圣博润：从美国燃油管道商勒索软件攻击事件看工业互联网安全建设

 

昨日晚间，美国联邦调查局FBI发布声明称，确认Darkside勒索团伙是该攻击事件的幕后黑手，这一勒索软件团伙在Colonial公司网络中窃取了近100 GB的数据并向Colonial公司提出了巨额勒索。

 

 

目前这一事件给美国民众造成的恐慌正在缓解，但攻击事件的细节和具体影响仍有待进一步查明。正值行业热议的风口，安全419连线了圣博润工业互联网安全专家 arno江，请他就这一事件分享了自身的一些看法和观点。

 

 

arno 江分享了自己的观点，在他看来，其实是这个勒索软件组织不小心给自己惹了个大麻烦。根据外媒的最新报道，这次袭击是一个名为“暗面”（DarkSide）的网络犯罪组织所为，这个组织自2020年横空出世以来，风格高调，不但研发软件、培训“下线”，坐收提成，直接把勒索袭击当一门生意运营了起来，甚至还广而告之，发起新闻稿，邀请记者采访。

 

据BBC消息，“暗面”在5月6日就侵入了Colonial Pipeline的网络，将近100GB的数据作为要挟筹码；还威胁说，若不如期支付，就将把这些数据泄露到网上。据说其索要的赎金是价值或高达数百万美元的虚拟货币。

 

“暗面”组织一开始可能以为钓到了一条大鱼，却完全没想到事件会影响17个州和华盛顿特区的汽油、柴油、航空燃料和其他成品油供应。分析师表示，如果管道关闭超过10天，美国墨西哥湾的炼油厂将必然减产运行，东南部超过5000万人口的出行和生活（取暖用油）将受到严重影响。这次袭击甚至还惊动美国政府、FBI都参与进来了，并宣布美国进入国家紧急状态。

 

发展到现在这个局面，可能已经超出了“暗面”组织的预料和控制。

 

arno 江谈到，这次发生在美国的大规模勒索软件事件中，除了要看到勒索软件犯罪团伙带来的严峻安全威胁，以及要关注石油化工行业存在的安全问题之外，它更重要的意义在于，这次攻击事件给我国相关行业敲响了警钟，提醒了我们要重视工控安全，重视关键基础设施保护，同时举一反三，不仅石油化工，电力、能源、供水燃气、交通等各行业都要切实行动起来共同提高安全意识，认真查找各环节的弱点，加强安全防护。国家安全，企业有责。

 

 

arno 江认为，讨论关键基础设施的重要性和安全如何建设的话题，首先要明确关键基础设施的定义。

 

什么是关键基础设施？关键基础设施是指那些被视为对社会作为一个综合实体继续顺利运作至关重要的基本资产。包括有的交通系统、电力和其他能源系统以及卫生系统等。还可能包括金融、电信、燃气和供水系统等。

 

而工控信息安全范畴内的“关键信息基础设施”，是指那些采用了工业控制系统实现自动控制和运行的基础设施。一套控制系统由两部分组成，一部分是人机界面（简称Windows层），人们可以在控制室的屏幕上看到设备运行状态，大多在Windows、Unix和Linux等平台上，系统使用的也是TCP/IP协议。另外一部分设备看起来不象计算机，也不使用Windows。它们使用的是专有实时操作系统系统或完全嵌入式系统（简称控制系统层）。

 

在工业控制系统中，Windows层中可以进行网络取证。但在控制系统层，非Windows层里，却几乎无法进行任何网络取证。控制系统层发生的故障，除非有专业人士的鉴定，否则你不能说这属于网络攻击，而不是其它的问题。最好的例子，就是发生在澳大利亚马奇由一名心怀不满的前承包商制造的事故。在他对监督控制和数据采集(SCADA)系统及污水排放阀进行了20次攻击后，企业管理者还认为这是一次机械或电气故障。直到第46次攻击出现时，他们才确认是攻击并抓到他。

 

arno 江表示，要做好工业控制系统的网络安全建设，首先从建设依据来说，工控网络信息安全建设必须以等级保护的基本要求基础，因为等级保护是我们国家的基本网络安全制度、基本国策，也是一套完整和完善的网络安全管理体系。但是等保2.0里面的工控扩展部分，要求描述比较少。原因是自动化生产网络存在很大的行业差异，无法统一标准。这时候就要参考《工业控制系统信息安全防护指南》的指导要求，来进行工控网络安全的设计。

 

在能源行业，电力行业有国家能源局印发《电力监控系统安全防护总体方案》（36号文），石油化工行业有中国石化于2017年发布《关于加强工业控制系统安全防护的指导意见》，都在工业控制系统安全建设方面做了明确的指导建议，制定了针对性的安全防护策略，完善整体安全防护措施。

 

其次，从安全防护的实际目标出发，对于工业控制网络来说，基于异常的检测方法对其非常适用，因为工业控制网络的拓扑结构相对静态，通信模式具有规律性并可预测，非常适合利用白名单机制建立工控安全白环境。在辅以等保建设要求，关注身份认证、用户授权、访问控制、安全审计，安装复杂的新型监控设备，以更快地发现黑客或恶意程序，并与政府广泛共享这些信息。同时做好网络检查工作，确定关键节点，发现电网组件中的缺陷或隐藏组件，最大限度的降低被入侵的风险，这样就建立了安全防护的基础。