從美國(guó)燃油管道關(guān)停事件對(duì)我國(guó)工業(yè)安全的反思
2021-05-26
來源: 關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心
2021年5月8日美多家機(jī)構(gòu)報(bào)道稱,美國(guó)最大的輸油管道公司之一,,Colonial Pipeline遭受名為“DarkSide”攻擊團(tuán)伙勒索攻擊之后被迫關(guān)閉,,管道從德克薩斯州出發(fā),沿東海岸向紐約輸送精煉汽油和航空燃料,,承載著美國(guó)東海岸45%的燃料供應(yīng),,該公司七日晚間在一份聲明中說為了控制泄露已經(jīng)關(guān)閉8851公里長(zhǎng)的輸油管道。本事件造成美國(guó)原油飆漲4%,,原油飆升1%,,并對(duì)社會(huì)產(chǎn)生了很多不利因素。由于事態(tài)緊急白宮在當(dāng)?shù)貢r(shí)間9號(hào)宣布17州和華盛頓特區(qū)進(jìn)入緊急狀態(tài),!
一 勒索病毒攻擊流程
1. 遠(yuǎn)程訪問
根據(jù)DarkSide歷來的攻擊手段分析,,此次攻擊極有可能是收集了遠(yuǎn)程桌面軟件的帳戶登錄詳細(xì)信息,,并以此為突破口建立初始訪問權(quán)限,進(jìn)行后續(xù)入侵,。反觀工業(yè)現(xiàn)場(chǎng)一些工程師為了方便運(yùn)維,,通過TeamViewer這類的遠(yuǎn)程連接工具進(jìn)行遠(yuǎn)程操作,在一定程度上提升了遠(yuǎn)程賬號(hào)泄漏的可能性,。
2. 命令控制
在入侵的目標(biāo)服務(wù)器上安裝Tor客戶端或者瀏覽器,,并使用Tor進(jìn)行RDP會(huì)話連接(RDP Over Tor),并且在遠(yuǎn)程控制方面會(huì)使用CobaltStrike進(jìn)行后續(xù)操作,。
3. 橫向滲透
以最初的失陷主機(jī)為跳板,,通過偵查工具收集信息,攻擊者獲得管理員憑證后進(jìn)行橫向滲透,,進(jìn)行DCSync攻擊,,攻擊者假裝是合法的域控制器,并利用目錄復(fù)制服務(wù)復(fù)制AD信息,,從而獲得了整個(gè)域(包括KRBTGT HASH)的密碼數(shù)據(jù)的訪問權(quán)限,。工業(yè)環(huán)境里面工控主機(jī)被作為跳板機(jī)進(jìn)行滲透攻擊的案例屢見不鮮,比如廣為人知的“震網(wǎng)事件”,。
4. 加密勒索
在建立命令控制后門(Cobalt Strike)后,,勒索軟件會(huì)采取PowerShell腳本或者動(dòng)態(tài)鏈接庫(kù)DLL進(jìn)行下發(fā)。其中涉及到的Payload會(huì)在域控制器的共享文件夾中進(jìn)行暫時(shí)存儲(chǔ),,并通過組策略調(diào)度任務(wù)指示主機(jī)獲取并執(zhí)行勒索軟件,。
二 勒索攻擊矛頭直指關(guān)鍵基礎(chǔ)設(shè)施
關(guān)鍵信息基礎(chǔ)設(shè)施是指面向公眾提供網(wǎng)絡(luò)信息服務(wù)或支撐能源、通信,、金融、交通,、公用事業(yè)等重要行業(yè)運(yùn)行的信息系統(tǒng)或工業(yè)控制系統(tǒng),,且這些系統(tǒng)一旦發(fā)生網(wǎng)絡(luò)安全事故,會(huì)影響重要行業(yè)正常運(yùn)行,,對(duì)國(guó)家政治,、經(jīng)濟(jì)、科技,、社會(huì),、文化、國(guó)防,、環(huán)境以及人民生命財(cái)產(chǎn)造成嚴(yán)重?fù)p失,。
關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)重,我國(guó)針對(duì)關(guān)鍵基礎(chǔ)設(shè)施安全也陸續(xù)出臺(tái)了多項(xiàng)辦法和要求,。其中網(wǎng)絡(luò)安全法中指出,,國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度,,對(duì)于關(guān)基行業(yè)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,實(shí)行重點(diǎn)保護(hù),。
