突發(fā)
央視新聞報道,當(dāng)?shù)貢r間5月9日����,美國聯(lián)邦政府交通部聯(lián)邦汽車運輸安全管理局宣布美國17個州和華盛頓特區(qū)進入緊急狀態(tài),以應(yīng)對勒索軟件的攻擊�����。此次攻擊迫使美國最大的成品油管道系統(tǒng)Colonial Pipeline關(guān)閉了關(guān)鍵的運輸管道��。
攻擊事件回顧
美國當(dāng)?shù)貢r間5月7日
全美最大成品油輸送管道的運營商Colonial Pipeline公司工業(yè)控制系統(tǒng)遭黑客勒索軟件攻擊�����,被迫全面暫停運營����。
5月8日
Colonial Pipeline發(fā)布聲明稱�����,為防止病毒擴散,Colonial Pipeline主動將關(guān)鍵系統(tǒng)進行脫機��,并已經(jīng)聘請美國麥迪安網(wǎng)絡(luò)安全公司(Mandiant)調(diào)查網(wǎng)絡(luò)攻擊事件��。
5月9日
截止當(dāng)日����,管道主干線仍然中斷,Colonial Pipeline公司尚未給出恢復(fù)日期���。美國聯(lián)邦政府交通部聯(lián)邦汽車運輸安全管理局宣布美國17個州和華盛頓特區(qū)進入緊急狀態(tài)���,以應(yīng)對勒索軟件的攻擊。緊急聲明臨時給予了上述區(qū)域汽油���、柴油��、航空燃料和其他成品油的臨時運輸豁免��,以便使燃料可以通過公路運輸���。
作為美國東海岸最重要的燃油運輸管道商,科洛尼爾負責(zé)美國東海岸地區(qū)約45%的液體燃料管道運輸供應(yīng)服務(wù),每天向客戶提供超過1億加侖的燃油�����。如果線路未來幾天依然中斷�����,美國東南部各州將首當(dāng)其沖��,迅速出現(xiàn)大規(guī)模油料短缺�。部分地區(qū)已出現(xiàn)恐慌囤油的跡象。
攻擊的幕后黑手
據(jù)CNN報道���,美國一位前高級網(wǎng)絡(luò)官員稱�,此次網(wǎng)絡(luò)攻擊可能來自俄羅斯的一組犯罪團伙DarkSide��。美媒彭博社也報道了類似的內(nèi)容��,網(wǎng)絡(luò)犯罪集團DarkSide是攻擊的幕后黑手�����,黑客設(shè)法竊取了100 GB的公司數(shù)據(jù)�����。同時美國NBC新聞頻道的知情消息人士也指出�,俄羅斯的黑客犯罪團伙疑似實施了攻擊。
Darkside黑客組織背景情況
DarkSide勒索病毒團伙是勒索軟件即服務(wù)(RaaS)的新銳代表之一��,DarkSide熱衷于將自己裝扮為英國民間傳說中的英雄人物”羅賓漢”����,其將自身描繪成極度專業(yè)的黑客團隊,它們會在攻擊中留有一個電話號碼��,甚至還有一個服務(wù)臺����,以促進他們與受害者的談判。
據(jù)英國網(wǎng)絡(luò)安全公司Digital Shadows的追蹤��,DarkSide的運作就像一家企業(yè)���。該組織開發(fā)用于加密和竊取數(shù)據(jù)的軟件�����,然后對“會員”進行訓(xùn)練�。后者會接收包括加密軟件、勒索電子郵件模版以及攻擊培訓(xùn)的工具包����,并把成功勒索的收入,按比例支付給DarkSide�����。據(jù)路透社一位頂級網(wǎng)絡(luò)安全記者稱�����,DarkSide甚至在暗網(wǎng)擁有網(wǎng)站�,并透露已從網(wǎng)絡(luò)勒索攻擊中獲利數(shù)百萬美元。
DarkSide勒索病毒團伙攻擊目標的針對性非常強��,他們會對目標進行長達數(shù)周乃至數(shù)月的技術(shù)分析工作���,甚至?xí)δ繕诉M行財務(wù)分析���;該團伙曾公開表示,他們不以醫(yī)院��、學(xué)校等非營利組織作為攻擊目標�����,而是針對有能力支付大額贖金的企業(yè)或機構(gòu)進行攻擊���,然后將部分贖金通過不可追蹤的網(wǎng)絡(luò)貨幣(例如比特幣)捐贈給慈善機構(gòu)����。
據(jù)英國廣播公司(BBC)于2020年10月20日報道�,目前已經(jīng)披露了兩個捐贈項目。其中之一的兒童國際組織(Children International)表示如果捐贈與黑客行為有關(guān)����,表示不會保留這筆錢。
