突发！勒索攻击致美国多州进入紧急状态，关基安全敲响警钟

你信任的亚信安全 2022-08-17

突发

央视新闻报道，当地时间5月9日，美国联邦政府交通部联邦汽车运输安全管理局宣布美国17个州和华盛顿特区进入紧急状态，以应对勒索软件的攻击。此次攻击迫使美国最大的成品油管道系统Colonial Pipeline关闭了关键的运输管道。

攻击事件回顾

美国当地时间5月7日

全美最大成品油输送管道的运营商Colonial Pipeline公司工业控制系统遭黑客勒索软件攻击，被迫全面暂停运营。

5月8日

Colonial Pipeline发布声明称，为防止病毒扩散，Colonial Pipeline主动将关键系统进行脱机，并已经聘请美国麦迪安网络安全公司（Mandiant）调查网络攻击事件。

5月9日

截止当日，管道主干线仍然中断，Colonial Pipeline公司尚未给出恢复日期。美国联邦政府交通部联邦汽车运输安全管理局宣布美国17个州和华盛顿特区进入紧急状态，以应对勒索软件的攻击。紧急声明临时给予了上述区域汽油、柴油、航空燃料和其他成品油的临时运输豁免，以便使燃料可以通过公路运输。

作为美国东海岸最重要的燃油运输管道商，科洛尼尔负责美国东海岸地区约45%的液体燃料管道运输供应服务，每天向客户提供超过1亿加仑的燃油。如果线路未来几天依然中断，美国东南部各州将首当其冲，迅速出现大规模油料短缺。部分地区已出现恐慌囤油的迹象。

攻击的幕后黑手

据CNN报道，美国一位前高级网络官员称，此次网络攻击可能来自俄罗斯的一组犯罪团伙DarkSide。美媒彭博社也报道了类似的内容，网络犯罪集团DarkSide是攻击的幕后黑手，黑客设法窃取了100 GB的公司数据。同时美国NBC新闻频道的知情消息人士也指出，俄罗斯的黑客犯罪团伙疑似实施了攻击。

Darkside黑客组织背景情况

DarkSide勒索病毒团伙是勒索软件即服务（RaaS）的新锐代表之一，DarkSide热衷于将自己装扮为英国民间传说中的英雄人物"罗宾汉"，其将自身描绘成极度专业的黑客团队，它们会在攻击中留有一个电话号码，甚至还有一个服务台，以促进他们与受害者的谈判。

据英国网络安全公司Digital Shadows的追踪，DarkSide的运作就像一家企业。该组织开发用于加密和窃取数据的软件，然后对“会员”进行训练。后者会接收包括加密软件、勒索电子邮件模版以及攻击培训的工具包，并把成功勒索的收入，按比例支付给DarkSide。据路透社一位顶级网络安全记者称，DarkSide甚至在暗网拥有网站，并透露已从网络勒索攻击中获利数百万美元。

DarkSide勒索病毒团伙攻击目标的针对性非常强，他们会对目标进行长达数周乃至数月的技术分析工作，甚至会对目标进行财务分析；该团伙曾公开表示，他们不以医院、学校等非营利组织作为攻击目标，而是针对有能力支付大额赎金的企业或机构进行攻击，然后将部分赎金通过不可追踪的网络货币（例如比特币）捐赠给慈善机构。

据英国广播公司（BBC）于2020年10月20日报道，目前已经披露了两个捐赠项目。其中之一的儿童国际组织（Children International）表示如果捐赠与黑客行为有关，表示不会保留这笔钱。

该组织的捐赠行为通过的是位于美国的名为Giving Block的服务，全球67个不同的非营利组织都在使用该服务，其中包括Save The Children，Rainforest Foundation和She's The First。

Giving Block在网上将自己描述为"唯一接受加密货币捐赠的非营利性特定解决方案"。该公司成立于2018年，旨在为加密货币"百万富翁"提供利用"巨大的税收激励措施，将比特币和其他加密货币直接捐赠给非营利组织"的能力。

在针对此捐赠事件的采访中，Giving Block告诉BBC，它不知道这些捐赠是由网络犯罪分子做出的。它说："我们仍在努力确定这些资金是否确实被盗。如果事实证明这些捐赠是使用被盗资金进行的，那么我们当然会开始将其退还给合法所有者的工作。"

我国石油管网的网络安全分析

国内外信息安全趋势对比

国内大型企业的信息安全建设趋势主要是，在遵循信息安全政策、标准和规范的基础上，针对互联网安全威胁，满足内部网络安全的总体需求，从顶层设计建立信息安全完整体系。

减少直至杜绝内部敏感信息的泄漏和重要数据的丢失而引发的安全事故，建设安全的业务网络运行环境，成为信息化管理的重要工作。

国外信息安全发展趋势已经从强调信息安全技术向技术与管理并重转变。通过应用多种技术手段，提高安全管理实效；通过加强管理措施，保障采取的安全控制技术落实到位。信息安全保护模式也从较为单一、被动的保护模式向系统、动态、全面的保护模式发展。

通过加强和完善信息安全人员体系建设，促进信息安全工作开展；通过采取监测与审计措施，转变传统信息安全保护模式；通过完善信息安全人员体系建设和加强监测与审计措施，由静态、被动、事后补救信息安全保护模式转变为动态、主动的预防式信息安全保护模式。

从国外一流企业的信息安全建设来看，主要趋势是，加强信息安全风险管控能力，采用流程化的管理方式，构建信息安全管理核心系统。

能源公司网络结构分析

（1）整体架构设计：

多运营商链路接入，通过链路负载均衡进行最佳分配；
利用流量清洗，防护出口分布式拒绝服务攻击；
双层异构防火墙对出口进行整体访问控制；
通过负载均衡，将外层防火墙设置成虚拟链路，针对不同的业务分配虚拟链路防护。

（2）互联网访问功能模块：

通过代理服务器进行互联网访问；
使用上网行为管理系统，配置互联网访问白名单策略，结合入侵检测、防病毒等系统组成流量清洗中心，对进出流量进行往返监测、过滤、审计。

（3）运维审计管理：

部署日志、安全中心、审计及备份等系统，实现存档备案、安全管理等功能；
利用内容审计设备对用户的互联网访问进行记录和汇总。

能源公司网络防护薄弱环节分析

经过历年来的实网攻防演练，相关能源企业都已经加强了边界防护，在逐步减少互联网出口数量，但是边界防护依然薄弱，主要表现在:

（1）互联网边界依然是企业的最大安全暴露面和脆弱点：

互联网出口数量众多。几乎每家企业都有自己的互联网出口，部分企业还存在多个的互联网出口。
互联网出口防护不严。部分企业存在互联网边界安全域划分不合理，未设置DMZ区等问题，应用发布漏洞多。
VPN防护不严，导致大量入侵通路，危及企业网络安全。

（2）小企业防护比较弱，导致风险跨企业蔓延：

例如能源公司网络是一个整体，内部的网络互通，数据中心边界未部署访问控制设备，从一个外部薄弱企业入侵后，进一步入侵内部薄弱的企业。

（3）出口众多：

108家央企，249个出口。（根据2015年企业信息安全风险评估统计）
互联网接入点的技术架构不规范。
使用代理少，没有审计能力。

（4）应用发布不规范：

发布应用种类较多，采用技术手段不一，物理机发布，虚拟化发布、专用发布。
对外发布应用的安全防护存在较多漏洞，通过现场渗透措施发现437个信息系统可被攻破。（根据2015年企业信息安全风险评估统计）

相关对策建议

做好安全防护工作

重要数据及时备份，并明确备份管理机制。
安装恶意程序防护软件，开启主机防火墙，阻断445、135、139、3389等端口有利于病毒传播端口。
强化操作系统、中间件、业务系统等密码口令，使用至少10位以上由数字、字母、特殊字符构成的复杂口令，且不要复用。
升级服务器操作系统，更新最新漏洞补丁。
安装主机终端安全防御系统。
对已感染的主机及时进行隔离处置。

强化网络安全防护水平

建立健全的网络安全保障体系，提升安全防护水平，抵御APT高级持续性攻击，保障数据安全与业务连续性。落实信息安全等级保护的要求，组织技术力量全面开展对本单位关键信息基础设施、重要信息系统、重点网站的安全性和风险点进行全面安全检查，评估网络安全薄弱点，查漏补缺，及时做好强化加固处置，提升信息系统安全性。

完善应急处置机制

明确信息安全管理责任人，进一步完善应急处突工作方案，建立健全应急预案体系，完善专业技术支持队伍、应急资源协调联动机制，提升应急响应处置能力，一旦发生病毒感染事件，能快速有效组织力量开展响应处置工作。

（部分内容来源于网络）

行业热点：

威胁狩猎服务：深挖潜伏敌，破解无间道

亚信安全 “威胁狩猎服务” 开辟高级网络威胁治理新赛道

威胁狩猎服务 | “深度体检+专项筛查”灵魂拷问威胁入侵

终端安全 | 终端准入：违规不入网，入网必合规

了解亚信安全，请点击“阅读原文”