腾讯安全：反思美国燃油管道公司停运事件 OT安全市场仍然存在较大缺口

5月10日，一则“美国宣布进入国家紧急状态”的消息突然闯入微博热搜，引起了各界的关注。原来，是一家名为Colonial Pipeline的美国最大的燃油管道运营商在当地时间5月7日遭受到了勒索软件攻击，该公司燃油管道运输管理系统遭到了黑客的劫持。为了避免发生更糟糕的安全事故，Colonial公司暂时关闭了所有管道的运营。

 

为了最大程度减轻Colonial 公司输油管道持续关闭带来的影响，美国宣布进入“国家紧急状态”，解除了17个州和华盛顿特区对公路运输燃油的限制，以保障地方的燃油供应。截至目前，该公司的系统尚未恢复正常，所有的管道运输仍然处于停运状态。

 

 

此次社会影响巨大的勒索软件攻击事件也为国内的网络安全行业与关键基础设施敲响了警钟。如果重要的关键基础设施单位的业务系统遭到勒索攻击，导致重要的核心业务被迫下线，面对“撕票”的威胁，难道只能乖乖的向网络犯罪团伙缴纳赎金？

 

安全419近日联系到了腾讯安全团队的多名安全专家，倾听了腾讯安全专家对此事件的详细分析和解读。

 

 

“其实这次安全事件在发酵的过程中被媒体夸大了，事件的影响并没有大家想像的那么大。”腾讯安全科恩实验室负责人吴石告诉安全419。

 

吴石先为我们梳理的这次Colonial 公司被攻击的时间线。

 

5月7日，美国燃油管道运营商Colonial Pipeline公司发现攻击事件后，发布了一份公告宣布公司被迫关闭了总长约8851公里长的输油管道。

 

 

5月9日，美国交通运输部下属的联邦联邦汽车运输安全管理局发布了一个区域紧急状况的声明，宣布临时给美国东海岸的部分州授权允许用汽车运输燃油。

 

事实上，Colonial公司因为攻击主动关闭了输油管道，这造成了部分地区燃油的紧缺，然而美国法律只允许通过管道运输燃油，如果不发布紧急状态声明的话，不能使用汽车运输油料，所以才会发生这样的一件事情。目前来看，攻击事件造成最大的影响就是燃油管道被迫关闭了，导致一些地区只能使用库存燃油，因此并没有造成一些像大家想象中那样的更恶性的损失和影响。

 

 

虽然“美国进入紧急状态”只是大众的一次误解，但本次Colonial 公司发生的勒索软件攻击事件毫无疑问是一起十分典型的勒索软件攻击事件。

 

吴石谈到，近两年来勒索软件攻击正在变得越来越猖獗。

 

“过去这些网络犯罪团伙的攻击目标主要集中在互联网和金融领域，但是这些领域对安全重视程度的不断提高，网络犯罪团伙的攻击成本变得越来越高，攻击难度也越来越大。因此，其中一些组织就转向了一些新的技术领域，如物联网、工业互联网等等。这里显然存在着更大的收益机会。”吴石表示。

 

由于金融行业、互联网行业对安全更加敏感，近些年来，随着全球的一些攻防演练，以及网络安全技术的普及，上述领域的安全性本身得到了大幅的提高，包括企业的安全建设、安全服务团队建设、安全员工的安全意识教育等方面都得到了较大的提升。

 

而在一些关键基础设施，如石油化工、电网、交通以及一些工业自动化领域，安全的建设仍然有一些滞后性。尤其是随着这些年数字化转型的加快，这些企业也逐渐的将一些业务搬到云上，庞大的IT和OT系统连接到网络中后，各式各样的网络攻击就紧跟而来。

 

“通常在工业互联网单位的IT网络中可能没有太多有价值的数据值得攻击者勒索，因此他们会从IT网络渗透进来，在企业办公网中向OT网络横向移动，一旦企业的生产运营网被黑客掌握，后果是不言而喻的。”

 

目前在IT网安全建设方面，安全行业已经形成了比较成熟的高水平网络安全解决方案，但是在物联网和工业互联网的OT网络方面，市场仍然存在很大的缺口，需要整个安全行业大量的投入，而且要加快节奏。

 

 

攻击事件发生后，很多安全从业者将这次事件归为APT攻击，安全419也就此问题向腾讯安全专家进行了咨询。

 

腾讯安全资深专家林智鑫告诉安全419 ，就目前已经得到的消息来看，这次安全事件更多角度上来看仍然属于一次产业化的勒索软件攻击，虽然他和APT攻击有一些相同点，但也并不能完全归为一类。

 

勒索软件团伙的攻击方式有两种类型，一种类型是说攻击者是以“广撒网”的形式发起的攻击，他们不区分攻击目标是谁，攻击的是什么设备，而是像蠕虫病毒一样持续的尽可能感染更多的设备。

 

除此以外，还有一种定向攻击目标的形式，这次针对美国油气管道公司的攻击就是一个典型案例。这种攻击类型的团伙会专门挑大公司下手，不断地寻找那些大公司的薄弱安全环节，然后发起持续的定向的渗透。这也是为什么说它和APT攻击有一些相同点，因为他们同样瞄准大型企业，然后需要长期的潜伏和渗透。

 

APT攻击之所以叫做高级持续威胁，是因为大多时候他并不以获取经济利益为目的，而是更多的倾向于获取数据和情报。APT组织的攻击行动会更加隐蔽，也更加难以发现。而勒索软件组织来说，一旦他实施勒索的瞬间，就相当于主动暴露了自己，这也是二者之间最大的不同。

 

林智鑫表示，当前的勒索软件组织已经发展成了一个十分成熟的产业，勒索软件组织内部不同员工之间的分工十分明确，有人负责编写勒索软件代码，有人负责投递钓鱼邮件，也有人去专业做数字货币的洗白等等。

 

勒索病毒从零星恶作剧发展到频繁发生的主要原因包括三点:第一勤索病毒加密手段复杂，解密成本高;第二，使用电子货币支付赎金，变现快追踪难;第三，勒索软件服务化的出现，开发者提供整套勒索软件解决方案，从勒索软件的开发、传播到赎金收取都提供完整的服务。攻击者不需要任何知识，只要支付少量的租金就可以开展勒索软件的非法勾当，大大降低了勒索软件的门槛，推动了勒索软件大规模爆发。

 

与此同时，随着不断有新的攻击者通过迫使受害者就范而获得非法收益，散在发生的勒索病毒攻击手法日益流行，其表现和传播手法也在不断升级。常见的攻击方式包括系统漏洞攻击、远程访问弱口令攻击、钓鱼邮件攻击、Web 服务漏洞和弱口令攻击、数据库漏洞和弱口令攻击等。

 

林智鑫表示，勒索病毒未来将呈现勒索产业化、场景多样化平台多元化等显著趋势，持续对公众网络安全造成极大的威胁。

 

 

腾讯安全近期对外发布的《2021上半年勒索病毒趋势报告及防护方案建议》中显示，广东、浙江、山东、湖北、河南、上海、天津较为严重。而数据价值较高的传统行业、医疗、政府机构是重灾区，占比依次为37%、18%、14%，总计占比高达69%。

 

不难看出，中国已成勒索软件攻击的重灾区之一。回到本文最初的那个问题，如果重要的关键基础设施单位的业务系统遭到勒索攻击，导致重要的核心业务被迫下线，面对“撕票”的威胁，难道只能乖乖的向网络犯罪团伙缴纳赎金？

 

腾讯安全资深专家谭昱对这一问题进行了解答。

 

谭昱告诉安全419，“就勒索软件的防御措施来说，当前单靠技术手段，或者依靠某一款安全产品是很难实现的。抵御勒索软件攻击是一件长期且持续的事情，不是加强某个环节、某一个点就能解决，而是需要体系化的管控，需要整体提升防护水平，建立完整的网络安全体系。”

 

随着勒索软件攻击事件的多发，腾讯安全近年来一直持续的对于各种勒索软件的组织，包括之前的事件这些都有持续的跟进和分析。根据具体客户业务类型的差异，对应的处理方案还是会有一些区别。

 

以云上的客户为例的话，那么最主要的防护手段还是要从攻击者的入侵途径来做好安全建设，比如漏洞、弱口令密码，或者是其他的异常登录等等。因此那么对于云上的客户，其实除了要部署各类安全的软硬件，持续的监测自身安全状态外，更多的还需要关注比如最新的漏洞的信息，及时的通过第三方安全产品，或者自己去主动做好安全更新升级，保证我们的系统环境是一个比较新的状态。

 

谭昱强调，企业尤其要对员工安全意识教育提高投入。告诉自己的员工什么是符合规范的密码形式，全面杜绝因为员工使用弱口令密码这样的初级错误，让攻击者有机可乘。此外，包括一些不要随意点击陌生邮件附件，不要去一些不知名的网站下载不安全软件等等，需要不断通过日常的安全教育潜移默化提升员工安全意识，以帮助自身规避一些可预见的安全风险。

 

腾讯安全科恩实验室掌门人吴石最后分享了自身对于Colonial公司勒索软件攻击事件的一些观点和几点思考。

 

吴石认为，社会大众应该辩证性看待安全与发展的关系。在任何社会的任何发展阶段，必然都会遇到一些新的挑战，如果这些挑战是由于新技术应用产生的，我们也可以通过一些技术手段去规避它，然后让这个事情的影响变得越来越小。工业互联网、物联网这些新生的技术领域都正处于一个蓬勃的上升期，相比发展而言，安全方面难免会存在一些缺失。

 

针对物联网领域来看，目前整个物联网行业仍然没有出现一下相对头部的企业，这也导致了大量的中小企业出现了恶性低价竞争，因此安全的重要性仍然没有得到足够多的重视。对于整个产业来说，尤其是消费物联网产业来说，市场仍然需要时间来沉淀，安全也只是时间的问题。而针对工业互联网领域来看，因为它与国计民生直接相关，除了产业自身的投入外，也需要国家力量的助推，比如通过设定一些准入的标准或是其他的一些方式方法，反向推动工业互联网领域从设计、生产等方方面面提升对安全的重视。

 

此次网络犯罪团伙对美国燃油管道网络的攻击再次为我们敲响警钟，没有网络安全就没有国家安全不仅仅是一句口号，更应该加速落实在实际行动中，来应对新时代不断增长的安全威胁。