該組織的捐贈行為通過的是位于美國的名為Giving Block的服務(wù)��,全球67個不同的非營利組織都在使用該服務(wù)�,其中包括Save The Children,Rainforest Foundation和She’s The First�。
Giving Block在網(wǎng)上將自己描述為”唯一接受加密貨幣捐贈的非營利性特定解決方案”���。該公司成立于2018年��,旨在為加密貨幣”百萬富翁”提供利用”巨大的稅收激勵措施�,將比特幣和其他加密貨幣直接捐贈給非營利組織”的能力�����。
在針對此捐贈事件的采訪中����,Giving Block告訴BBC���,它不知道這些捐贈是由網(wǎng)絡(luò)犯罪分子做出的���。它說:”我們?nèi)栽谂Υ_定這些資金是否確實被盜。如果事實證明這些捐贈是使用被盜資金進行的���,那么我們當(dāng)然會開始將其退還給合法所有者的工作�。”
我國石油管網(wǎng)的網(wǎng)絡(luò)安全分析
01國內(nèi)外信息安全趨勢對比
國內(nèi)大型企業(yè)的信息安全建設(shè)趨勢主要是��,在遵循信息安全政策���、標準和規(guī)范的基礎(chǔ)上�����,針對互聯(lián)網(wǎng)安全威脅��,滿足內(nèi)部網(wǎng)絡(luò)安全的總體需求����,從頂層設(shè)計建立信息安全完整體系����。
減少直至杜絕內(nèi)部敏感信息的泄漏和重要數(shù)據(jù)的丟失而引發(fā)的安全事故,建設(shè)安全的業(yè)務(wù)網(wǎng)絡(luò)運行環(huán)境���,成為信息化管理的重要工作���。
國外信息安全發(fā)展趨勢已經(jīng)從強調(diào)信息安全技術(shù)向技術(shù)與管理并重轉(zhuǎn)變。通過應(yīng)用多種技術(shù)手段����,提高安全管理實效;通過加強管理措施���,保障采取的安全控制技術(shù)落實到位����。信息安全保護模式也從較為單一���、被動的保護模式向系統(tǒng)��、動態(tài)���、全面的保護模式發(fā)展����。
通過加強和完善信息安全人員體系建設(shè)�����,促進信息安全工作開展��;通過采取監(jiān)測與審計措施���,轉(zhuǎn)變傳統(tǒng)信息安全保護模式�;通過完善信息安全人員體系建設(shè)和加強監(jiān)測與審計措施�,由靜態(tài)、被動�����、事后補救信息安全保護模式轉(zhuǎn)變?yōu)閯討B(tài)��、主動的預(yù)防式信息安全保護模式。
從國外一流企業(yè)的信息安全建設(shè)來看���,主要趨勢是���,加強信息安全風(fēng)險管控能力,采用流程化的管理方式���,構(gòu)建信息安全管理核心系統(tǒng)。
02能源公司網(wǎng)絡(luò)結(jié)構(gòu)分析
(1)整體架構(gòu)設(shè)計:
- 多運營商鏈路接入��,通過鏈路負載均衡進行最佳分配��;
- 利用流量清洗��,防護出口分布式拒絕服務(wù)攻擊����;
- 雙層異構(gòu)防火墻對出口進行整體訪問控制;
- 通過負載均衡����,將外層防火墻設(shè)置成虛擬鏈路,針對不同的業(yè)務(wù)分配虛擬鏈路防護���。
(2)互聯(lián)網(wǎng)訪問功能模塊:
- 通過代理服務(wù)器進行互聯(lián)網(wǎng)訪問����;
- 使用上網(wǎng)行為管理系統(tǒng),配置互聯(lián)網(wǎng)訪問白名單策略��,結(jié)合入侵檢測��、防病毒等系統(tǒng)組成流量清洗中心����,對進出流量進行往返監(jiān)測、過濾���、審計�。
(3)運維審計管理:
- 部署日志�、安全中心、審計及備份等系統(tǒng)����,實現(xiàn)存檔備案、安全管理等功能��;
- 利用內(nèi)容審計設(shè)備對用戶的互聯(lián)網(wǎng)訪問進行記錄和匯總。
03能源公司網(wǎng)絡(luò)防護薄弱環(huán)節(jié)分析
