在過去，當(dāng)發(fā)生大規(guī)模入侵時(shí)，受影響的用戶會(huì)收到密碼更改通知，并且需要在接下來的12-18個(gè)月查看他們的銀行賬戶變動(dòng)。然而，Colonial遭到破壞導(dǎo)致了燃料管線服務(wù)范圍內(nèi)的燃料短缺，對(duì)整個(gè)國民經(jīng)濟(jì)生產(chǎn)活動(dòng)造成具體的影響。

　　那么

　　為什么管道一開始就被關(guān)閉了呢？

　　當(dāng)消息首次傳出時(shí)，人們做了很多假設(shè)，認(rèn)為勒索軟件感染了物理管道系統(tǒng)——操作技術(shù)（OT）�，F(xiàn)實(shí)情況是，Colonial主動(dòng)關(guān)閉了他們的OT系統(tǒng)，以避免受到被入侵的內(nèi)部系統(tǒng)影響。對(duì)Colonial來說，這可能是他們最好的選擇，因?yàn)檎麄�(gè)OT網(wǎng)絡(luò)的感染可能會(huì)導(dǎo)致輸油管道的停機(jī)時(shí)間大大延長，并造成更大規(guī)模的燃料短缺。

　　OT 基礎(chǔ)設(shè)施與傳統(tǒng) IT 網(wǎng)絡(luò)截然不同。 雖然已經(jīng)大力推動(dòng)現(xiàn)代化，但控制系統(tǒng)運(yùn)行過時(shí)的操作系統(tǒng)的情況依然很常見。 Windows NT 和 XP 仍然大量存在于 OT 網(wǎng)絡(luò)中。部分原因是系統(tǒng)可能已經(jīng)使用了 20 年，并且由于 24/7 全天候運(yùn)行的需求或更換成本過高而導(dǎo)致無法輕松升級(jí)。但控制系統(tǒng)無法再針對(duì)漏洞打補(bǔ)丁，而且通常無法使用現(xiàn)代化安全工具。因此，在Colonial的案例中，如果他們的管道系統(tǒng)受到影響，則需要進(jìn)行大規(guī)模的重啟和恢復(fù)操作。而對(duì)于一條從德克薩斯州延伸到新澤西州的管道，手動(dòng)重啟將需要付出巨大的代價(jià)。

　

　　整個(gè)OT網(wǎng)絡(luò)的感染可能會(huì)導(dǎo)致管道的停機(jī)時(shí)間大大延長，并造成更大規(guī)模的燃料短缺，對(duì)于Colonial公司來說，關(guān)閉管道可能是他們最好的選擇。

　　人們似乎把大量的注意力集中在了實(shí)際的關(guān)停和支付贖金問題上。然而，在Colonial公司走到這一步之前，有很多方面問題。到目前為止，圍繞Colonial漏洞的細(xì)節(jié)還沒有公布，但如果我們看一下DarkSide過去是如何運(yùn)作的，就會(huì)發(fā)現(xiàn)存在多個(gè)漏洞導(dǎo)致勒索軟件入侵。

　　首先，攻擊者必須進(jìn)入Colonial的網(wǎng)絡(luò)。在以前DarkSide的攻擊事件中，我們?cè)��?jīng)發(fā)現(xiàn)攻擊中通過一個(gè)脆弱的VPN集中器入侵網(wǎng)絡(luò)，但這次入侵可能是通過一個(gè)容易猜到的密碼或某人在公司的筆記本電腦上點(diǎn)擊了一個(gè)惡意的鏈接所致。

　　一旦進(jìn)入網(wǎng)絡(luò)，攻擊者就會(huì)在網(wǎng)絡(luò)中設(shè)置多個(gè)著陸點(diǎn)，以防發(fā)現(xiàn)并修復(fù)初始入口點(diǎn)。以前，Darkside威脅參與者只需下載TeamViewer等合法工具，即可輕松遠(yuǎn)程訪問內(nèi)部系統(tǒng)。更有甚者，利用這個(gè)機(jī)會(huì)禁用備份軟件或刪除能找到的任何備份。

