《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 從美國燃油管道關停事件對我國工業(yè)安全的反思

從美國燃油管道關停事件對我國工業(yè)安全的反思

2021-05-26
來源: 關鍵基礎設施安全應急響應中心
關鍵詞: 工業(yè)安全

  2021年5月8日美多家機構報道稱,美國最大的輸油管道公司之一,Colonial Pipeline遭受名為“DarkSide”攻擊團伙勒索攻擊之后被迫關閉,管道從德克薩斯州出發(fā),沿東海岸向紐約輸送精煉汽油和航空燃料,承載著美國東海岸45%的燃料供應,該公司七日晚間在一份聲明中說為了控制泄露已經關閉8851公里長的輸油管道。本事件造成美國原油飆漲4%,原油飆升1%,并對社會產生了很多不利因素。由于事態(tài)緊急白宮在當地時間9號宣布17州和華盛頓特區(qū)進入緊急狀態(tài)!

微信圖片_20210526151944.jpg

  一  勒索病毒攻擊流程

  1. 遠程訪問

  根據DarkSide歷來的攻擊手段分析,此次攻擊極有可能是收集了遠程桌面軟件的帳戶登錄詳細信息,并以此為突破口建立初始訪問權限,進行后續(xù)入侵。反觀工業(yè)現場一些工程師為了方便運維,通過TeamViewer這類的遠程連接工具進行遠程操作,在一定程度上提升了遠程賬號泄漏的可能性。

  2. 命令控制

  在入侵的目標服務器上安裝Tor客戶端或者瀏覽器,并使用Tor進行RDP會話連接(RDP Over Tor),并且在遠程控制方面會使用CobaltStrike進行后續(xù)操作。

  3. 橫向滲透

  以最初的失陷主機為跳板,通過偵查工具收集信息,攻擊者獲得管理員憑證后進行橫向滲透,進行DCSync攻擊,攻擊者假裝是合法的域控制器,并利用目錄復制服務復制AD信息,從而獲得了整個域(包括KRBTGT HASH)的密碼數據的訪問權限。工業(yè)環(huán)境里面工控主機被作為跳板機進行滲透攻擊的案例屢見不鮮,比如廣為人知的“震網事件”。

  4. 加密勒索

  在建立命令控制后門(Cobalt  Strike)后,勒索軟件會采取PowerShell腳本或者動態(tài)鏈接庫DLL進行下發(fā)。其中涉及到的Payload會在域控制器的共享文件夾中進行暫時存儲,并通過組策略調度任務指示主機獲取并執(zhí)行勒索軟件。


  二  勒索攻擊矛頭直指關鍵基礎設施

  關鍵信息基礎設施是指面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公用事業(yè)等重要行業(yè)運行的信息系統(tǒng)或工業(yè)控制系統(tǒng),且這些系統(tǒng)一旦發(fā)生網絡安全事故,會影響重要行業(yè)正常運行,對國家政治、經濟、科技、社會、文化、國防、環(huán)境以及人民生命財產造成嚴重損失。

  關鍵基礎設施的網絡安全形勢日趨嚴重,我國針對關鍵基礎設施安全也陸續(xù)出臺了多項辦法和要求。其中網絡安全法中指出,國家實行網絡安全等級保護制度,對于關基行業(yè)在網絡安全等級保護制度的基礎上,實行重點保護。

  關鍵基礎設施相關政策:

  2017年7月11日,《關鍵信息基礎設施安全保護條例(征求意見稿)》-國家互聯網信息辦公室

  2019年12月3日《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》(報批稿)試點工作啟動會-全國信息安全標準化技術委員會秘書處

  2020年4月27日,《網絡安全審查辦法》-國家互聯網信息辦公室、發(fā)展改革委、工業(yè)和信息化部等十二部門

  2020年9月3日,《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》(報批稿)發(fā)布-全國信息安全標準化技術委員會秘書處

  三  從攻擊視角進行工業(yè)互聯網內生安全建設

  病毒入侵方式

  1、通過移動存儲介質入侵

  2、通過辦公網和生產網等邊界入侵

  3、通過工控機等為跳板在內部網絡傳播

  工業(yè)互聯網內生安全防御體系

  奇安信創(chuàng)造性地提出安全產品的樂高化,將安全能力拆分成136個信息化組件,79類網絡安全組件,29個安全域場景,將安全能力深入融合進客戶的業(yè)務系統(tǒng)。在進工業(yè)互聯網內生安全建設過程中,做到同步規(guī)劃、同步建設、同步運營,為客戶建設一套自適應自成長,針對IT與OT融合場景的縱深防御體系。

  微信圖片_20210526152101.jpg

  在工業(yè)互聯網的架構下進行內生安全建設,筆者認為可以從以下幾方面進行:

  1、工業(yè)情景的安全建設需要打造全方位的白環(huán)境,采用白名單機制對工業(yè)現場進行邊界防護以及終端防護;

  2、防護策略的有效性以及日志的可追溯性需要更落地,工業(yè)安全設備需要支持工業(yè)點表信息,讓用戶真正看得懂日志和策略信息,實現面向業(yè)務的安全防護可視化;

  3、工業(yè)設備需要與現場實際業(yè)務更具關聯性,對現場的資產、漏洞、威脅進行一體化展示以及防護,對工業(yè)協議進行深度解析,對各業(yè)務點的訪問關系進行細顆粒審計及管控;

  4、提供單點登錄以及安全態(tài)勢感知的方案,對工控核心區(qū)域以及安全態(tài)勢進行統(tǒng)一運維管理。


微信圖片_20210517164139.jpg

本站內容除特別聲明的原創(chuàng)文章之外,轉載內容只為傳遞更多信息,并不代表本網站贊同其觀點。轉載的所有的文章、圖片、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯系確認版權者。如涉及作品內容、版權和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經濟損失。聯系電話:010-82306118;郵箱:aet@chinaaet.com。