突發(fā)

央視新聞報(bào)道，當(dāng)?shù)貢r(shí)間5月9日，美國(guó)聯(lián)邦政府交通部聯(lián)邦汽車(chē)運(yùn)輸安全管理局宣布美國(guó)17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)，以應(yīng)對(duì)勒索軟件的攻擊。此次攻擊迫使美國(guó)最大的成品油管道系統(tǒng)Colonial Pipeline關(guān)閉了關(guān)鍵的運(yùn)輸管道。

攻擊事件回顧

美國(guó)當(dāng)?shù)貢r(shí)間5月7日

全美最大成品油輸送管道的運(yùn)營(yíng)商Colonial Pipeline公司工業(yè)控制系統(tǒng)遭黑客勒索軟件攻擊，被迫全面暫停運(yùn)營(yíng)。

5月8日

Colonial Pipeline發(fā)布聲明稱(chēng)，為防止病毒擴(kuò)散，Colonial Pipeline主動(dòng)將關(guān)鍵系統(tǒng)進(jìn)行脫機(jī)，并已經(jīng)聘請(qǐng)美國(guó)麥迪安網(wǎng)絡(luò)安全公司（Mandiant）調(diào)查網(wǎng)絡(luò)攻擊事件。

5月9日

截止當(dāng)日，管道主干線仍然中斷，Colonial Pipeline公司尚未給出恢復(fù)日期。美國(guó)聯(lián)邦政府交通部聯(lián)邦汽車(chē)運(yùn)輸安全管理局宣布美國(guó)17個(gè)州和華盛頓特區(qū)進(jìn)入緊急狀態(tài)，以應(yīng)對(duì)勒索軟件的攻擊。緊急聲明臨時(shí)給予了上述區(qū)域汽油、柴油、航空燃料和其他成品油的臨時(shí)運(yùn)輸豁免，以便使燃料可以通過(guò)公路運(yùn)輸。

作為美國(guó)東海岸最重要的燃油運(yùn)輸管道商，科洛尼爾負(fù)責(zé)美國(guó)東海岸地區(qū)約45%的液體燃料管道運(yùn)輸供應(yīng)服務(wù)，每天向客戶提供超過(guò)1億加侖的燃油。如果線路未來(lái)幾天依然中斷，美國(guó)東南部各州將首當(dāng)其沖，迅速出現(xiàn)大規(guī)模油料短缺。部分地區(qū)已出現(xiàn)恐慌囤油的跡象。

攻擊的幕后黑手

據(jù)CNN報(bào)道，美國(guó)一位前高級(jí)網(wǎng)絡(luò)官員稱(chēng)，此次網(wǎng)絡(luò)攻擊可能來(lái)自俄羅斯的一組犯罪團(tuán)伙DarkSide。美媒彭博社也報(bào)道了類(lèi)似的內(nèi)容，網(wǎng)絡(luò)犯罪集團(tuán)DarkSide是攻擊的幕后黑手，黑客設(shè)法竊取了100 GB的公司數(shù)據(jù)。同時(shí)美國(guó)NBC新聞?lì)l道的知情消息人士也指出，俄羅斯的黑客犯罪團(tuán)伙疑似實(shí)施了攻擊。

Darkside黑客組織背景情況

DarkSide勒索病毒團(tuán)伙是勒索軟件即服務(wù)（RaaS）的新銳代表之一，DarkSide熱衷于將自己裝扮為英國(guó)民間傳說(shuō)中的英雄人物”羅賓漢”，其將自身描繪成極度專(zhuān)業(yè)的黑客團(tuán)隊(duì)，它們會(huì)在攻擊中留有一個(gè)電話號(hào)碼，甚至還有一個(gè)服務(wù)臺(tái)，以促進(jìn)他們與受害者的談判。

據(jù)英國(guó)網(wǎng)絡(luò)安全公司Digital Shadows的追蹤，DarkSide的運(yùn)作就像一家企業(yè)。該組織開(kāi)發(fā)用于加密和竊取數(shù)據(jù)的軟件，然后對(duì)“會(huì)員”進(jìn)行訓(xùn)練。后者會(huì)接收包括加密軟件、勒索電子郵件模版以及攻擊培訓(xùn)的工具包，并把成功勒索的收入，按比例支付給DarkSide。據(jù)路透社一位頂級(jí)網(wǎng)絡(luò)安全記者稱(chēng)，DarkSide甚至在暗網(wǎng)擁有網(wǎng)站，并透露已從網(wǎng)絡(luò)勒索攻擊中獲利數(shù)百萬(wàn)美元。

DarkSide勒索病毒團(tuán)伙攻擊目標(biāo)的針對(duì)性非常強(qiáng)，他們會(huì)對(duì)目標(biāo)進(jìn)行長(zhǎng)達(dá)數(shù)周乃至數(shù)月的技術(shù)分析工作，甚至?xí)?duì)目標(biāo)進(jìn)行財(cái)務(wù)分析；該團(tuán)伙曾公開(kāi)表示，他們不以醫(yī)院、學(xué)校等非營(yíng)利組織作為攻擊目標(biāo)，而是針對(duì)有能力支付大額贖金的企業(yè)或機(jī)構(gòu)進(jìn)行攻擊，然后將部分贖金通過(guò)不可追蹤的網(wǎng)絡(luò)貨幣（例如比特幣）捐贈(zèng)給慈善機(jī)構(gòu)。

據(jù)英國(guó)廣播公司（BBC）于2020年10月20日?qǐng)?bào)道，目前已經(jīng)披露了兩個(gè)捐贈(zèng)項(xiàng)目。其中之一的兒童國(guó)際組織（Children International）表示如果捐贈(zèng)與黑客行為有關(guān)，表示不會(huì)保留這筆錢(qián)。

該組織的捐贈(zèng)行為通過(guò)的是位于美國(guó)的名為Giving Block的服務(wù)，全球67個(gè)不同的非營(yíng)利組織都在使用該服務(wù)，其中包括Save The Children，Rainforest Foundation和She’s The First。

Giving Block在網(wǎng)上將自己描述為”唯一接受加密貨幣捐贈(zèng)的非營(yíng)利性特定解決方案”。該公司成立于2018年，旨在為加密貨幣”百萬(wàn)富翁”提供利用”巨大的稅收激勵(lì)措施，將比特幣和其他加密貨幣直接捐贈(zèng)給非營(yíng)利組織”的能力。

在針對(duì)此捐贈(zèng)事件的采訪中，Giving Block告訴BBC，它不知道這些捐贈(zèng)是由網(wǎng)絡(luò)犯罪分子做出的。它說(shuō)：”我們?nèi)栽谂Υ_定這些資金是否確實(shí)被盜。如果事實(shí)證明這些捐贈(zèng)是使用被盜資金進(jìn)行的，那么我們當(dāng)然會(huì)開(kāi)始將其退還給合法所有者的工作。”

我國(guó)石油管網(wǎng)的網(wǎng)絡(luò)安全分析

01國(guó)內(nèi)外信息安全趨勢(shì)對(duì)比

國(guó)內(nèi)大型企業(yè)的信息安全建設(shè)趨勢(shì)主要是，在遵循信息安全政策、標(biāo)準(zhǔn)和規(guī)范的基礎(chǔ)上，針對(duì)互聯(lián)網(wǎng)安全威脅，滿足內(nèi)部網(wǎng)絡(luò)安全的總體需求，從頂層設(shè)計(jì)建立信息安全完整體系。

減少直至杜絕內(nèi)部敏感信息的泄漏和重要數(shù)據(jù)的丟失而引發(fā)的安全事故，建設(shè)安全的業(yè)務(wù)網(wǎng)絡(luò)運(yùn)行環(huán)境，成為信息化管理的重要工作。

國(guó)外信息安全發(fā)展趨勢(shì)已經(jīng)從強(qiáng)調(diào)信息安全技術(shù)向技術(shù)與管理并重轉(zhuǎn)變。通過(guò)應(yīng)用多種技術(shù)手段，提高安全管理實(shí)效；通過(guò)加強(qiáng)管理措施，保障采取的安全控制技術(shù)落實(shí)到位。信息安全保護(hù)模式也從較為單一、被動(dòng)的保護(hù)模式向系統(tǒng)、動(dòng)態(tài)、全面的保護(hù)模式發(fā)展。

通過(guò)加強(qiáng)和完善信息安全人員體系建設(shè)，促進(jìn)信息安全工作開(kāi)展；通過(guò)采取監(jiān)測(cè)與審計(jì)措施，轉(zhuǎn)變傳統(tǒng)信息安全保護(hù)模式；通過(guò)完善信息安全人員體系建設(shè)和加強(qiáng)監(jiān)測(cè)與審計(jì)措施，由靜態(tài)、被動(dòng)、事后補(bǔ)救信息安全保護(hù)模式轉(zhuǎn)變?yōu)閯?dòng)態(tài)、主動(dòng)的預(yù)防式信息安全保護(hù)模式。

從國(guó)外一流企業(yè)的信息安全建設(shè)來(lái)看，主要趨勢(shì)是，加強(qiáng)信息安全風(fēng)險(xiǎn)管控能力，采用流程化的管理方式，構(gòu)建信息安全管理核心系統(tǒng)。

02能源公司網(wǎng)絡(luò)結(jié)構(gòu)分析

（1）整體架構(gòu)設(shè)計(jì)：

• 多運(yùn)營(yíng)商鏈路接入，通過(guò)鏈路負(fù)載均衡進(jìn)行最佳分配；
• 利用流量清洗，防護(hù)出口分布式拒絕服務(wù)攻擊；
• 雙層異構(gòu)防火墻對(duì)出口進(jìn)行整體訪問(wèn)控制；
• 通過(guò)負(fù)載均衡，將外層防火墻設(shè)置成虛擬鏈路，針對(duì)不同的業(yè)務(wù)分配虛擬鏈路防護(hù)。

（2）互聯(lián)網(wǎng)訪問(wèn)功能模塊：

• 通過(guò)代理服務(wù)器進(jìn)行互聯(lián)網(wǎng)訪問(wèn)；
• 使用上網(wǎng)行為管理系統(tǒng)，配置互聯(lián)網(wǎng)訪問(wèn)白名單策略，結(jié)合入侵檢測(cè)、防病毒等系統(tǒng)組成流量清洗中心，對(duì)進(jìn)出流量進(jìn)行往返監(jiān)測(cè)、過(guò)濾、審計(jì)。

（3）運(yùn)維審計(jì)管理：

• 部署日志、安全中心、審計(jì)及備份等系統(tǒng)，實(shí)現(xiàn)存檔備案、安全管理等功能；
• 利用內(nèi)容審計(jì)設(shè)備對(duì)用戶的互聯(lián)網(wǎng)訪問(wèn)進(jìn)行記錄和匯總。

03能源公司網(wǎng)絡(luò)防護(hù)薄弱環(huán)節(jié)分析

經(jīng)過(guò)歷年來(lái)的實(shí)網(wǎng)攻防演練，相關(guān)能源企業(yè)都已經(jīng)加強(qiáng)了邊界防護(hù)，在逐步減少互聯(lián)網(wǎng)出口數(shù)量，但是邊界防護(hù)依然薄弱，主要表現(xiàn)在:

（1）互聯(lián)網(wǎng)邊界依然是企業(yè)的最大安全暴露面和脆弱點(diǎn)：

• 互聯(lián)網(wǎng)出口數(shù)量眾多。幾乎每家企業(yè)都有自己的互聯(lián)網(wǎng)出口，部分企業(yè)還存在多個(gè)的互聯(lián)網(wǎng)出口。
• 互聯(lián)網(wǎng)出口防護(hù)不嚴(yán)。部分企業(yè)存在互聯(lián)網(wǎng)邊界安全域劃分不合理，未設(shè)置DMZ區(qū)等問(wèn)題，應(yīng)用發(fā)布漏洞多。
• VPN防護(hù)不嚴(yán)，導(dǎo)致大量入侵通路，危及企業(yè)網(wǎng)絡(luò)安全。

