本月当地时间5月7日,美国最大的成品油管道运营商Colonial Pipeline遭受到疑似勒索软件DarkSide攻击,为了控制安全漏洞,Colonial Pipeline被迫关闭其位于美国东部沿海各州供油的关键燃油网络。据悉,该输油管道每天输送250万桶原油,占东海岸柴油、汽油和航空燃料供应量的45%,能源输送系统极其庞大。目前,该管道系统已经恢复了 正常运行 。
DarkSide使用的是一种所谓的“勒索软件即服务”(ransomware as a service)的业务模式,与其他针对企业的勒索软件操作一样,当DarkSide获得对公司网络的访问权限时,它们将悄悄传播到其他设备,同时收集凭据并窃取未加密的文档。如果DarkSide发起了攻击,威胁行为者可能会窃取数据,这些数据将用于要求向Colonial Pipeline索要巨额勒索赎金。
其实,近年来,利用勒索软件进行网络攻击的事件屡见不鲜。
2011年,国内某石化企业某装置控制系统感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度中断。
2015年,中石化华东公司SCADA系统内部嫌疑人配合外部人员使得公司SCADA系统感染病毒。
2017年,Wannacry勒索病毒席卷全球,中石油2万多座加油站断网。
2019年,国内某炼化企业生产系统遭受挖矿病毒攻击,控制站频繁蓝屏重启,造成生产装置紧急停车。
2020年,美国国土安全部网络安全和基础设施安全署(CISA)发布公告,有一家未公开名字的天然气公司因感染勒索软件后被迫关闭设施。
回顾本事件,报道称,这是所有美国被攻击事件中最具破坏性的数字勒索事件之一,美国政府正全力帮助受到黑客攻击的燃油管道运营商Colonial恢复。且,美国立法者要求加强对美国关键能源基础设施的保护,以防止遭受黑客攻击。这一网络安全重大事件对关键基础设施的安全保障再次敲响了警钟。
油汽管道工控系统安全风险分析
油气行业是一个国家关键基础设施的重要组成部分,而安全则是大多数油气公司面临的首要问题。目前油气管道工自动化控制系统存在的安全风险,主要表现为如下几个方面:
(一)网络缺乏有效的区域划分和访问控制
目前油气管道工控系统各个系统之间互联互通密切,不同的生产区域之间为了连接的便利性未做有效的区域划分,部分企业在自动化网络与办公网络之间使用传统防火墙进行隔离,或者利用一些三层交换机的安全策略进行网络隔离和保护。但由于业务需求和工作的便捷性,防火墙策略基本是全开的或没有严格的访问控制,让整个控制网络暴露在办公网中。一旦发生安全事件,例如勒索病毒事件,很容易影响生产业务的正常进行。
(二)漏洞难以及时处理,系统安全风险巨大
目前油气管道工控系统部分采用国外厂商的设备,这些设备多数存在安全漏洞,且多数是能够造成远程攻击、越权执行的严重漏洞。
据CNCER监测数据报告2020年仅上半年暴露在互联网上的工业设备达4,630台,其中存在高危漏洞隐患的设备占比约41%。监测发现电力、石油天然气、城市轨道交通等重点行业暴露的联网监控管理系统480套,其中电力262套、石油天然气118套、城市轨道交通100套,涉及的类型包括政府监管平台、远程监控、资产管理、工程安全、数据检测系统、管网调度系统、OA系统、云平台等,近几年工控设备的漏洞数量也呈现出快速增长的趋势。
2020年CICSVD共收录工业信息安全漏洞2138个,较2019年上升22.2%,其中通用型漏洞2045个,事件型漏洞93个,保持了较高的增长态势。
(三)缺乏完善的安全管理制度,人员安全意识缺乏
从工控业务本身的性质出发,工业控制系统在设计时更多的是考虑系统的可用性,普遍对安全性问题的考虑不足,没有制订完善的工业控制系统安全政策、管理制度以及对人员的安全意识培养,造成人员的安全意识淡薄。
人员安全意识薄弱将是造成工业控制系统安全风险的一个重要因素,特别是社会工程学相关的定向钓鱼攻击可能使重要岗位人员沦为外部威胁入侵的跳板。另外生产环境的工作人员,大多是自动化或电器、仪表等方面的专家,并不是专业的信息安全人员,对工控信息安全并不了解,无法意识到日常工作常见的操作可能会带来极大的安全隐患。工作人员本身也是企业脆弱性的一环。
油气管道作为国家重要的关键基础设施,面对的不仅是普通安全威胁带来的安全隐患。油气管道行业必须准备好面对高度针对性的、直接的打击,包括利用油气管道自己的工控系统来攻击这些基础设施。
油气管道工控系统安全防护建设思路
顶象基于多年的工控安全研发经验,设计、实现了一系列基于“纵深防御”理念的防护产品,专注于解决在工控网络内部的网络安全问题。
工控威胁狩猎系统
工控威胁狩猎系统该产品可以部署在工业控制业务系统网络、工业资产网络、IT网络与工控网络边界、信息网络与管理网络边界等各种需要防护的网络中,从而实现对任何已知和未知的攻击事件的感知。当攻击者使用专业工具进行网络扫描与侦察时,产品可识别出异常和扫描行为类型,为用户提供实时告警,掌握攻击者的攻击进程。
相较于一般的安全防护系统多多少少都存在一些误报问题,本系统捕获威胁信息准确,不存在任何误报,部署简单,只需要将产品接入到需要保护的网络交换机中即可,无需过多配置,一分钟内即可将设备部署完毕,产品部署后对现有网络不会产生任何影响。
工控资产智能防护系统
工控资产智能防护系统是顶象专门针对工业控制网络的信息安全防护产品,产品直接部署在现场控制层的PLC、RTU等控制设备前,能够实时检测并拦截工控设备面临的风险,为客户解决“最后一米”的安全防护问题。
该产品具备毫秒级实时决策、智能分析能力,通过风险模型和策略,使产品具有完备的威胁发现和防御能力。设备采用直路部署,通过对工业控制协议通信报文的深度解析,能够实时检测并阻断针对工业协议、工控漏洞的网络攻击,用户误操作、违规操作,非法设备接入,以及蠕虫、勒索病毒等恶意软件的传播。检测并阻断风险后能够实时告警,详实记录一切网络通信行为,包括指令级的工业控制协议通信记录,为工业控制系统的安全事故调查提供坚实的基础。
专家级安全服务
顶象洞见安全实验室是顶象面向工控领域的一个安全实验室,提供立体的风险感知和威胁预警服务,长期专注于物联网与工控安全攻防技术研究,致力于挑战安全技术的极限与边界,保护客户的业务与资产安全,每月挖掘0DAY漏洞超过100+枚,先后多次获得施耐德电气等知名公司公开致谢,多次占据CICSVD漏洞收录榜榜首。
洞见安全实验室研发出的自动化漏洞挖掘系统,能够通过对二进制文件的反编译,实现对反编译代码执行符号执行与污染跟踪分析,结合自主AI的人工智能技术,精准发现并快速定位系统中存在的包括内存越界、溢出等各种类型安全漏洞,帮助客户先于黑客发现自身系统风险,提高产品安全防护能力。
顶象是一家以大规模风险实时计算技术为核心的业务安全公司,已帮助1400多家能源、电力、金融、互联网、零售、科技等企业客户构建自主可控的风险安全体系,实现业务可持续的增长。