在美國(guó)最大的精煉產(chǎn)品管道Colonial公司遭受毀滅性勒索攻擊后，美國(guó)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了一份關(guān)于勒索軟件對(duì)運(yùn)營(yíng)技術(shù)（OT）資產(chǎn)和工業(yè)控制系統(tǒng)（ICS）構(gòu)成威脅的情況通報(bào)。涉及俄羅斯網(wǎng)絡(luò)罪犯和黑暗面勒索軟件的殖民管道攻擊迫使該公司關(guān)閉了業(yè)務(wù)。這一事件產(chǎn)生了重大影響，包括各州宣布進(jìn)入緊急狀態(tài)，天然氣暫時(shí)短缺，天然氣價(jià)格上漲。勒索攻擊已被美國(guó)、英國(guó)、澳大利亞等國(guó)視為國(guó)家安全的最大威脅。

　　CISA強(qiáng)調(diào)了網(wǎng)絡(luò)衛(wèi)生的重要性，這些基礎(chǔ)的安全能力部署到位，可以防范大部分的惡意攻擊。

　　CISA表示：“OT組件通常與信息技術(shù)（IT）網(wǎng)絡(luò)相連，為網(wǎng)絡(luò)參與者從IT轉(zhuǎn)向OT網(wǎng)絡(luò)提供了一條路徑?！薄拌b于關(guān)鍵基礎(chǔ)設(shè)施對(duì)國(guó)家安全和美國(guó)生活方式的重要性，可訪問(wèn)的OT資產(chǎn)是惡意網(wǎng)絡(luò)行為者的一個(gè)有吸引力的目標(biāo)，這些行為者試圖破壞關(guān)鍵基礎(chǔ)設(shè)施，以獲取利潤(rùn)或進(jìn)一步實(shí)現(xiàn)其他目標(biāo)。正如最近的網(wǎng)絡(luò)事件所證明的那樣，影響IT網(wǎng)絡(luò)的入侵也會(huì)影響關(guān)鍵的操作流程，即使入侵不會(huì)直接影響OT網(wǎng)絡(luò)?！痹摍C(jī)構(gòu)已建議關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商采取措施，以解決勒索軟件攻擊的風(fēng)險(xiǎn)。

　　近日，CISA發(fā)布了一份3頁(yè)的簡(jiǎn)報(bào)，總結(jié)了各組織應(yīng)該采取哪些措施來(lái)提高抵御勒索軟件攻擊的能力。在某些情況下，情況說(shuō)明書(shū)包括更詳細(xì)指導(dǎo)的鏈接。文檔為防范提供了建議，其中包括確定關(guān)鍵OT的依賴過(guò)程關(guān)鍵的IT基礎(chǔ)設(shè)施，并創(chuàng)建一個(gè)彈性情況下控制計(jì)劃，甚至手動(dòng)控制系統(tǒng)需要的措施，確保關(guān)鍵進(jìn)程的不間斷運(yùn)行。還建議制定一個(gè)事件響應(yīng)計(jì)劃并定期執(zhí)行檢驗(yàn)它，并且要有與可能受到勒索軟件攻擊的系統(tǒng)隔離的備份。

　　至于緩解措施，CISA建議實(shí)施良好的網(wǎng)絡(luò)衛(wèi)生，在IT和OT網(wǎng)絡(luò)之間實(shí)施健壯的細(xì)分，并實(shí)施持續(xù)和警惕的系統(tǒng)監(jiān)控計(jì)劃。在應(yīng)對(duì)可能影響ICS的勒索軟件攻擊時(shí)，該機(jī)構(gòu)建議采取一系列步驟，包括確定哪些系統(tǒng)受到影響并將它們隔離，斷開(kāi)或關(guān)閉受影響的設(shè)備以防止勒索軟件傳播，對(duì)受影響的系統(tǒng)進(jìn)行分類恢復(fù)和完全恢復(fù)，進(jìn)行初步調(diào)查，并尋求內(nèi)部和外部各方（包括CISA）的協(xié)助。

　　如果最初的緩解措施都不可行，CISA建議收集系統(tǒng)圖像、內(nèi)存轉(zhuǎn)儲(chǔ)和其他數(shù)字證據(jù)，并咨詢執(zhí)法部門(mén)，以確定是否有針對(duì)他們的勒索軟件的解密器。