勒索软件攻击切断半个美国的燃油管道

上周六，Colonial Pipeline发表声明宣布遭遇网络攻击，导致部分IT系统停机，管道运营中断。上周日，该公司在声明更新中指出遭遇了勒索软件攻击，已经聘请第三方网络安全公司（据称是FireEye），对事件展开调查。

Colonial Pipeline在最新的声明中指出：

5月7日，Colonial Pipeline公司发现遭受网络攻击。此后，我们确定该事件涉及勒索软件。作为响应，我们主动使某些系统脱机以控制威胁，该攻击暂时停止了所有管道的运行，并影响了我们的某些IT系统。得知此问题后，一家领先的第三方网络安全公司被聘用，他们已经对该事件的性质和范围进行了调查，该调查正在进行中。我们已经联系了执法部门和其他联邦机构。

Colonial Pipeline正在采取步骤来理解和解决此问题。目前，我们的主要重点是安全高效地恢复服务以及努力恢复正常运行。此过程已经在进行中，我们正在努力解决此问题，并最大程度地减少对我们的客户以及那些依赖Colonial Pipeline的客户的干扰。

Colonial Pipeline是美国最大的成品油管道，每天通过管道系统输送超过1亿加仑的燃料，该管道系统连接得克萨斯州休斯顿和新泽西州林登，跨度长达5500多英里（下图），美国东海岸45%的燃料都由该管道系统提供，此外Colonial Pipeline还为美国军方提供精炼石油产品，例如汽油、柴油、喷气燃料。

2019年，政府问责局（GAO）的审计显示，美国国土安全部（DHS）的运输安全管理局（TSA）需要解决其管道安全计划中的重大管理缺陷。

值得注意的是，近期美国政府一再警告针对政府实体和关键基础设施部门（包括能源、核能、供水、航空和关键制造业）的针对性攻击正在激增。

就在Colonial Pipeline遭遇攻击之前数日，美国国家安全局（NSA）和网络安全与基础设施安全局（CISA）刚刚发布了新的网络安全风险公告（链接在文末），指出在所有16个关键基础设施领域中即将出现严重威胁，并提供了详细的建议，包括如何保护工控系统的OT网络环境，并强烈建议立即创建准确的，可操作的OT网络图。

所谓OT网络图，就是所有OT、物联网、工业IoT（IIoT）资产、流程、连接路径和用户活动的图谱和清单。

但是工控系统，尤其是OT网络，依然存在让全球工控系统安全团队头痛的四大难题：

• 缺乏标准化。OT网络通常由已存在数十年的OT资产组成，并与各种现代资产一起工作。不仅增加了复杂性，而且往往运营在地理上分散在多个地点，其中一些地点位于偏远地区，如能源或采矿部门。

  
  

• 停机时间容忍度低。运行这些网络的团队优先考虑可用性而不是机密性。传统的IT资产发现工具尝试与OT资产进行通信时，会产生超过工控网络负载的流量，带来的中断和停机风险是无法避免的。

  
  

• 专有协议。OT资产使用各种专有的、特定于供应商的协议进行通信。鉴于OT协议的绝对数量、兼容性和覆盖范围，资产发现需要大量的投资和精力。

  
  

• 远程用户活动。VPN等许多传统的远程访问解决方案对远程用户操作的可见性有限，这使其不适用于处理工业环境。

网络安全公司CI Security的首席安全官迈克·汉密尔顿指出，Colonial Pipeline的燃气管道已被定性为关键基础设施。故意破坏或破坏这些系统可被视为恐怖主义行为。此事件不排除是国家黑客以勒索软件作为掩护实施攻击。

美国天然气管道运营商上一次遭受攻击是2014年，当时美国几家天然气管道运营商的第三方通信系统遭到网络攻击，影响了OT网络的运营。美国国土安全部最早曾在2012年发布警告说，不法分子已经将天然气行业作为攻击目标。

https://media.defense.gov/2021/Apr/29/2002630479/-1/-1/1/CSA_STOP-MCA-AGAINST-OT_UOO13672321.PDF