2021年5月8日美多家機(jī)構(gòu)報道稱，美國最大的輸油管道公司之一，Colonial Pipeline遭受名為“DarkSide”攻擊團(tuán)伙勒索攻擊之后被迫關(guān)閉，管道從德克薩斯州出發(fā)，沿東海岸向紐約輸送精煉汽油和航空燃料，承載著美國東海岸45%的燃料供應(yīng)，該公司七日晚間在一份聲明中說為了控制泄露已經(jīng)關(guān)閉8851公里長的輸油管道。本事件造成美國原油飆漲4%，原油飆升1%，并對社會產(chǎn)生了很多不利因素。由于事態(tài)緊急白宮在當(dāng)?shù)貢r間9號宣布17州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)！

　　一  勒索病毒攻擊流程

　　1. 遠(yuǎn)程訪問

　　根據(jù)DarkSide歷來的攻擊手段分析，此次攻擊極有可能是收集了遠(yuǎn)程桌面軟件的帳戶登錄詳細(xì)信息，并以此為突破口建立初始訪問權(quán)限，進(jìn)行后續(xù)入侵。反觀工業(yè)現(xiàn)場一些工程師為了方便運(yùn)維，通過TeamViewer這類的遠(yuǎn)程連接工具進(jìn)行遠(yuǎn)程操作，在一定程度上提升了遠(yuǎn)程賬號泄漏的可能性。

　　2. 命令控制

　　在入侵的目標(biāo)服務(wù)器上安裝Tor客戶端或者瀏覽器，并使用Tor進(jìn)行RDP會話連接（RDP Over Tor），并且在遠(yuǎn)程控制方面會使用CobaltStrike進(jìn)行后續(xù)操作。

　　3. 橫向滲透

　　以最初的失陷主機(jī)為跳板，通過偵查工具收集信息，攻擊者獲得管理員憑證后進(jìn)行橫向滲透，進(jìn)行DCSync攻擊，攻擊者假裝是合法的域控制器，并利用目錄復(fù)制服務(wù)復(fù)制AD信息，從而獲得了整個域（包括KRBTGT HASH）的密碼數(shù)據(jù)的訪問權(quán)限。工業(yè)環(huán)境里面工控主機(jī)被作為跳板機(jī)進(jìn)行滲透攻擊的案例屢見不鮮，比如廣為人知的“震網(wǎng)事件”。

　　4. 加密勒索

　　在建立命令控制后門（Cobalt  Strike）后，勒索軟件會采取PowerShell腳本或者動態(tài)鏈接庫DLL進(jìn)行下發(fā)。其中涉及到的Payload會在域控制器的共享文件夾中進(jìn)行暫時存儲，并通過組策略調(diào)度任務(wù)指示主機(jī)獲取并執(zhí)行勒索軟件。

　　二  勒索攻擊矛頭直指關(guān)鍵基礎(chǔ)設(shè)施

　　關(guān)鍵信息基礎(chǔ)設(shè)施是指面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運(yùn)行的信息系統(tǒng)或工業(yè)控制系統(tǒng)，且這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故，會影響重要行業(yè)正常運(yùn)行，對國家政治、經(jīng)濟(jì)、科技、社會、文化、國防、環(huán)境以及人民生命財產(chǎn)造成嚴(yán)重?fù)p失。

　　關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全形勢日趨嚴(yán)重，我國針對關(guān)鍵基礎(chǔ)設(shè)施安全也陸續(xù)出臺了多項(xiàng)辦法和要求。其中網(wǎng)絡(luò)安全法中指出，國家實(shí)行網(wǎng)絡(luò)安全等級保護(hù)制度，對于關(guān)基行業(yè)在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。

　　關(guān)鍵基礎(chǔ)設(shè)施相關(guān)政策：

　　2017年7月11日，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》-國家互聯(lián)網(wǎng)信息辦公室

　　2019年12月3日《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》（報批稿）試點(diǎn)工作啟動會-全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處

　　2020年4月27日，《網(wǎng)絡(luò)安全審查辦法》-國家互聯(lián)網(wǎng)信息辦公室、發(fā)展改革委、工業(yè)和信息化部等十二部門

　　2020年9月3日，《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》（報批稿）發(fā)布-全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會秘書處

　　三  從攻擊視角進(jìn)行工業(yè)互聯(lián)網(wǎng)內(nèi)生安全建設(shè)

　　病毒入侵方式

　　1、通過移動存儲介質(zhì)入侵

　　2、通過辦公網(wǎng)和生產(chǎn)網(wǎng)等邊界入侵

　　3、通過工控機(jī)等為跳板在內(nèi)部網(wǎng)絡(luò)傳播

　　工業(yè)互聯(lián)網(wǎng)內(nèi)生安全防御體系

　　奇安信創(chuàng)造性地提出安全產(chǎn)品的樂高化，將安全能力拆分成136個信息化組件，79類網(wǎng)絡(luò)安全組件，29個安全域場景，將安全能力深入融合進(jìn)客戶的業(yè)務(wù)系統(tǒng)。在進(jìn)工業(yè)互聯(lián)網(wǎng)內(nèi)生安全建設(shè)過程中，做到同步規(guī)劃、同步建設(shè)、同步運(yùn)營，為客戶建設(shè)一套自適應(yīng)自成長，針對IT與OT融合場景的縱深防御體系。

　　在工業(yè)互聯(lián)網(wǎng)的架構(gòu)下進(jìn)行內(nèi)生安全建設(shè)，筆者認(rèn)為可以從以下幾方面進(jìn)行：

　　1、工業(yè)情景的安全建設(shè)需要打造全方位的白環(huán)境，采用白名單機(jī)制對工業(yè)現(xiàn)場進(jìn)行邊界防護(hù)以及終端防護(hù)；

　　2、防護(hù)策略的有效性以及日志的可追溯性需要更落地，工業(yè)安全設(shè)備需要支持工業(yè)點(diǎn)表信息，讓用戶真正看得懂日志和策略信息，實(shí)現(xiàn)面向業(yè)務(wù)的安全防護(hù)可視化；

　　3、工業(yè)設(shè)備需要與現(xiàn)場實(shí)際業(yè)務(wù)更具關(guān)聯(lián)性，對現(xiàn)場的資產(chǎn)、漏洞、威脅進(jìn)行一體化展示以及防護(hù)，對工業(yè)協(xié)議進(jìn)行深度解析，對各業(yè)務(wù)點(diǎn)的訪問關(guān)系進(jìn)行細(xì)顆粒審計(jì)及管控；

　　4、提供單點(diǎn)登錄以及安全態(tài)勢感知的方案，對工控核心區(qū)域以及安全態(tài)勢進(jìn)行統(tǒng)一運(yùn)維管理。