从美国燃油管道关停事件对我国工业安全的反思
2021-05-26
来源: 关键基础设施安全应急响应中心
2021年5月8日美多家机构报道称,美国最大的输油管道公司之一,Colonial Pipeline遭受名为“DarkSide”攻击团伙勒索攻击之后被迫关闭,管道从德克萨斯州出发,沿东海岸向纽约输送精炼汽油和航空燃料,承载着美国东海岸45%的燃料供应,该公司七日晚间在一份声明中说为了控制泄露已经关闭8851公里长的输油管道。本事件造成美国原油飙涨4%,原油飙升1%,并对社会产生了很多不利因素。由于事态紧急白宫在当地时间9号宣布17州和华盛顿特区进入紧急状态!
一勒索病毒攻击流程
1. 远程访问
根据DarkSide历来的攻击手段分析,此次攻击极有可能是收集了远程桌面软件的帐户登录详细信息,并以此为突破口建立初始访问权限,进行后续入侵。反观工业现场一些工程师为了方便运维,通过TeamViewer这类的远程连接工具进行远程操作,在一定程度上提升了远程账号泄漏的可能性。
2. 命令控制
在入侵的目标服务器上安装Tor客户端或者浏览器,并使用Tor进行RDP会话连接(RDP Over Tor),并且在远程控制方面会使用CobaltStrike进行后续操作。
3. 横向渗透
以最初的失陷主机为跳板,通过侦查工具收集信息,攻击者获得管理员凭证后进行横向渗透,进行DCSync攻击,攻击者假装是合法的域控制器,并利用目录复制服务复制AD信息,从而获得了整个域(包括KRBTGT HASH)的密码数据的访问权限。工业环境里面工控主机被作为跳板机进行渗透攻击的案例屡见不鲜,比如广为人知的“震网事件”。
4. 加密勒索
在建立命令控制后门(Cobalt Strike)后,勒索软件会采取PowerShell脚本或者动态链接库DLL进行下发。其中涉及到的Payload会在域控制器的共享文件夹中进行暂时存储,并通过组策略调度任务指示主机获取并执行勒索软件。
二 勒索攻击矛头直指关键基础设施
关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统,且这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。
关键基础设施的网络安全形势日趋严重,我国针对关键基础设施安全也陆续出台了多项办法和要求。其中网络安全法中指出,国家实行网络安全等级保护制度,对于关基行业在网络安全等级保护制度的基础上,实行重点保护。
关键基础设施相关政策:
2017年7月11日,《关键信息基础设施安全保护条例(征求意见稿)》-国家互联网信息办公室
2019年12月3日《信息安全技术关键信息基础设施网络安全保护基本要求》(报批稿)试点工作启动会-全国信息安全标准化技术委员会秘书处
2020年4月27日,《网络安全审查办法》-国家互联网信息办公室、发展改革委、工业和信息化部等十二部门
2020年9月3日,《信息安全技术关键信息基础设施网络安全保护基本要求》(报批稿)发布-全国信息安全标准化技术委员会秘书处
三 从攻击视角进行工业互联网内生安全建设
病毒入侵方式
1、通过移动存储介质入侵
2、通过办公网和生产网等边界入侵
3、通过工控机等为跳板在内部网络传播
工业互联网内生安全防御体系
奇安信创造性地提出安全产品的乐高化,将安全能力拆分成136个信息化组件,79类网络安全组件,29个安全域场景,将安全能力深入融合进客户的业务系统。在进工业互联网内生安全建设过程中,做到同步规划、同步建设、同步运营,为客户建设一套自适应自成长,针对IT与OT融合场景的纵深防御体系。
在工业互联网的架构下进行内生安全建设,笔者认为可以从以下几方面进行:
1、工业情景的安全建设需要打造全方位的白环境,采用白名单机制对工业现场进行边界防护以及终端防护;
2、防护策略的有效性以及日志的可追溯性需要更落地,工业安全设备需要支持工业点表信息,让用户真正看得懂日志和策略信息,实现面向业务的安全防护可视化;
3、工业设备需要与现场实际业务更具关联性,对现场的资产、漏洞、威胁进行一体化展示以及防护,对工业协议进行深度解析,对各业务点的访问关系进行细颗粒审计及管控;
4、提供单点登录以及安全态势感知的方案,对工控核心区域以及安全态势进行统一运维管理。