（2）小企業(yè)防護(hù)比較弱，導(dǎo)致風(fēng)險(xiǎn)跨企業(yè)蔓延：

• 例如能源公司網(wǎng)絡(luò)是一個(gè)整體，內(nèi)部的網(wǎng)絡(luò)互通，數(shù)據(jù)中心邊界未部署訪問(wèn)控制設(shè)備，從一個(gè)外部薄弱企業(yè)入侵后，進(jìn)一步入侵內(nèi)部薄弱的企業(yè)。

（3）出口眾多：

• 108家央企，249個(gè)出口。（根據(jù)2015年企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估統(tǒng)計(jì)）
• 互聯(lián)網(wǎng)接入點(diǎn)的技術(shù)架構(gòu)不規(guī)范。
• 使用代理少，沒(méi)有審計(jì)能力。

（4）應(yīng)用發(fā)布不規(guī)范：

• 發(fā)布應(yīng)用種類(lèi)較多，采用技術(shù)手段不一，物理機(jī)發(fā)布，虛擬化發(fā)布、專(zhuān)用發(fā)布。
• 對(duì)外發(fā)布應(yīng)用的安全防護(hù)存在較多漏洞，通過(guò)現(xiàn)場(chǎng)滲透措施發(fā)現(xiàn)437個(gè)信息系統(tǒng)可被攻破。（根據(jù)2015年企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估統(tǒng)計(jì)）

相關(guān)對(duì)策建議

01做好安全防護(hù)工作

• 重要數(shù)據(jù)及時(shí)備份，并明確備份管理機(jī)制。
• 安裝惡意程序防護(hù)軟件，開(kāi)啟主機(jī)防火墻，阻斷445、135、139、3389等端口有利于病毒傳播端口。
• 強(qiáng)化操作系統(tǒng)、中間件、業(yè)務(wù)系統(tǒng)等密碼口令，使用至少10位以上由數(shù)字、字母、特殊字符構(gòu)成的復(fù)雜口令，且不要復(fù)用。
• 升級(jí)服務(wù)器操作系統(tǒng)，更新最新漏洞補(bǔ)丁。
• 安裝主機(jī)終端安全防御系統(tǒng)。
• 對(duì)已感染的主機(jī)及時(shí)進(jìn)行隔離處置。

02強(qiáng)化網(wǎng)絡(luò)安全防護(hù)水平

建立健全的網(wǎng)絡(luò)安全保障體系，提升安全防護(hù)水平，抵御APT高級(jí)持續(xù)性攻擊，保障數(shù)據(jù)安全與業(yè)務(wù)連續(xù)性。落實(shí)信息安全等級(jí)保護(hù)的要求，組織技術(shù)力量全面開(kāi)展對(duì)本單位關(guān)鍵信息基礎(chǔ)設(shè)施、重要信息系統(tǒng)、重點(diǎn)網(wǎng)站的安全性和風(fēng)險(xiǎn)點(diǎn)進(jìn)行全面安全檢查，評(píng)估網(wǎng)絡(luò)安全薄弱點(diǎn)，查漏補(bǔ)缺，及時(shí)做好強(qiáng)化加固處置，提升信息系統(tǒng)安全性。

03完善應(yīng)急處置機(jī)制

明確信息安全管理責(zé)任人，進(jìn)一步完善應(yīng)急處突工作方案，建立健全應(yīng)急預(yù)案體系，完善專(zhuān)業(yè)技術(shù)支持隊(duì)伍、應(yīng)急資源協(xié)調(diào)聯(lián)動(dòng)機(jī)制，提升應(yīng)急響應(yīng)處置能力，一旦發(fā)生病毒感染事件，能快速有效組織力量開(kāi)展響應(yīng)處置工作。

【作者，亞信安全部分內(nèi)容來(lái)源于網(wǎng)絡(luò)】

xiesc