　　一種越來越流行的戰(zhàn)術(shù)是 "雙重勒索"，即攻擊首先將數(shù)據(jù)（客戶數(shù)據(jù)、金融信息、知識(shí)產(chǎn)權(quán)等）復(fù)制到一個(gè)由攻擊者操作的遠(yuǎn)程位置，再加密原始數(shù)據(jù)，之后他們通過收取贖金來刪除被盜數(shù)據(jù)，以及解鎖被加密的原始數(shù)據(jù)。以前的一項(xiàng)取證調(diào)查顯示攻擊者下載了開源工具 "rclone"，將數(shù)據(jù)轉(zhuǎn)移（并加密）到云存儲(chǔ)服務(wù)中。

　　一旦組織的網(wǎng)絡(luò)系統(tǒng)被滲透進(jìn)來，攻擊者就會(huì)部署一個(gè)工具來加密文件，并在醒目的位置加以解密說明，注明如何支付贖金和恢復(fù)數(shù)據(jù)。

　　從董事會(huì)到前臺(tái)…

　　每個(gè)人都應(yīng)該定期接受安全意識(shí)培訓(xùn)，

　　以協(xié)力預(yù)防常見的惡意行為。

　　建議

　　Advice

　　企業(yè)或組織可以采取一些措施來幫助抵御攻擊（如DarkSide）。

　　IT和OT安全有很多不同，但不能將它們分開來看。IT和OT團(tuán)隊(duì)必須協(xié)同工作，形成一個(gè)完整的安全框架，該框架為每個(gè)環(huán)境使用正確的工具，并將安全信息匯總到一起。IT和OT團(tuán)隊(duì)之間的“冷淡”關(guān)系并不少見，因此引入一個(gè)公正的第三方可以幫助突破合作障礙。

　　安全必須成為企業(yè)文化的一部分。從董事會(huì)到前臺(tái)的每個(gè)人都應(yīng)該有定期的安全意識(shí)培訓(xùn)，以幫助防止常見的惡意行為，如容易被猜中的密碼問題等。

　　Colonial公司似乎已經(jīng)做出了正確的選擇，選擇關(guān)閉業(yè)務(wù)，以防止勒索軟件從IT到OT的傳播。如果使用適當(dāng)工具，在被感染的IT網(wǎng)絡(luò)中，提前介入并強(qiáng)制隔離惡意軟件，避免其進(jìn)一步傳播，情況會(huì)大不相同，可能不需要關(guān)閉OT系統(tǒng)。

　　近年來，針對(duì)關(guān)鍵基礎(chǔ)設(shè)施和OT資產(chǎn)的攻擊不斷增加。OT的現(xiàn)代化可以顯著提高生產(chǎn)效率并節(jié)約成本，然而，增加的連通性也可能帶來風(fēng)險(xiǎn)。通過適當(dāng)?shù)挠?jì)劃以及現(xiàn)代化安全工具的應(yīng)用，可以實(shí)現(xiàn)OT的正常運(yùn)行、安全性和可靠性。

　　NTT Ltd.以IT和OT完整的安全生命周期服務(wù)框架，以及針對(duì)業(yè)務(wù)視角、架構(gòu)視角、設(shè)計(jì)視角不同層次組件的審視，結(jié)合客戶當(dāng)前現(xiàn)實(shí)環(huán)境，遵循企業(yè)的價(jià)值主張，為不同行業(yè)的客戶提供IT和OT相關(guān)的咨詢、評(píng)估、設(shè)計(jì)、實(shí)施、托管、優(yōu)化等全方位安全服務(wù)。幫助企業(yè)客戶從人員與流程、解決方案、成熟度量化的不同緯度提升整體安全能力，降低安全風(fēng)險(xiǎn)。