關(guān)鍵基礎(chǔ)設(shè)施相關(guān)政策:
2017年7月11日,,《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例(征求意見稿)》-國(guó)家互聯(lián)網(wǎng)信息辦公室
2019年12月3日《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》(報(bào)批稿)試點(diǎn)工作啟動(dòng)會(huì)-全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處
2020年4月27日,《網(wǎng)絡(luò)安全審查辦法》-國(guó)家互聯(lián)網(wǎng)信息辦公室,、發(fā)展改革委,、工業(yè)和信息化部等十二部門
2020年9月3日,《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全保護(hù)基本要求》(報(bào)批稿)發(fā)布-全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)秘書處
三 從攻擊視角進(jìn)行工業(yè)互聯(lián)網(wǎng)內(nèi)生安全建設(shè)
病毒入侵方式
1,、通過移動(dòng)存儲(chǔ)介質(zhì)入侵
2,、通過辦公網(wǎng)和生產(chǎn)網(wǎng)等邊界入侵
3、通過工控機(jī)等為跳板在內(nèi)部網(wǎng)絡(luò)傳播
工業(yè)互聯(lián)網(wǎng)內(nèi)生安全防御體系
奇安信創(chuàng)造性地提出安全產(chǎn)品的樂高化,,將安全能力拆分成136個(gè)信息化組件,,79類網(wǎng)絡(luò)安全組件,29個(gè)安全域場(chǎng)景,,將安全能力深入融合進(jìn)客戶的業(yè)務(wù)系統(tǒng),。在進(jìn)工業(yè)互聯(lián)網(wǎng)內(nèi)生安全建設(shè)過程中,做到同步規(guī)劃,、同步建設(shè),、同步運(yùn)營(yíng),為客戶建設(shè)一套自適應(yīng)自成長(zhǎng),,針對(duì)IT與OT融合場(chǎng)景的縱深防御體系,。
在工業(yè)互聯(lián)網(wǎng)的架構(gòu)下進(jìn)行內(nèi)生安全建設(shè),筆者認(rèn)為可以從以下幾方面進(jìn)行:
1,、工業(yè)情景的安全建設(shè)需要打造全方位的白環(huán)境,,采用白名單機(jī)制對(duì)工業(yè)現(xiàn)場(chǎng)進(jìn)行邊界防護(hù)以及終端防護(hù);
2,、防護(hù)策略的有效性以及日志的可追溯性需要更落地,,工業(yè)安全設(shè)備需要支持工業(yè)點(diǎn)表信息,讓用戶真正看得懂日志和策略信息,,實(shí)現(xiàn)面向業(yè)務(wù)的安全防護(hù)可視化,;
3、工業(yè)設(shè)備需要與現(xiàn)場(chǎng)實(shí)際業(yè)務(wù)更具關(guān)聯(lián)性,,對(duì)現(xiàn)場(chǎng)的資產(chǎn),、漏洞、威脅進(jìn)行一體化展示以及防護(hù),,對(duì)工業(yè)協(xié)議進(jìn)行深度解析,,對(duì)各業(yè)務(wù)點(diǎn)的訪問關(guān)系進(jìn)行細(xì)顆粒審計(jì)及管控;
4,、提供單點(diǎn)登錄以及安全態(tài)勢(shì)感知的方案,,對(duì)工控核心區(qū)域以及安全態(tài)勢(shì)進(jìn)行統(tǒng)一運(yùn)維管理,。