背景回顾
2021年5月7日,美国最大输油管道公司Colonial Pipeline遭勒索软件攻击,导致其被迫关闭管道系统。
多个消息源将攻击者确定为DarkSide组织,这是一家东欧的网络犯罪勒索团伙。最新消息称,DarkSide勒索团伙承认他们是造成美国“断油”事件的元凶。
一个大问题是Colonial能够以多快的速度制定其重启计划。
ICS网络安全和部门负责人,FBI InfraGard部门负责人Marc Ayala称:
没有简单的电灯开关或按钮即可神奇地重启和恢复操作。
即使还有其他问题尚待解决,Colonial公司勒索事件也为ICS企业应如何应对网络攻击提供了一些经验教训。
深入了解OT系统可能加快重启速度
缺乏对OT系统安全状态的了解可能是导致Colonial停运的主要原因。
Marc Ayala提到:
该事件最大的问题是不清楚影响的深度、范围和广度。停止运营是一个明确的信号,表明他们对当前的运营流程、安全系统和安全环境不信任。
在一份给客户的说明中,Marc Ayala预测,Colonial恢复运营将需要48到84个小时或更长时间。
网络安全公司Tenable的安全运营副总裁Marty Edwards也是在ICS-CERT任职时间最长的董事,对此观点表示赞同:
他们(指ICS运营者,如本次事件的主角Colonial)需要对环境有足够的了解,才能知道实际影响的范围。通常情况下,关键基础设施所有者和运营商根本没有足够的可见性,尤其是在这些操作技术和工业控制系统环境中。
更好的细分可以避免停机
为了避免类似的操作系统停机,ICS组织应集中精力更好地划分功能和网络。
Marc Ayala提到:
应该有明确而适当的细分,必须从架构层面进行重构。我们得知道如何做出反应,IT到OT的分界不清晰是我们面临的最大威胁之一。
在寻找受感染的组件并尽快隔离它们以加快恢复正常操作的过程中,分段就发挥了作用。Marty Edwards表示:
ICS组织必须具有这种实时的可见性,如果某件事开始影响你在一个地理区域内的运行时,必须能够快速进入系统并找出可能存在漏洞的其他地方,并将这些系统分段并隔离。
攻击透明度至关重要
ICS组织需要考虑的另一个关键因素是围绕勒索攻击事件的治理策略,尤其是在事前阶段。整理有效的通信策略,为攻击的后果做准备。Marty Edwards称:
我总是鼓励组织尽可能多地提高透明度。对于这类事件,他们应预先准备经过审核的保留声明、新闻稿等,以便首席信息安全官接到电话时可以从容应对。
ICS组织还应针对如何管理此类勒索攻击制定详尽的计划。如果公司拥有经过良好测试和维护的容灾备份计划,且对所有这些类型的系统都有良好的备份,那么他们就有信心可以隔离事件,并在尽可能短的时间内恢复。
与政府合作很重要
Marc Ayala在与联邦政府的合作中给予了Colonial很高的评价。从长远来看,政府机构应该在为此类事件做准备中发挥更关键的作用。
Marty Edwards称:
我们已经说了很长时间了,必须是真正的伙伴关系。我不会把“伙伴关系”这个词定义为信息共享计划之类的东西。我们需要将私营部门和联邦政府结合起来,政府非常实诚地提出了一系列的解决方案。