能源行业再成攻击重灾区：世界最大石油公司1TB数据遭泄露，被勒索5000万美金

 

这一两年，黑客对能源行业的攻击尤其频繁。最新的受害者，是世界最大的石油生产公司沙特阿美。

就在半个月前，外媒 Bleepingcomputer 报道称，一个 ID 为 ZeroX 的勒索者疑似采用 0day 漏洞攻击，窃取沙特阿美 1TB 的企业数据资源。根据该 ID 在暗网论坛上发布的帖子，本次泄露的数据涉及 14,254 名员工的完整信息，企业内部分析报告、定价表，炼油厂位置，企业相关系统项目规范，以及最重要的客户数据等敏感信息，数据范围最早可追溯到 1993 年，横跨 28 年之久。

按照惯例，勒索者给沙特阿美留了 662 个小时（约为 28 天）的有效期，并要求支付 5,000 万美元的门罗币（一种很难被政府追踪的加密货币），否则就以 500 万美元的价格将其出售。这也成为了继 2012 年沙特阿美遭黑客入侵，3.5 万台计算机受影响，75% 的公司电脑数据被删除后，再次出现大规模数据泄露。

而近两年来能源行业被攻击的大型企业，远不只有沙特阿美这一家：

·

2021年6月

美国最大的丙烷供应商、在美国50个州服务超过200万客户的 AmeriGas 自爆遭遇数据泄露威胁。

·

2021年5月

美国最大的成品油管道运营商、运输 45% 东海岸燃料的 Colonial Pipeline，遭勒索软件组织 DarkSide 攻击，被要求支付500万美元赎金。

·

2020年9月

巴基斯坦最大的私人电力供应商 K-Electric 遭到 Netwalker 勒索软件攻击，大批未加密文件泄露，被索要380万美元赎金。

·

2020年6月

巴西电力公司 Light S.A 遭黑客勒索，被要求提供1400万美元赎金。

·

2020年4月

葡萄牙最大能源企业、全球第四大风能运营商 EDP 公司遭勒索软件攻击，发生数据泄露，损失近1000万欧元......

据统计，自2020年至今，能源行业因网络攻击遭受的损失已经超过5.5亿元。受到攻击的企业无一例外都是能源行业的巨头，业务范围覆盖整个国家，或遍及世界各地，破坏力相比往年呈现指数级增长。

 能源企业安全内忧外患：安全防御能力弱，黑客攻击手段丰富

 

与IT互联网不同，能源行业关系国家基础设施建设，尤其以电力、石化为代表的系统在日常生活中更扮演着绝对关键的角色，任何一次攻击，都可能让社会运转陷入停滞。根据德勤发布的报告称，如果黑客控制了一个海上开发井的水泥浆数据，通过关闭海上钻井的实时监控，或者只是推迟防喷数据的传递，就能轻易引发一场难以预料的环境灾难。

 

同时，在能源行业数字化的过程中，不得不面对另一个现实：整体网络安全防御体系成熟度仍然很低，在数据保护层面存在明显的管理与技术短板。黑客的任何攻击方式，都是一把超级锋利的匕首，能够轻松侵入企业系统。

通常来说，攻击者会采用水坑攻击、钓鱼邮件，以及能源行业基础设施存在的漏洞，如SMB协议漏洞，物联网设备漏洞、第三方组件漏洞、工业控制系统漏洞、电力设施漏洞、网络设备漏洞、云环境漏洞、中间件漏洞等等方式，对企业发起攻击。

其中，0day漏洞、钓鱼邮件、弱口令攻击，是黑客攻击能源行业的常用招数。0day漏洞攻击杀伤力大，大多数情况下可以一击即中，企业只能通过及时打补丁，及时更新系统版本，采取事后补救；钓鱼邮件攻击，则是采取欺骗手段，诱使用户点击正文恶意链接或打开附件，植入木马或间谍程序，从而窃取敏感数据，是最容易造成数据泄露的攻击方式；弱口令攻击也是黑客常用的方式，黑客只需简单爆破，就能破解员工账户弱口令，轻松进入企业内部系统，窃取企业重要数据，攻击效率极高。

此外，勒索软件也是黑客经常对能源行业发起的攻击方式，由于该方式变种多，传染性与破坏性极强，难以追踪和查杀，已形成产业化攻击链条，成为了企业的重大安全威胁。

企业如何保护自己免遭数据泄露

2021年，国家将数据保护提到了新的高度。6月10日，《中华人民共和国数据安全法》正式通过，并将于9月1日正式实施。其中，关系国家安全、国民经济命脉、重要民生、重大公共利益等数据，属于国家核心数据，实行更加严格的管理制度。加强能源行业数据保护，相当于国家从法律层面提出了要求。

数据安全态势严峻，传统防火墙、反病毒软件，入侵检测等安全措施，难以独立应对攻击，企业该如何应对？我们建议从技术和防范策略两个方面，来提升企业的数据保护能力：

（一）通过微步在线威胁感知平台TDP，做好数据风险防范

 

1. 弱口令常态化检测。弱口令是企业当前面临的重大安全威胁之一，尤其传统行业企业员工，缺乏安全意识，使用简单密码或多个平台使用相同密码、用公司账户注册外部平台，增加了企业账号密码遭爆破、数据泄露的风险。对此，可以通过微步在线威胁感知平台TDP进行常态化弱口令检测，发现企业内网邮箱账号弱口令，防止密码爆破风险；

2. 做好API管理。敏感数据泄露，最主要的途径是通过API接口。由于人员精力不足，企业通过人工去做好接口管理，实操中很难实现。TDP威胁感知平台以旁路镜像方式监听流量，接入所有出口流量，能够发现企业忽略或未纳入管理的对外接口，发现敏感信息，并及时进行IP封禁处理；

3. 明文敏感信息与API风险监控。通过TDP威胁感知平台，直接监控“明文敏感信息”与“API风险”。平台记录接口返回明文敏感信息，记录用户IP、访问次数等关键信息。通过监测企业API接口访问次数、单个用户数据、访问次数、访问时间段等，从不同维度展现分析，为企业人员采取安全措施，提供决策依据。

（二）优化防护策略，提升数据安全

 

1. 对企业数据，按重要程度与业务范围进行分类分级，严格管控数据输出及披露权限和范围；

2. 明确企业数据存储形态，制定数据存储安全防护方案，严格控制存储位置、传播及使用方式；

3. 制定符合需求的数据控制策略，明确控制机制与控制对象；

4. 针对网络外发行为，可在网络出口部署数据泄露监测设备，对外发数据实时监测，分析流经网络数据，检测违反网络安全策略的敏感数据，及时阻止敏感数据外泄；

5. 对于部署邮件代理服务器、以邮件进行信息交互的单位或企业，可针对性部署邮件数据泄露防护产品，通过与邮件代理服务器联动，获取邮件文本信息并进行策略匹配。而对于部署代理服务器访问互联网的用户，可不改变网络架构，通过防护设备与代理服务器联动方式监测数据，进行内容解析与策略匹配，实现敏感事件发现与阻断；

6. 建立详细规范的安全管理制度和员工电脑使用规范；

7. 制定网络数据泄露的防护方案，外泄事件全面溯源方案，并建立数据泄露事件响应机制；

8. 做好企业数据安全防护措施，部署企业 IT 系统安全防护；

9. 定期组织员工数据安全培训，加强员工数据保护安全意识。

当数据泄露出现时，我们大多数都是旁观者，但我们不会一直都是旁观者，因为我们可能不知道自己的哪一个弱点会被利用。所以不要只是抱着旁观者的心态去看待，智者早已在攻击到来之前，修好了堡垒，打磨出了锋利的兵器。

 

安全传送门

想进一步了解如何做好数据安全防护

欢迎长按二维码联系我们

· END ·

点击下方名片，关注我们

觉得内容不错，就点下“赞”和“在看”

如果不想错过新的内容推送，可以设为星标  哦

戳“阅读原文”，了解威胁感知平台TDP

↙↙↙

本文始发于微信公众号（安全威胁情报）：能源行业再成攻击重灾区：世界最大石油公司1TB数据遭泄露，被勒索5000万美金