在美國(guó)最大的精煉產(chǎn)品管道Colonial公司遭受毀滅性勒索攻擊后,美國(guó)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了一份關(guān)于勒索軟件對(duì)運(yùn)營(yíng)技術(shù)(OT)資產(chǎn)和工業(yè)控制系統(tǒng)(ICS)構(gòu)成威脅的情況通報(bào)。涉及俄羅斯網(wǎng)絡(luò)罪犯和黑暗面勒索軟件的殖民管道攻擊迫使該公司關(guān)閉了業(yè)務(wù)。這一事件產(chǎn)生了重大影響,包括各州宣布進(jìn)入緊急狀態(tài),天然氣暫時(shí)短缺,天然氣價(jià)格上漲。勒索攻擊已被美國(guó)、英國(guó)、澳大利亞等國(guó)視為國(guó)家安全的最大威脅。
CISA強(qiáng)調(diào)了網(wǎng)絡(luò)衛(wèi)生的重要性,這些基礎(chǔ)的安全能力部署到位,可以防范大部分的惡意攻擊。
CISA表示:“OT組件通常與信息技術(shù)(IT)網(wǎng)絡(luò)相連,為網(wǎng)絡(luò)參與者從IT轉(zhuǎn)向OT網(wǎng)絡(luò)提供了一條路徑?!薄拌b于關(guān)鍵基礎(chǔ)設(shè)施對(duì)國(guó)家安全和美國(guó)生活方式的重要性,可訪問(wèn)的OT資產(chǎn)是惡意網(wǎng)絡(luò)行為者的一個(gè)有吸引力的目標(biāo),這些行為者試圖破壞關(guān)鍵基礎(chǔ)設(shè)施,以獲取利潤(rùn)或進(jìn)一步實(shí)現(xiàn)其他目標(biāo)。正如最近的網(wǎng)絡(luò)事件所證明的那樣,影響IT網(wǎng)絡(luò)的入侵也會(huì)影響關(guān)鍵的操作流程,即使入侵不會(huì)直接影響OT網(wǎng)絡(luò)?!痹摍C(jī)構(gòu)已建議關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商采取措施,以解決勒索軟件攻擊的風(fēng)險(xiǎn)。
近日,CISA發(fā)布了一份3頁(yè)的簡(jiǎn)報(bào),總結(jié)了各組織應(yīng)該采取哪些措施來(lái)提高抵御勒索軟件攻擊的能力。在某些情況下,情況說(shuō)明書(shū)包括更詳細(xì)指導(dǎo)的鏈接。文檔為防范提供了建議,其中包括確定關(guān)鍵OT的依賴過(guò)程關(guān)鍵的IT基礎(chǔ)設(shè)施,并創(chuàng)建一個(gè)彈性情況下控制計(jì)劃,甚至手動(dòng)控制系統(tǒng)需要的措施,確保關(guān)鍵進(jìn)程的不間斷運(yùn)行。還建議制定一個(gè)事件響應(yīng)計(jì)劃并定期執(zhí)行檢驗(yàn)它,并且要有與可能受到勒索軟件攻擊的系統(tǒng)隔離的備份。
至于緩解措施,CISA建議實(shí)施良好的網(wǎng)絡(luò)衛(wèi)生,在IT和OT網(wǎng)絡(luò)之間實(shí)施健壯的細(xì)分,并實(shí)施持續(xù)和警惕的系統(tǒng)監(jiān)控計(jì)劃。在應(yīng)對(duì)可能影響ICS的勒索軟件攻擊時(shí),該機(jī)構(gòu)建議采取一系列步驟,包括確定哪些系統(tǒng)受到影響并將它們隔離,斷開(kāi)或關(guān)閉受影響的設(shè)備以防止勒索軟件傳播,對(duì)受影響的系統(tǒng)進(jìn)行分類恢復(fù)和完全恢復(fù),進(jìn)行初步調(diào)查,并尋求內(nèi)部和外部各方(包括CISA)的協(xié)助。
如果最初的緩解措施都不可行,CISA建議收集系統(tǒng)圖像、內(nèi)存轉(zhuǎn)儲(chǔ)和其他數(shù)字證據(jù),并咨詢執(zhí)法部門(mén),以確定是否有針對(duì)他們的勒索軟件的解密器。