Facebook Google Plus Twitter LinkedIn YouTube RSS 菜单 搜索 资源 - 博客资源 - 网络研讨会资源 - 报告资源 - 活动icons_066 icons_067icons_068icons_069icons_070

Tenable 博客

订阅
  • Twitter
  • Facebook
  • LinkedIn

Colonial Pipeline 勒索软件攻击: 如何降低 OT 环境中的风险

Colonial Pipeline 勒索软件攻击: 如何降低 OT 环境中的风险

运营技术 (OT) 环境现在应当让网络维护成为与系统和设备的机械维护同等常规的做法,采取更积极主动的方法来解决网络安全问题。

一家在美国东海岸油气供应中占重要份额的油气供应商在遭遇一起经报道的勒索软件攻击事件后于 5 月 8 日出现停摆。 遭到攻击的是 5500 英里长的 Colonial Pipeline 管道,该管道提供了东海岸 45% 的石油和天然气。此次攻击还仅仅是针对石油和天然气行业攻击的冰山一角,而该行业正是美国确定的 16 个重要基础设施领域之一。美国国土安全部

油气管道的关闭或中断会引起媒体的广泛关注,这并不奇怪。但这次攻击也回避了一个问题:我们的重要基础设施究竟有多容易受到攻击?

Colonial Pipeline 勒索软件攻击如何确保重要基础设施的安全

来源:Colonial Pipeline

不断变化的运营技术范式

虽然石油和天然气企业所需的运营技术 (OT) 曾保持孤立和“物理隔离”状态,但如今这些系统越来越多地与 IT 基础设施和互联网连接,打开了新的攻击途径。在这种融合造就的环境中,石油和天然气企业的一切方面都可能容易受到来自 IT 或 OT 端的攻击,从而打开了横向移动的可能性。

此外,许多勒索软件攻击都会在初始渗透后利用 Active Directory (AD) 执行横向移动和特权提升,而新的恶意软件也越来越多地包含针对 AD 错误配置的代码。AD 已成为攻击者最喜欢的攻击目标,通过利用已知缺陷和错误配置,攻击者就能提升权限并进行横向移动。不幸的是,由于域的复杂度增加而造成错误配置越积越多,大多数企业便很难确保 Active Directory 的安全性,让安全团队无法在这些缺陷成为影响业务的问题之前将其找出并修复。

针对 Colonial Pipeline 的攻击还仅仅是近期针对全球石油和天然气企业的一系列攻击活动中最近的一次。这些攻击包括:

  • 2018 年 12 月,意大利石油和天然气工业承包商 Saipem(萨伊博姆)成为网络攻击受害者,其位于中东、印度、苏格兰阿伯丁和意大利的服务器均遭攻击。
  • 2018 年 4 月的一场针对共享数据网络的网络攻击,迫使美国四家天然气管道运营商暂时关闭与客户间的计算机通信。
  • 2020 年 2 月,一家美国天然气工厂遭到了网络攻击,IT 和 OT 网络同时被加密,导致人机界面 (HMI)、数据历史和轮询服务器的访问权限遭锁定, 管道被迫关闭两天。

监管合规性并不等于安全

从我们处理 OT 环境的经验中,我们发现很多企业会认为监管合规性等同于安全。虽然我们并没有认定 Colonial Pipeline 也是同样的情况,但我们确实认为,该行业中的所有企业都有必要考虑对其网络安全战略采取更开阔的视野。 

与石油和天然气行业相关的安全保障标准共有五个,都要求企业建立安全基层。该层包括资产清单、安全管理控制和漏洞管理系统。虽然我们支持采用监管的方法,并认为合规性值得称赞,但我们认为遵守这些准则只是健全网络安全战略的开始。

原因是:监管标准的颁布、制定和实施无法跟上迅速扩大的攻击面以及攻击者适应的速度。因此,我们不能假定“合规性”意味着企业已经实现了“安全”。我们如果希望确保重要基础设施的安全,防止发生类似影响到 Colonial Pipeline 的攻击,就必须不止于满足合规性。

5 个与油气行业相关的安全保障标准

API 标准 1164 - NIST CSF 和 IEC 62443 未涵盖的管道特有标准。

旨在改善重要基础设施网络安全的美国国家标准与技术研究院 (NIST) 网络安全框架 (NIST CSF) - 所有工业领域公司普遍采用的优秀框架;天然气和石油公司越来越多地开始围绕 NIST CSF 实施企业级项目。

能源部门网络安全能力成熟度模型 - 一套自发性流程,采用行业公认的最佳实践来度量企业网络安全能力成熟度并加强运营。

国际电工委员会 (IEC) 62443 - 工业控制系统 (ICS) 安全系列标准;得到天然气和石油行业生产部门的广泛采用;适用于任何类型的天然气和石油 ICS。

