在過(guò)去，當發(fā)生大規模入侵時(shí)，受影響的用戶(hù)會(huì )收到密碼更改通知，并且需要在接下來(lái)的12-18個(gè)月查看他們的銀行賬戶(hù)變動(dòng)。然而，Colonial遭到破壞導致了燃料管線(xiàn)服務(wù)范圍內的燃料短缺，對整個(gè)國民經(jīng)濟生產(chǎn)活動(dòng)造成具體的影響。

　　那么

　　為什么管道一開(kāi)始就被關(guān)閉了呢？

　　當消息首次傳出時(shí)，人們做了很多假設，認為勒索軟件感染了物理管道系統——操作技術(shù)（OT）。現實(shí)情況是，Colonial主動(dòng)關(guān)閉了他們的OT系統，以避免受到被入侵的內部系統影響。對Colonial來(lái)說(shuō)，這可能是他們最好的選擇，因為整個(gè)OT網(wǎng)絡(luò )的感染可能會(huì )導致輸油管道的停機時(shí)間大大延長(cháng)，并造成更大規模的燃料短缺。

　　OT 基礎設施與傳統 IT 網(wǎng)絡(luò )截然不同。 雖然已經(jīng)大力推動(dòng)現代化，但控制系統運行過(guò)時(shí)的操作系統的情況依然很常見(jiàn)。 Windows NT 和 XP 仍然大量存在于 OT 網(wǎng)絡(luò )中。部分原因是系統可能已經(jīng)使用了 20 年，并且由于 24/7 全天候運行的需求或更換成本過(guò)高而導致無(wú)法輕松升級。但控制系統無(wú)法再針對漏洞打補丁，而且通常無(wú)法使用現代化安全工具。因此，在Colonial的案例中，如果他們的管道系統受到影響，則需要進(jìn)行大規模的重啟和恢復操作。而對于一條從德克薩斯州延伸到新澤西州的管道，手動(dòng)重啟將需要付出巨大的代價(jià)。

　

　　整個(gè)OT網(wǎng)絡(luò )的感染可能會(huì )導致管道的停機時(shí)間大大延長(cháng)，并造成更大規模的燃料短缺，對于Colonial公司來(lái)說(shuō)，關(guān)閉管道可能是他們最好的選擇。

　　人們似乎把大量的注意力集中在了實(shí)際的關(guān)停和支付贖金問(wèn)題上。然而，在Colonial公司走到這一步之前，有很多方面問(wèn)題。到目前為止，圍繞Colonial漏洞的細節還沒(méi)有公布，但如果我們看一下DarkSide過(guò)去是如何運作的，就會(huì )發(fā)現存在多個(gè)漏洞導致勒索軟件入侵。

　　首先，攻擊者必須進(jìn)入Colonial的網(wǎng)絡(luò )。在以前DarkSide的攻擊事件中，我們曾經(jīng)發(fā)現攻擊中通過(guò)一個(gè)脆弱的VPN集中器入侵網(wǎng)絡(luò )，但這次入侵可能是通過(guò)一個(gè)容易猜到的密碼或某人在公司的筆記本電腦上點(diǎn)擊了一個(gè)惡意的鏈接所致。

　　一旦進(jìn)入網(wǎng)絡(luò )，攻擊者就會(huì )在網(wǎng)絡(luò )中設置多個(gè)著(zhù)陸點(diǎn)，以防發(fā)現并修復初始入口點(diǎn)。以前，Darkside威脅參與者只需下載TeamViewer等合法工具，即可輕松遠程訪(fǎng)問(wèn)內部系統。更有甚者，利用這個(gè)機會(huì )禁用備份軟件或刪除能找到的任何備份。

　　一種越來(lái)越流行的戰術(shù)是 "雙重勒索"，即攻擊首先將數據（客戶(hù)數據、金融信息、知識產(chǎn)權等）復制到一個(gè)由攻擊者操作的遠程位置，再加密原始數據，之后他們通過(guò)收取贖金來(lái)刪除被盜數據，以及解鎖被加密的原始數據。以前的一項取證調查顯示攻擊者下載了開(kāi)源工具 "rclone"，將數據轉移（并加密）到云存儲服務(wù)中。

　　一旦組織的網(wǎng)絡(luò )系統被滲透進(jìn)來(lái)，攻擊者就會(huì )部署一個(gè)工具來(lái)加密文件，并在醒目的位置加以解密說(shuō)明，注明如何支付贖金和恢復數據。

　　從董事會(huì )到前臺…

　　每個(gè)人都應該定期接受安全意識培訓，

　　以協(xié)力預防常見(jiàn)的惡意行為。

　　建議

　　Advice

　　企業(yè)或組織可以采取一些措施來(lái)幫助抵御攻擊（如DarkSide）。

　　IT和OT安全有很多不同，但不能將它們分開(kāi)來(lái)看。IT和OT團隊必須協(xié)同工作，形成一個(gè)完整的安全框架，該框架為每個(gè)環(huán)境使用正確的工具，并將安全信息匯總到一起。IT和OT團隊之間的“冷淡”關(guān)系并不少見(jiàn)，因此引入一個(gè)公正的第三方可以幫助突破合作障礙。

　　安全必須成為企業(yè)文化的一部分。從董事會(huì )到前臺的每個(gè)人都應該有定期的安全意識培訓，以幫助防止常見(jiàn)的惡意行為，如容易被猜中的密碼問(wèn)題等。

　　Colonial公司似乎已經(jīng)做出了正確的選擇，選擇關(guān)閉業(yè)務(wù)，以防止勒索軟件從IT到OT的傳播。如果使用適當工具，在被感染的IT網(wǎng)絡(luò )中，提前介入并強制隔離惡意軟件，避免其進(jìn)一步傳播，情況會(huì )大不相同，可能不需要關(guān)閉OT系統。

　　近年來(lái)，針對關(guān)鍵基礎設施和OT資產(chǎn)的攻擊不斷增加。OT的現代化可以顯著(zhù)提高生產(chǎn)效率并節約成本，然而，增加的連通性也可能帶來(lái)風(fēng)險。通過(guò)適當的計劃以及現代化安全工具的應用，可以實(shí)現OT的正常運行、安全性和可靠性。

　　NTT Ltd.以IT和OT完整的安全生命周期服務(wù)框架，以及針對業(yè)務(wù)視角、架構視角、設計視角不同層次組件的審視，結合客戶(hù)當前現實(shí)環(huán)境，遵循企業(yè)的價(jià)值主張，為不同行業(yè)的客戶(hù)提供IT和OT相關(guān)的咨詢(xún)、評估、設計、實(shí)施、托管、優(yōu)化等全方位安全服務(wù)。幫助企業(yè)客戶(hù)從人員與流程、解決方案、成熟度量化的不同緯度提升整體安全能力，降低安全風(fēng)險。