5月7日是美国油气管道企业Colonial pipeline遭勒索软件袭击事件一周年纪念日,由于该事件影响较为深远,因此多家海外安全专业媒体都纷纷撰文回顾、总结该事件引出的一些经验、教训,以期望有可能帮助组织为未来的袭击做好准备。TechRepublic采访了几位网络安全专家,他们对企业应该注意什么发表了各自的看法。
在看本文之前,安全419也特别整理了在该事件后做的一系列报道,以期望能够在这个日子中回顾该事件的同时,也了解作为关基的运营者,应该从该事件或类似中吸取什么样的教训。
•回顾美国油气管道商遭“勒索”停运事件 关键基础设施应该如何御敌?
•以微知著:对美国油气管道公司因勒索攻击被迫停止运营事件的思考
•为什么勒索软件对关键基础设施构成如此大的威胁
•专家访谈|厄瓜多尔电信公司遭攻击的警示 勒索攻击频发之下如何应对?
接下来还是简单回顾一下事件本身,该事件为黑客侵入了Colonial pipeline的系统,导致管道操作瘫痪,此外,攻击者还窃取了近100GB的数据,并要求支付75比特币(当时约合440万美元)以恢复系统。最终,该公司选择向攻击者支付了赎金,而DarkSide被确定为此次事件的始作俑者。
Colonial pipeline遭攻击最重要的启示之一是,关键运营部门的网络安全需要升级。黑客攻击的一个主要影响是供应链问题,因为我们可以看到加油站和机场开始受到输油管道瘫痪而导致缺油的影响。
LogRhythm的CSO詹姆斯·卡德(James Carder)表示:“这类关键领域的组织必须采取行动,因为这是一个被严重忽视的攻击载体,对美国的国家安全至关重要。任何利用技术支持关键基础设施运营的组织,都需要确保建立适当的保护措施,包括加强密码、威胁检测、预防控制和响应控制,以及快速阻止和识别潜在风险。”
该文章认为,美国总统签署通过的《加强美国网络安全法案》是缓解这类攻击严重性的途径之一。该法案于今年3月15日签署成为法律,要求企业在一定时间内报告黑客行为,否则将面临经济处罚。
Sungard Availability Services的网络和安全产品管理总监马修·帕森斯认为:“通过这件事我们应了解到的重要一点在于,关键基础设施真的没有我们想象的那么安全。我认为这提高了大家在关键基础设施领域加强网络安全的意识。《加强美国网络安全法案》试图提高对关键基础设施的要求。”
化工、关键制造业、能源、食品、应急服务、医疗保健和IT行业的企业也应该加强防御,不仅是在技术方面,还应该让员工在最佳实践方面做好准备,以避免这些新的勒索软件攻击。
Cyber Coast to Coast播客的主持人斯科特•肖伯表示:“在该事件中,一个密码被一个过时的VPN账户泄露了,而VPN账户是黑客进入网络并要求付款的渠道,我们应得到的一个教训,那就是在访问控制上需要进一步的加强,在用户名和密码被泄露的情况下,如果使用了MFA,那么至少增加了一层安全,也增加了破坏网络的难度,而如果应用了零信任,就会变得更加可靠,因为每个帐户的信任是有限的,一旦黑客入侵,他们就无法在整个网络内横向攻击,因为他们对特定帐户段的访问权限有限。”
另一方面,当黑客们看到从Colonial Pipeline和其他关键基础设施攻击中勒索的数百万美元时,他们可能也意识到勒索软件的真实吸金能力。帕森斯表示,这种规模的攻击和它可以产生的资金收益可能会鼓励类似的组织进一步发动大规模的恶意攻击。
帕森斯认为:“在这次袭击之后,这些攻击组织无异于被打了一针强心剂,因为它确实得到了丰厚的回报,因此这些人将会特别针对那些规模较大、会对自身及其客户产生影响的组织、企业。因为一旦攻击得手,就会给民众造成很大的恐慌和混乱,大幅提升获取大额赎金的可能性。”
文章最后写道,虽然这次攻击背后的情况令人遗憾,但从Colonial pipeline攻击中收集到的信息可能对网络安全领域的每个人都是必要的。在某种程度上也迫使许多行业的各种组织进行自我评估,以避免下一个对关键基础设施领域的灾难性攻击。