwards表示:

ICS组织必须具有这种实时的可见性,如果某件事开始影响你在一个地理区域内的运行时,必须能够快速进入系统并找出可能存在漏洞的其他地方,并将这些系统分段并隔离。



攻击透明度至关重要

ICS组织需要考虑的另一个关键因素是围绕勒索攻击事件的治理策略,尤其是在事前阶段。整理有效的通信策略,为攻击的后果做准备。Marty Edwards称:

我总是鼓励组织尽可能多地提高透明度。对于这类事件,他们应预先准备经过审核的保留声明、新闻稿等,以便首席信息安全官接到电话时可以从容应对。


ICS组织还应针对如何管理此类勒索攻击制定详尽的计划。如果公司拥有经过良好测试和维护的容灾备份计划,且对所有这些类型的系统都有良好的备份,那么他们就有信心可以隔离事件,并在尽可能短的时间内恢复。


与政府合作很重要

Marc Ayala在与联邦政府的合作中给予了Colonial很高的评价。从长远来看,政府机构应该在为此类事件做准备中发挥更关键的作用。


Marty Edwards称:

我们已经说了很长时间了,必须是真正的伙伴关系。我不会把“伙伴关系”这个词定义为信息共享计划之类的东西。我们需要将私营部门和联邦政府结合起来,政府非常实诚地提出了一系列的解决方案。


转自:FreeBuf.COM

招聘啦!招聘啦!招聘啦!

导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求    


安全运维工程师可点击链接   招聘啦!安全运维工程师们看这里!  了解详情。

安全产品运营专家、开发工程师可点击链接 招聘ing|我们在中国电信研究院等你!了解详情。



本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。

导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求
安全帮®大讲堂经典回顾


大讲堂—浅析《信息安全保障》

大讲堂—速读《网络安全法》

大讲堂—分布式流处理平台:KAFKA

大讲堂—网络协议安全,这些你不可不知

大讲堂—当威胁检测技术跟上了AI的脚步

大讲堂—企业求生之道:如何有效进行安全风险管理

大讲堂—逆向分析技术知多少?

大讲堂—关于Spark的那些事

大讲堂—浅析Hadoop!

大讲堂—MyBatis简介与入门

大讲堂—LSTM算法原理及应用

导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求


关于安全帮®


安全帮®,是中国电信研究院安全工程研究中心旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

联系方式:微信公众号留言或联系客服QQ3025437891




导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求

本文始发于微信公众号(安全帮):导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: