全美最大燃油管道被黑客掐断
上周末,美国最大燃油管道运营商Colonial Pipeline公司宣布遭遇勒索软件攻击,导致部分IT系统停机,管道运营中断,美国东部沿海的燃油网络陷入瘫痪, 17个州和华盛顿特区进入紧急状态。根据目前公开的信息显示,这可能是美国能源系统有史以来遭遇的最严重网络攻击。
Colonial Pipeline运营的管道是美国最主要的成品油管道之一,每天通过管道系统输送超过1亿加仑的燃料,跨度长达5500多英里,美国东海岸45%的燃料都由该管道系统提供,此外还为美国军方提供精炼石油产品。
据外媒报导称, Colonial Pipelinel在袭击发生后的几个小时内就用无法追踪的加密货币支付了近500万美元的巨额赎金。
黑客在收到付款后向Colonial提供了一个解密工具,以恢复后者瘫痪的计算机网络,但由于该工具运行缓慢,Colonial使用了自己的备份来帮助恢复系统。最终在关闭六日后管道系统才得以恢复。
勒索软件的黑色产业链
根据BBC的报导,攻击Colonial Pipeline的组织为去年8月问世的DarkSide勒索软件集团,DarkSide不仅渗透了Colonial Pipeline网络、加密了系统档案,还下载了近100GB的数据作为要挟。
DarkSide的出现人们意识到勒索软件已形成一个产业链,DarkSide不仅设有媒体中心,发布攻击讯息;还与其它专门解密的业者合作,协助缺乏IT人才的受害者解密。卡巴斯基指出,DarkSide的生意经里可能还包含了另一种潜规则——寻找提供合法数据解密服务的公司作为合作伙伴。
目前,不少企业并没有自己的专业信息安全部门,遭遇黑客攻击时,需要依靠外部专家来帮忙解决。当DarkSide和这些技术公司联手时,可以假借对方的名义恢复数据,让受害企业以为通过合法途径解决问题www.cechina.cn,从而支付佣金,但最终钱财还是落入了DarkSide的口袋。
数字化和智能化带来的挑战
国际能源署(IEA)近日表示,此次网络攻击事故凸显出随着能源体系数字化与自动化程度不断加深,加强能源基础设施"抵抗此类网络攻击"的必要性。
IEA能源分析师Kristine Petrosyan表示,此次事故凸显出"能源供应面临的风险不断扩大",此次输油管关闭对于油市的影响可能要强于3月的苏伊士运河油轮搁浅事件。全球能源系统必须变得更具网络韧性"以承受、适应事件和从事故和攻击中迅速恢复,并确保关键基础设施持续运转。"
BBC指出,其实Colonial公司的运营高度数字化,他们使用压力传感器、恒温器、阀门和泵来监测和控制柴油、汽油和喷气燃料在数百英里长的管道中的流动。该公司甚至有一个高科技的"智能猪"(smart pig管道检测仪)机器人,在管道中穿梭,检查是否有异常情况。而以上这些设备都与中央系统相连。
有网络连接的地方,就有遭受攻击的风险,网络安全公司Check Point的欧洲、中东、非洲和亚太地区事件响应负责人Jon Niccolls指出,所有用于运行现代管道的设备都由计算机控制,而不是由人实际控制。"如果它们连接到一个组织的内部网络,那么管道本身就容易受到恶意攻击。"不过,目前还不清楚Colonial公司究竟是因为哪种信息安全漏洞中招的。
攻击者进入计算网络非常容易也是勒索软件攻击频发的主要原因之一。根据联邦调查局(FBI)的互联网犯罪投诉中心数据显示,网络钓鱼攻击的数量在2020年翻了一番,这是因为我们更多的人在家中工作CONTROL ENGINEERING China版权所有,而没有组织的IT保护。黑客窃取了人们的身份,损坏的数据和勒索的金钱估计造成42亿美元的损失。
关键基础设施成为首要目标
值得注意的是,近期美国政府一再警告针对政府实体和关键基础设施部门(包括能源、核能、供水、航空和关键制造业)的网络攻击正在激增。
就在Colonial Pipeline遭遇攻击之前数日,美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)刚刚发布了新的网络安全风险公告,指出在所有16个关键基础设施领域中即将出现严重威胁,并提供了详细的建议,包括如何保护工控系统的OT网络环境,并强烈建议立即创建准确的、可操作的OT网络图。所谓OT网络图,就是所有OT、物联网、工业IoT(IIoT)资产、流程、连接路径和用户活动的图谱和清单。
"基础设施成为首要攻击目标,年初以来美国连续发生的太阳风供应链网络攻击、佛罗里达水处理工厂被攻击,到今天输油管线勒索攻击事件一再证明。"360 集团董事长兼 CEO 周鸿祎日前表示,网络攻击已经不分军用民用,不分国家、企业、个人,每个节点都可能成为攻击跳板。需要整体协同防御才能抵御高级别攻击www.cechina.cn,提高基础设施网络安全防御能力已经迫在眉睫。
将AI融入网络安全的"是与非"
近年来,针对Travelex、Maersk等石油和天然气公司以及工业控制系统的攻击,已经导致数亿美元的巨额损失。随着攻击的日益增加,越来越多的安全专家正在使用人工智能(AI)来提高防御恶意软件攻击的效率。但也有人担心,犯罪分子也将开始使用AI将勒索软件武器化,并策划更有效的袭击。
随着物联网、云计算以及数字化业务的不断深入控制工程网版权所有,组织已从保护数千个设备的安全性转移到潜在的数百万个设备。在网络流量的这种新增长中,数十亿个随时间变化的信号必须进行分析以评估风险。在短短的几年内,安全性变得越来越复杂,因为要保护的目标要多得多。
除此之外,恶意攻击者也可以使用AI,这让攻击变得更加复杂和频繁,同时使他们能够自动进行破坏尝试。即使是现在最大的组织也无法手动处理这些威胁,因为他们严重缺乏安全专业人员。
根据Norton的报告,典型企业数据泄露的全球成本已达到386万美元,平均恢复期为196天。问题变得越来越严重,以至于企业安全性任务已经超出了人力能够完成的规模。这项工作需要新的盟友,而具有网络安全功能的AI迅速成为急需的救星。
根据Capgemini研究结果显示,80%的公司都想采用AI来帮助识别威胁和阻止攻击。这是一个很大的要求,因为实际上,很少有非专家真正了解AI对安全的价值,或者该技术是否可以有效解决信息安全的许多潜在用例。
但现实是,实施和部署基于AI的网络安全所需的时间、资源和成本都是很可观的。基于AI的网络安全取决于培训数据,而这并不容易实现,对于任何机器学习系统,尤其是在复杂的网络安全环境中更是如此。随着时间的流逝,系统会变得越来越好,但是早期必须耐心等待。
更糟糕的是,恶意攻击者知道您所知道的一切,并且可能拥有相同的AI工具。AI可以有效地分析用户行为,推导模式并识别网络中的各种异常或不正常情况。有了这些数据,可以快速轻松地识别网络漏洞。反之,现在依赖于人类智能的职责将易于受到模仿合法的基于AI算法的恶意程序的攻击。这也许是所有事情中最发人深省的一点。但这也凸显了将AI纳入网络安全并正确实施的紧迫性。
网络安全中的AI如何解决问题
随着我们越来越多地采用基于云的服务和虚拟化网络,传统防御策略逐渐过时,AI 正成为防御和对抗网络攻击不可或缺的工具。AI可以带来如下功能的提升:
· 自动化威胁检测。借助AI,可以在威胁带来实质性灾难之前就将其检测出来。通过对安全系统进行培训CONTROL ENGINEERING China版权所有,以使其在变得严重之前就可以检测到专用的拒绝服务攻击(DDoS)攻击。
· 威胁暴露。通过AI可以针对全球和特定行业的威胁,对安全系统进行频繁更新,并根据其本地发生的可能性对它们进行优先级排序。
· 资产安全管理。AI可以帮助企业管理与日俱增的庞大设备群,浏览其固件更新和安全补丁,而这些工作很难由人类安全专家高效的完成。
· 自我学习系统。网络安全中的AI使系统能够随着系统的发展而学习,每次成功与失败,自我学习系统都将变得越来越有效。
· 漏洞风险预测。AI系统可以学习预测各种场景下的漏洞入侵风险,甚至可以对这些风险进行优先级排序,从而使人类安全专业人员可以集中精力专注于处理最大的风险。
即使是在网络攻击发生后,AI分析也能为企业的安全策略带来一些积极的影响:
· 事件响应。AI可以为攻击提供详细的背景信息及其影响,以供后续研究之用,从而使安全团队可以了解出了什么问题以及以后如何改善网络安全性。
· 可解释性。AI可以帮助解决防御性故障的根本原因,从而不仅可以改善策略和管理,还有助于企业更轻松地改善基础架构和部署。
应当明确的是,目前网络安全领域如此之广,以至于没有任何一个供应商能够解决所有威胁或担忧。因此,企业应当优先考虑组织最紧迫的网络安全需求,并选择最符合这些需求的解决方案。