公司新闻

警惕!能源行业遇重大攻击勒索事件,该如何应对?

近期Colonial Pipeline所遭遇的攻击勒索事件无疑是迄今为止能源行业所遭受的最重要的网络攻击行为之一。

2021年4月29日,Colonial Pipeline公司(美国最大燃油管道运营商,美国东海岸大约45%的燃料由其输送)遭到黑客组织DarkSide的攻击。之后,该公司暂时关闭了整个运输网络,造成市场上严重的燃料短缺和油价飙升。虽然Colonial Pipeline在两周内恢复了服务,但此次事故仍对5,000多万居民产生影响,同时也令美国能源行业受到冲击,此外该公司还需支出500万美元的赎金(尽管一些赎金后来被当局扣押)。

像这样的典型的安全事件突出表明,网络攻击和破坏会极大损害企业声誉和利益,同时严重时影响公众服务。因此,对于机构组织尤其是为公众利益服务并在经济中发挥重要作用的组织机构,应尤其重视自身网络安全管理的建设。

警惕!能源行业遇重大攻击勒索事件,该如何应对?

事件回顾:黑客如何攻入企业网络

一个废弃的、闲置的VPN账户,再加上Colonial Pipeline公司内部糟糕的密码管理措施,为黑客的此次攻击创造了条件,最终在4月29日黑客通过VPN账户侵入了该公司网络。该账户在攻击发生时已处于非活跃状态,而该帐户的密码却在暗网中流转,这意味着Colonial Pipeline的员工可能在其它账户上使用相同密码并在一系列的攻击活动后暴漏了该密码。更有利于黑客的是,该VPN帐户也没有使用多因素认证(MFA)。这起事件在一周多的时间里并没有引起相关人员的注意,直到5月7日勒索事件发生。此后,该公司又花了一周时间进行受损和安全评估,于5月12日才恢复了服务。

从该事件中,我们看到该机构并未能足够重视数据的安全性,尤其针对核心关键资产。若能够及时采用多因素认证、身份识别措施、删除非活跃状态的特权帐户以及实施可靠的访问控制流程,该事件就不会升级为一项影响重大的网络安全事件。

Colonial Pipeline管道公司安全系统为何失灵

在2020年初发生的新冠疫情促进了远程办公的工作方式,居家办公及远程接入在企业中日益普及,这也导致基于远程访问的攻击数量大幅增加,网络罪犯分子总是在寻找脆弱的vpn安全漏洞和远程访问路径以进入企业关键的基础设施,而员工的疏忽和企业的管理措施不当,为安全事件的发生埋下了隐患。

此次针对Colonial Pipeline的攻击是灾难性的,同时也是可预防的,促成此事件的关键几个要素:

重复密码在敏感账户上使用:

如果该机构强制对特权帐户使用唯一密码,员工就不能为其公司帐户设置之前使用过的密码。最容易做到这一点的方法是使用密码生成器,生成器以随机的方式生成强而复杂的密码。

孤立、废弃和不活动的特权帐户没有管理策略:

用于访问Colonial Pipeline内部网络的帐户在攻击时没有处于活动状态。许多机构不跟踪非活跃状态的帐户以及那些属于前雇员的帐户,直到发生重大事故时,才会发现删除这些账户。

没有将多重身份验证应用于特权远程访问:

缺乏有效的身份验证,导致仅凭账户密码就可以轻松访问关键系统而不受阻拦,导致授权访问及访问目的不受控制,如果攻击者在访问这些系统时,要求进行二次身份验证,将会极大的削弱攻击者的成功率。

没有统一的网络接入解决方案:

对于远程访问来说,访问控制较差的VPN是不安全和不可靠的。像Colonial Pipeline这样的关键组织机构需要的是一个中心控制台,通过中心控制台将所有对企业网络的访问统一起来—针对本地或云环境也是一样--通过严格的访问控制和会话监控监督接入行为。

缺乏适当的风险检测和预防控制:

具有全面的网络监控工具,在侵入事件发生时触发及时的警报给有关管理人员,以及时采取应对措施。入侵检测系统、入侵预防系统、基于人工智能和ML的分析工具和SIEM解决方案等都可以协助持续监控网络行为,捕获任何关于可能的威胁和恶意软件的信息,向管理人员报告。

事件期间未能及时追踪相关活动:

调查人员花费一个多星期的时间才完成对整个网络漏洞的检查,一套全面的审计跟踪系统,加上防篡改的会话记录,可以加快检查过程。

缺乏网络隔离:

这次攻击主要针对的是Colonial Pipeline的IT系统,但由于这些系统与运营单位互通,该公司不得不立即关闭整个网络。Colonial Pipeline未能将网络成功隔离(隔离之后,部门与部门之前的数据访问将不能轻易联通),这是此次攻击是否能取得成功的关键,这突显出了该公司缺乏适当的网络管理策略。

如何建立一套安全环境来消除此类勒索攻击

为实现机构网络的整体安全保护,消除此类勒索攻击行为,组织机构需要部署多层防御,利用成熟、有弹性的IT安全解决方案,构建起对网络安全态势的整体感知。此外,提升企业员工安全防护意识、定制相关管理制度和工作也是必要的。 

确保邮件平台的安全性,对员工进行网络钓鱼方面的培训:

电子邮件是大多数勒索攻击的来源,网络罪犯分子经常利用它来伪造非法网络访问证书或直接分发恶意软件。添加先进防钓鱼和恶意软件保护功能到邮件服务器,扫描并隔离异常入站电子邮件,防止入站钓鱼事件。

培训员工遵守基本安全意识及其重要性,例如在回复电子邮件、电话或短信时不披露个人信息,注意欺诈性电子邮件和附件的出现形式,以及在收到可疑电话或电子邮件后与IT部门联系。

防病毒软件和防火墙:

在所有设备上安装防病毒软件,并定期进行更新。此外还应启用防火墙,限制仅必要的IP地址和端口访问。

定期为系统打补丁:

想要防止勒索病毒,保持每个系统安装最新补丁是重要的,因为攻击者经常利用软件或操作系统中的安全漏洞和软件漏洞,执行恶意软件的传播以获取访问权。

定期进行风险评估:

定期评估安全风险,通过识别整个组织机构网络的安全漏洞和缺陷,主动减少潜在风险。

定期备份系统:

基本的能力:拥有强大的备份是在遭受攻击后快速恢复的保障。定期备份本地和云中的数据,使用强大的加密和控制访问,确保机构的数据是安全的。安全专家建议在不同的设备或存储媒体上保存至少三份数据,其中一份完全离线,只能在物理上访问。

一个强大的特权访问管理解决方案:

虽然攻击者现在确实使用了复杂的方法和工具,但更多的情况是开放式的管理权限和暴露的凭据,使他们能够轻易访问关键基础设施。发生的佛罗里达州一家水处理厂的攻击事件,就是身份不明的黑客通过一个未经保护的密码,对该厂的管理控制系统进行了侵入。因此,组织机构必须确保完整的特权帐户治理,对关键系统的访问进行管理,对远程特权会话执行实时监控并审计。简而言之,可靠的特权访问管理(PAM)解决方案已被证明是组织机构安全防护理想的的第一道防线。

ManageEngine PAM 360是一套企业级PAM解决方案,通过强大的特权访问治理、流畅的工作流自动化和先进的分析来保护企业抵御网络犯罪。PAM 360很容易与各种IT安全工具集成,如基于SIAM、AI和ML的威胁分析和漏洞扫描器,使管理员能够完全控制整个公司网络中的所有特权活动。