經(jīng)過歷年來的實網(wǎng)攻防演練����,相關(guān)能源企業(yè)都已經(jīng)加強了邊界防護,在逐步減少互聯(lián)網(wǎng)出口數(shù)量�����,但是邊界防護依然薄弱�,主要表現(xiàn)在:
(1)互聯(lián)網(wǎng)邊界依然是企業(yè)的最大安全暴露面和脆弱點:
- 互聯(lián)網(wǎng)出口數(shù)量眾多。幾乎每家企業(yè)都有自己的互聯(lián)網(wǎng)出口����,部分企業(yè)還存在多個的互聯(lián)網(wǎng)出口��。
- 互聯(lián)網(wǎng)出口防護不嚴��。部分企業(yè)存在互聯(lián)網(wǎng)邊界安全域劃分不合理���,未設(shè)置DMZ區(qū)等問題��,應(yīng)用發(fā)布漏洞多���。
- VPN防護不嚴,導(dǎo)致大量入侵通路,危及企業(yè)網(wǎng)絡(luò)安全�。
(2)小企業(yè)防護比較弱,導(dǎo)致風(fēng)險跨企業(yè)蔓延:
- 例如能源公司網(wǎng)絡(luò)是一個整體����,內(nèi)部的網(wǎng)絡(luò)互通,數(shù)據(jù)中心邊界未部署訪問控制設(shè)備�,從一個外部薄弱企業(yè)入侵后,進一步入侵內(nèi)部薄弱的企業(yè)��。
(3)出口眾多:
- 108家央企��,249個出口��。(根據(jù)2015年企業(yè)信息安全風(fēng)險評估統(tǒng)計)
- 互聯(lián)網(wǎng)接入點的技術(shù)架構(gòu)不規(guī)范�。
- 使用代理少,沒有審計能力�����。
(4)應(yīng)用發(fā)布不規(guī)范:
- 發(fā)布應(yīng)用種類較多����,采用技術(shù)手段不一,物理機發(fā)布����,虛擬化發(fā)布����、專用發(fā)布���。
- 對外發(fā)布應(yīng)用的安全防護存在較多漏洞�����,通過現(xiàn)場滲透措施發(fā)現(xiàn)437個信息系統(tǒng)可被攻破�。(根據(jù)2015年企業(yè)信息安全風(fēng)險評估統(tǒng)計)
相關(guān)對策建議
01做好安全防護工作
- 重要數(shù)據(jù)及時備份����,并明確備份管理機制。
- 安裝惡意程序防護軟件�����,開啟主機防火墻�����,阻斷445�、135、139����、3389等端口有利于病毒傳播端口。
- 強化操作系統(tǒng)���、中間件�、業(yè)務(wù)系統(tǒng)等密碼口令���,使用至少10位以上由數(shù)字���、字母、特殊字符構(gòu)成的復(fù)雜口令����,且不要復(fù)用。
- 升級服務(wù)器操作系統(tǒng)�,更新最新漏洞補丁。
- 安裝主機終端安全防御系統(tǒng)�����。
- 對已感染的主機及時進行隔離處置��。
02強化網(wǎng)絡(luò)安全防護水平
建立健全的網(wǎng)絡(luò)安全保障體系,提升安全防護水平����,抵御APT高級持續(xù)性攻擊,保障數(shù)據(jù)安全與業(yè)務(wù)連續(xù)性��。落實信息安全等級保護的要求����,組織技術(shù)力量全面開展對本單位關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)�、重點網(wǎng)站的安全性和風(fēng)險點進行全面安全檢查,評估網(wǎng)絡(luò)安全薄弱點�,查漏補缺,及時做好強化加固處置���,提升信息系統(tǒng)安全性�。
03完善應(yīng)急處置機制
明確信息安全管理責(zé)任人�����,進一步完善應(yīng)急處突工作方案���,建立健全應(yīng)急預(yù)案體系�����,完善專業(yè)技術(shù)支持隊伍����、應(yīng)急資源協(xié)調(diào)聯(lián)動機制���,提升應(yīng)急響應(yīng)處置能力��,一旦發(fā)生病毒感染事件��,能快速有效組織力量開展響應(yīng)處置工作�。
【作者�����,亞信安全部分內(nèi)容來源于網(wǎng)絡(luò)】