国际标准化组织 ISO 27000 - 该系列中的首要标准提供了信息安全管理系统 (ISMS) 所需满足的要求。

如何阻止 OT 安全威胁

讽刺的是,对付网络攻击最不理想的时机之一就是攻击发生时。在接下来的几天和几周内,我们无疑将了解更多有关这次攻击过程的细节,以及攻击造成的损失和破坏。如果重要基础设施企业希望摆脱被动应对攻击的网络救火模式,就需要把精力集中于通过在攻击发生之前阻断攻击来先发制人。

许多工业环境,包括石油和天然气行业,都非常熟悉对设备进行日常维护。无论是更换轴承、过滤器还是液体,进行维护的目的都在于避免由于所谓的“故障后检修”而导致灾难性的设备故障。定期维护省钱又省心,避免了资源的分流。

那么,企业何不对其 OT 系统的网络安全也采取相同类型的定期维护呢?

对 OT 基础设施采取“维护”方法意味着需要对使用这些机器的可编程逻辑控制器 (PLC)、分布式控制系统 (DCS)、HMI 和其他 OT 设备执行适当的网络安全机制。定期执行网络安全机制可以阻止危险行为、关闭“突破口”并减少可利用的漏洞数量,从而降低 OT 威胁。

在威胁发生之前减少威胁要求:

  • 获得整个攻击面(包括 IT 和 OT 系统)的可见性;
  • 在设备和网络层面部署深度安全措施;以及 

  • 通过管理配置更改重新建立控制。

企业需要在 OT 基础设施和 Active Directory 中都建立适当的网络安全机制,以减少其网络风险暴露 ,并确保在攻击者成功提升特权、穿越网络并发动勒索软件攻击之前切断攻击路径。这些工作可以帮助所有重要基础设施和制造业企业避免被动应对可能导致运营中断,甚至可能危及他人生命的安全危机。

了解详情

相关文章

您是否易受最新漏洞利用的攻击?

输入您的电子邮件以在收件箱中接收最新的 Cyber Exposure 警报。

免费试用 立即购买

选择 Tenable.io

免费试用 30 天

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即注册。

立即购买 Tenable.io

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

65 项资产

选择您的订阅选项:

立即购买
免费试用 立即购买

免费试用 Nessus Professional

免费试用 7 天

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买 Nessus Professional

Nessus® 是当今市场上功能最全面的漏洞扫描器。Nessus Professional 可帮助自动化漏洞扫描流程、节省合规周期的时间,并让您调动起 IT 团队的积极性。

购买多年期许可,即享优惠价格添加高级支持功能,获取一年 365 天、一天 24 小时的电话、社区和聊天支持。完整介绍请见此处。

免费试用 立即购买

试用 Tenable.io Web Application Scanning

免费试用 30 天

完整享有专为现代化应用程序而设、属于 Tenable.io 平台组成部分的最新 Web 应用程序扫描功能。可安全扫描全部在线资产组合的漏洞,具有高度准确性,而且无需繁重的手动操作或中断关键的 Web 应用程序。 立即注册。

购买 Tenable.io Web Application Scanning

可全面访问基于云的现代化漏洞管理平台,从而以无可比拟的精确度发现并追踪所有资产。 立即购买年度订阅。

5 个 FQDN

$3,578

立即购买

免费试用 联系销售人员

试用 Tenable.io Container Security

免费试用 30 天

完整获得已集成至漏洞管理平台之唯一容器安全产品的功能。监控容器映像中的漏洞、恶意软件和策略违规。与持续集成和持续部署 (CI/CD) 系统进行整合,以支持 DevOps 实践、增强安全性并支持企业政策合规。

购买 Tenable.io Container Security

Tenable.io Container Security 经由与构建流程的集成,可供全面了解容器映像的安全性,包括漏洞、恶意软件和策略违规,借以无缝且安全地启用 DevOps 流程。

获取演示

获取 Tenable.sc 演示

请将您的联系方式填写在下方表格中,我们的销售代表很快与您联系安排演示。您也可以写下简短评论(不得超过 255 个字符)。请注意,带星号 (*) 的字段为必填项。

免费试用 联系销售人员

试用 Tenable Lumin

免费试用 30 天

通过 Tenable Lumin 直观呈现及探索 Cyber Exposure,长期追踪风险降低状况,并比照同行业者进行基准度量。

购买 Tenable Lumin

联系销售代表,了解 Lumin 如何帮助获取整个企业的洞见并管理网络安全风险。

申请演示

申请演示 Tenable.ot

获得符合需求的运营技术安全性。
降低避之不及的风险。

申请演示

Tenable.ad

持续检测并响应 Active Directory 攻击事件。无需代理。无需权限账号。本地私有化或云端部署。