美国因石油管网遭受网络攻击宣布进入国家紧急状态,威斯尼斯人wns2299cn捍卫国家关键信息基础设施安全
一、本次美国管网运营商事件分析
本次事件回溯
美国当地时间5月8日,美国最大的天然气和柴油运输管道公司Colonial Pipeline宣布,因遭受网络攻击而暂时停止运营,此事件对美国东海岸燃油供应造成了严重影响。
截至5月9日,Colonial公司称尚不清楚谁应为此次网络入侵负责,也不清楚该公司的管道运营将被暂停多久,Colonial公司关闭全部管线究竟是为了预防感染蔓延、还是设施已然整体沦陷?攻击背后的黑手究竟是谁?攻击者到底采取了哪些攻击方式?攻击路径是什么?但多家媒体报道称,这次网络攻击涉及勒索软件。
受此事件影响,5月9日,美国FBI、能源部、网络安全与基础设施安全局等多个联邦机构一起参与了事件调查。美国白宫同时宣布:美国进入国家紧急状态。这也是美国首次因网络攻击而宣布进入国家紧急状态。
目前官方未公开任何细节。
关于本事件猜测最多的:
1、IT层防御较为薄弱,被人从外部找到突破口进入,进而导致OT层被攻击。
2、工作模式未按照合规模式去严格遵守,被感染的存储介质被带入内部并接入计算机,从而引发一连串连锁反应。
3、该公司早已被其他人成功渗透,并窃取了TeamViewer与微软远程桌面等控制软件的登录密码与授权等相关信息。
目前美国共有18州获得临时工作时间豁免,以运输汽油、柴油、航空燃料和其他精炼石油产品。
据专家称,燃油价格可能会在10日上涨2-3%,但如果这种情况持续更长时间,将会带来比目前严重得多的影响。
攻击者要求在周五得到赎金。如果没有收到赎金,他们威胁将会把这些数据泄漏到互联网上。
该公司于9日晚间表示,尽管目前仍有四条主要管线仍处于离线状态,但一些位于终端与支付点之间的小型管线目前已恢复运作。
团伙特点
今年3月,“DarkSide”推出了一款新型软件,可以比以前更快对数据进行加密。该组织举行了一场记者会,邀请记者进行采访。
经长期追踪,该组织一直试图避免攻击独联体国家(Commonwealth of Independent States)企业的表现来看,这个团伙可能位于俄语国家。独联体国家包括俄罗斯、乌克兰、白罗斯(白俄罗斯)、格鲁吉亚、亚美尼亚、摩尔多瓦、阿塞拜疆、哈萨克斯坦、吉尔吉斯斯坦、塔吉克斯坦、土库曼斯坦及乌兹别克斯坦。
历史相关事件
无独有偶,历史上在管道行业和关键信息设施设施领域,也发生过多起重大网络攻击事件:
1、2014年12月,土耳其境内的伊拉克向土耳其输送原油的输油管道爆炸。土耳其为了监控从里海通向地中海的1099英里的石油管道内的状态,在这条管道内安装了探测器和摄像头,然而在爆炸将管道破坏前,却没有引发遇险信号,调查原因表明:黑客关闭了警报、切断了通信联系、给管道内的原油大幅增压。
2、2020年2月,美国国土安全部发布公告,一家未公开名字的天然气管道运营商,在遭到勒索软件攻击后关闭压缩设施达两天之久。据悉,攻击始于钓鱼软件内的恶意链接,攻击者从IT网络渗透到作业OT网络,并植入勒索软件。
3、2020年5月,台湾石油汽油和天然气公司CPC公司及其竞争对手台塑石化公司(FPCC)遭受勒索软件攻击。对CPC的攻击使其IT和计算机系统关闭,加油站无法访问用于管理收入记录的数字平台,导致用户无法正常支付。
二、天然气管道行业网络安全隐患深度分析
天然气管网行业指的是天然气(包括油田生产的伴生气)从开采地或处理厂输送到城市配气中心或工业企业用户的管道。天然气管道沿线一般数千公里,涉及储配站、LNG、门站、值守站等大量工业控制设备和工艺流程,也增加了网络安全的攻击暴露面,典型的完整网络架构共分为L0-L4,其中L4为办公网、L3-L0为生产网,具体如下图所示:
广义的天然气管网行业安全涉及两大类:一是网络安全、一是设备安全;我国油气官网超过13万公里,比全国的铁路线还长,因此无论出现哪类安全事故,都有可能导致油气输送瘫痪。
在网络安全方面,主要的安全风险和攻击面一般涉及到以下因素:
1、家底不清拓扑不明:由于管网涉及采气侧-LNG存储侧-管道传输侧-值守门站控制侧,分布广、复杂度高,集团层面无法对生产环境下的工控系统拓扑、相关资产现状(数量、配置规格)、数据链路等进行清晰的掌握,这给管理上带来了极大的风险隐患,尤其是在无人化/少人化/物联网化的背景趋势下,需要建立起清晰的工控系统网络台账,加强全局视角下的网络安全认识;
2、网络边界安全不足:由于办公网、生产网、视频网之间,以及生产网各层级之间均存在大量边界,如果没有进行合理的网络安全边界隔离措施,黑客会通过扫描工具或利用远程管理软件漏洞,通过互联网渗透进入到生产管理网的MES系统、或者通过视频网摄像头漏洞控制视频服务器,间接进入生产网络。一旦进入工业控制网络,各生产工艺控制区域之间无逻辑隔离安全防护手段,就可能导致勒索病毒等大面积扩散蔓延;
3、网络安全意识不足:企业对于网络安全仍然存在误区,认为只要生产环境不联网,就不会被攻击。实则在生产环境中USB滥用导致的社会工程学攻击已经成为主要安全威胁。在企业现场,大量工程师站、操作员站上发现大量的USB使用记录,往往是运维人员U盘拷贝文件时留下的,而U盘如果连接过互联网设备,很可能已经是带毒工作并感染生产环境设备;
4、主机安全防护手段过时:一是大量工业操作系统采用WindowsXP和Windows7系统,目前微软已经停止系统补丁更新,操作系统无法应对新型恶意代码攻击;另外是企业虽然安装了基于黑名单机制的恶意代码防护软件,但由于病毒库老旧,大量新型恶意程序病毒无法被识别,导致其在生产控制大区的操作员站、工程师站传播。
5、工控漏洞缺乏防护手段:管网行业的DCS、PLC等工控设备自身存在安全漏洞,例如默认开启Telnet、FTP、HTTP以及RPC服务,通过利用这些漏洞可以成功地获取具有系统管理员权限的命令行权限甚至完全控制该设备;同时,常用的工业协议如ModbusTCP、S7、OPC、IEC104、DNP3等协议,设计的时候在安全性和稳定性之间进行了取舍,容易被黑客攻击时所利用;
6、缺乏入侵防范和溯源手段:在关键工艺未部署工业异常流量监测审计设备、日志审计设备、入侵检测设备,对于长期存在的入侵行为无法获知、无力追究,不符合相关法规和标准规范要求,当真正被网络攻击后,也无法快速准确追溯攻击路径;
7、缺乏安全运营管理保障能力:工控设备现场对网络安全责任划分不清晰,生产部门和信息部门对于工业安全没有形成有效联动及合作;工控生产网络各种IT操作无标准流程和相关规范。集团侧对于突发的安全事件缺乏常态化的应急演练、人才培训、攻防实战、态势感知能力、安全事件处置知识库等能力。
三、对我国关键基础设施行业影响和意义
在我国国家关键信息基础设施(CII)定义中,涉及管网类的网络安全事故,除了石油天然气管网外,主要场景还包括城市市政(供水、排水、污水、燃气、热力)、水利(长距离输水管控)、轨交、电力、电信、广播电视、高风险工业设施运行管控等。
一旦以上行业遭受到网络安全攻击,都会影响到企业运行安全、财产安全、人身安全乃至国家战略安全,针对关键信息基础设施行业的安全保障体系建设刻不容缓。
四、威斯尼斯人wns2299cn关键基础设施安全相关解决方案
威斯尼斯人wns2299cn已经在全国多家大型电力能源集团、管网集团公司、城市级水务集团/燃气集团、国家水利行业客户中,为客户提供覆盖“前、中、后”的工业信息安全保障体系建设方案,构建集团级-企业侧完整的工业安全保障体系:
1、纵深安全防御体系
