2021年5月,美国较大的燃油管道运营商Colonial Pipeline遭到勒索软件攻击,导致其无法正常运营并被迫关闭了长达5500英里的输油管道系统。这次攻击使美国东海岸多个州的汽油供应出现紧张局面,民众恐慌性抢购导致大量加油站燃油告罄。Colonial Pipeline最终向攻击者支付了约440万美元的赎金。这起事件是美国历史上影响较大的针对关键基础设施的网络攻击之一,其引发的能源供应危机让各国政府和企业都重新认识到网络攻击对国计民生的直接威胁。
事件导入
2021年5月7日,Colonial Pipeline发现其部分IT系统遭到勒索软件攻击,随后立即启动了应急响应程序。攻击者通过勒索软件加密了该公司的账单和计费系统,虽然物理管道控制系统没有被直接感染,但公司出于谨慎考虑主动关闭了整个管道系统以防止攻击扩散。这一决定导致从得克萨斯州到新泽西州的5500英里输油管道全线停运。美国东部和东南部多个州进入了紧急状态,油价的波动和加油站的长队成为了当时各地新闻的头版。管道在停运六天后才逐步恢复运营,而Colonial Pipeline在确认无法通过备份系统自行恢复后,向攻击者支付了约440万美元的比特币赎金。
泄密链路分析
调查显示攻击者是通过一个不再使用的旧VPN设备进入了Colonial Pipeline的内部网络。这台VPN设备已经停止使用,但并未从网络中移除,也没有关闭网络入口,导致它成了进入内网的一个后门。该VPN设备配置了远程访问功能,但未启用多因素认证,攻击者通过暴力破解或其他方式获得了该设备的登录密码。进入内部网络后,攻击者通过横向移动逐步扩大了对系统的控制,最终向多台服务器部署了勒索软件。值得关注的是,Colonial Pipeline虽然在管道控制系统和IT系统之间设置了隔离措施,但其IT系统本身的安全保护存在多个薄弱环节,包括老旧设备的清理不及时、远程访问的认证机制不完善以及内部网络安全监测能力不足。攻击者正是利用这些薄弱之处成功完成了从初始入侵到最终勒索的完整攻击链条。
企业启示
关键基础设施运营者的安全防护需要达到更高水平,因为其系统一旦受影响,可能对国计民生造成直接冲击。老旧设备的管理是不可忽视的安全隐患,企业在系统升级和替换时,需要确保旧系统已经彻底下线,而不是简单弃用但仍然接入网络。远程访问通道是攻击者经常使用的切入点,对这些通道进行安全加固,包括启用多因素认证、定期变更访问凭证和审查访问权限,是防止勒索软件攻击的基础工作。企业还需要提升内部网络的安全监测能力,在网络内及时发现和阻断异常活动。
行动建议
企业应当对网络中的所有设备进行一次全面清点,重点识别那些已停用但仍然保持网络连接的设备,并立即将其从网络中移除。对远程访问通道实施强制性的多因素认证,建立远程访问的安全基线配置标准并定期检查。提升网络安全监测能力,部署网络流量分析和端点检测系统,持续监控异常的网络行为和系统活动。建立应对关键系统停机的业务连续性预案,定期进行演练,确保在遭受攻击后能够尽快恢复关键业务功能。北京企密安为企业提供关键基础设施安全评估和勒索软件防护方案服务,帮助企业加强工业控制系统的安全保障能力,欢迎致电010-63711822或访问baomiwang.com。
FAQ
问:关键基础设施企业如何平衡业务连续性和安全防护的关系? 答:关键基础设施企业需要在业务连续性和安全防护之间建立平衡,在保障生产运营的同时,对IT系统和控制系统采取适当的安全保护措施。这包括实施网络分段、建立备用控制能力、制定应急响应预案并定期进行安全演练。
问:废弃设备和账户会带来哪些安全风险? 答:废弃但仍然保持网络连接的设备和账户是攻击者进入企业网络的重要入口。这些设备和账户往往不再进行维护和监控,存在未修复的安全漏洞,且缺少有效的访问控制和日志审计,容易被攻击者利用作为进入网络的跳板。