基于等保2.0和关保要求,构建纵深安全防御体系,对L0-L4涵盖的信息办公网、工控生产网、视频监控网进行立体化防护、精准防控,其中涵盖“网络区域边界安全、网络通信审计安全、计算环境安全、安全管理中心”。通过纵深防御理念的网络安全防护策略,能够有效防护来自工业系统外部和内部的攻击,极大提高了SCADA系统的安全性、健壮性、可靠性。
2、安全监测预警体系
在厂站侧,部署智能采集设备和采集探针,7*24小时持续采集网络链路全流量数据和日志数据,并与调控中心侧态势感知平台深度结合,为管理者提供网络安全决策分析依据;在调控中心侧,部署厂侧态势感知平台,实现全局网络的安全可视化呈现,调控中心再根据各场站的安全运行情况,联动统一安全管理平台下发相应的防护策略,从而构建各管网分公司网络安全纵深防护体系,以达到协同联动抵御针对网络攻击的目的,同时将整个办公网和工业控制网络相关流量状况、资产状况、安全状况等实现全面的态势分析,并与集团侧工业信息安全态势感知运营分析平台进行双向数据联动。
3、安全运营管理体系
只部署安全产品并不能实现有效的安全防护。必须要结合安全服务、网络安全制度才能落地应用推广起来。
制度方面,帮助集团层面,统一制定工控信息安全管理制度,规范各分公司和下属企业工控安全规范、责任分工、实现双向协同;
运营方面,制定网络安全事件应急响应预案,当企业遭受安全威胁导致工业控制系统出现异常或故障时,可以采取紧急防护措施;
培训方面,定期组织工控安全意识、技能培训,加强企业自身在工业网络信息安全方面的专业水平。
4、安全能力提升体系
在安全能力提升方面,通过安全实训靶场加强对安全生产人员、信息化人员在网络安全方面的专业技术水平和管理水平,通过“学、练、测、评”提升人员在网络安全方面的实战化水平;
同时,搭建虚实结合的工业安全靶场,对管网行业相关工业组网及典型攻击模型进行真实还原,提升团队作战、单兵作战、红蓝对抗、系统安全测试和工控装备测试能力,持续提升网络安全水平。
威斯尼斯人wns2299cn
威斯尼斯人wns2299cn(北京)有限公司是一家国资监管下、市场化运作,专注于工业互联网安全、工控网络安全和视觉AI安全大数据应用的国家高新技术企业。基于“AI赋能·安全协同”的战略理念,公司在工业互联网安全领域持续深耕,团队核心成员是中国工业互联网安全事业的第一批践行者。目前技术研发人员总人数占比公司总人数75%以上,已成为中国工业互联网安全、工控网络安全领域的中坚技术力量。
威斯尼斯人wns2299cn在业界开创了三位一体“智能工业安全大脑”的产品理念,将产品及服务聚焦工业互联网安全及大数据应用领域,并通过人工智能技术赋予客户在网络和业务两个层面的安全防护能力。公司自主研发了工业互联网安全态势感知产品体系、工控安全防护产品体系和睿脑工业视觉AI安全分析产品体系在内的50余款产品,覆盖工业互联网安全产业完整生命周期。产品及解决方案已广泛应用于电力、石油石化、轨道交通、城市 市政、智能制造、国防军工、钢铁冶金和烟草等行业,满足等保2.0及关键信息基础设施安全保护条例要求。作为多个工业互联网和大数据相关联盟协会的理事单位,公司积极参与国标、行标和团标几十项技术、服务类标准建设,申请获得专利、软著80余项。
威斯尼斯人wns2299cn安全研究院专注工控协议和安全漏洞库研究,具备持续 性的工业协议分析能力、漏洞挖掘能力以及病毒处理、灾后数据恢复能力,为国家多个管理机构提供漏洞上报和信息上报。2019年被评为国家信息安全漏洞库(CNNVD)十佳优秀技术支持企业之一。
公司总部位于北京,并在上海、广州、西安、太原、重庆、武汉、济南、乌鲁木齐、福州、成都、合肥、南京、杭州、兰州、珠海等地建立了分支机构、研发中心和服务中心,可为客户提供工控风险评估服务、等保 2.0建设咨询服务、安全集成服务、安全运维服务、安全培训服务、攻防演练现场保障服务、恶意程序分析服务、勒索病毒处理服务、APT事件处理服务和安全运营处置一体化等10余项专业服务。
