在遭遇勒索软件网络攻击后,美国最大燃油管道运营商Colonial Pipeline被迫关闭了其整个管道系统。随即,美国政府宣布17个州和华盛顿特区进入紧急状态,并临时给予该区域的汽油、柴油、航油等成品油的运输豁免,以保障人们的正常生活。

5月9日,在遭遇勒索软件网络攻击后,美国最大燃油管道运营商Colonial Pipeline被迫关闭了其整个管道系统。随即,美国政府宣布17个州和华盛顿特区进入紧急状态,并临时给予该区域的汽油、柴油、航油等成品油的运输豁免,以保障人们的正常生活。

劫富济贫?

作为美国最大的成品油管道,该管线承担着美国东海岸45%的成品油供应。除了管道运营之外,此次攻击还影响了包括订货和调度功能在内的IT系统。截至目前,尚不知道管道将关闭多长时间。

图片来自IHSMarkitEnergy

发动此次攻击的黑客组织名叫DarkSide,热衷于将自己装扮为英国民间传说中的英雄人物"罗宾汉"。10日,该组织在其官网发布的简短新闻稿中写道:“我们的目的是要钱,而不是为社会制造麻烦”。据称DarkSide不以医院、学校等非营利组织作为攻击目标,而是针对有能力支付大额赎金的企业或机构进行攻击,然后将部分赎金通过不可追踪的网络货币(例如比特币)捐赠给慈善机构。有报道称,今年1月,DarkSide就通过勒索软件获得了45个比特币,约合人民币1700多万元。

作为应对,Colonial Pipeline公司主动切断了系统的网络连接以遏制威胁,还聘请了麦迪安网络安全公司(Mandiant)来调查该事件。尽管目前系统支付端较小的线路已经恢复正常,但主要线路仍处于离线状态,仍未恢复全面业务。

目前解决时间是最大的不确定性,如果停运时间在2-4天以内,则当地库存和通过“Plantation管道”运送至PADD 1C(下大西洋地区)的供应量应足以弥补Colonial管道停运所导致的精炼产品损失量。但同时,多个网络安全公司的调查显示,在美国,勒索软件的攻击从谈判到解决平均需要7-21天的时间。这种情况下地区燃油供应或面临重大影响。

受到成品油管道关闭的消息影响,国际油价一度波动加剧。根据美国汽车协会数据,全美汽油平均零售价10日升至2.967美元/加仑,较上周五上涨2.4%。如果全美国汽油平均价格在下周内达到每加仑3美元,这将创下2014年以来的最高价格水平。

交钱认命?

勒索软件并不少见。美国安全机构预测,2021年预计每11秒将发生一次勒索攻击,全年超过300万次;Veritas去年在全球范围内发布的2020 Ransomware Resiliency Report(2020年勒索软件恢复力报告)显示,企业IT系统越复杂,越易遭受勒索攻击。

而在国内,腾讯安全近期对外发布的《2021上半年勒索病毒趋势报告及防护方案建议》显示,广东、浙江、山东、湖北、河南、上海、天津较为严重。而数据价值较高的传统行业、医疗、政府机构是重灾区,占比依次为37%、18%、14%,总计占比高达69%。

新思科技(Synopsys)网络安全研究中心首席安全策略师Tim Mackey在接受《电子工程专辑》采访时评论称,“这又是一个警钟,任何一家使用软件推动业务发展的企业都应该警惕。网络不法分子不会真正关心你的业务有多重要,他们只是在乎从你这可以获取多少利益。”

他指出,对市政机构、医疗系统和关键基础设施的网络攻击正在不断增加,虽然这些机构都会采用法律手段保护自己,但是网络攻击者不会罢休,这已经成为一种趋势。Colonial Pipeline是美国公司,但是网络攻击的影响是全球性的。尽管美国财政部等官员曾发警告,强调勒索软件付款是如何用于支持未来的犯罪活动,但受害者通常仍面临着是否付款的艰难抉择。

他认为有可能是由于流程和网络防御中的多个缺陷被利用导致了此次网络攻击。由于某些工业软件系统已经很陈旧,很可能旧版软件的设计不具备防御勒索软件攻击等现代威胁的能力。

“尽管软件的年份对其功能的影响有限,但是威胁建模和防御性保护需要与新威胁保持同步,只有知道并解决了每个组件中存在的所有缺陷,才可以做到这一点。毕竟,如果不法分子能够更快地识别出这些缺陷,那么他们将趁虚而入。”Tim说。

因此,为了避免成为勒索软件的受害者,企业/组织需要制定全面的网络安全计划,以充分掌握每个软件组件、其角色和生命周期以及其部署配置和使用的风险。有了这些基本信息和详尽的清单,在不法分子尝试发起勒索攻击时,确定每个组件有可能存在的风险。

亚信安全方面则撰文指出,经过历年来的实网攻防演练,相关能源企业都已经加强了边界防护,在逐步减少互联网出口数量,但是边界防护依然薄弱,主要表现在以下三方面:

(1)由于互联网出口数量众多,互联网出口和VPN防护不严,互联网边界依然是企业的最大安全暴露面和脆弱点;

(2)能源公司网络是一个整体,一些小企业防护能力比较弱,内部的网络互通,数据中心边界未部署访问控制设备,黑客组织从一个外部薄弱企业入侵后,进一步入侵内部薄弱的企业,导致风险跨企业蔓延。

(3)根据2015年企业信息安全风险评估统计,国内108家央企拥有249个出口,使用代理少,没有审计能力,互联网接入点的技术架构也不规范。

(4)同样根据2015年企业信息安全风险评估统计,我国能源系统相关企业应用发布不规范,种类多,技术手段不一,安全防护存在较多漏洞,通过现场渗透措施发现437个信息系统可被攻破。

 

能源公司网络结构分析(图片来自:亚信安全)

亚信安全认为,只有做好安全防护工作(例如重要数据及时备份,并明确备份管理机制;安装恶意程序防护软件,开启主机防火墙,阻断445、135、139、3389等端口有利于病毒传播端口;强化操作系统、中间件、业务系统等密码口令;升级服务器操作系统,更新最新漏洞补丁;安装主机终端安全防御系统);强化网络安全防护水平、完善应急处置机制才有可能最大程度避免网络攻击事件发生。

“大象一直在房间里”

提到网络安全,就不得不提到软件安全,尤其是开源软件安全。

近年来,开源治理已经引起业界普遍关注,各个国家也出台政策指导开源安全管理。比如,2020年,为了让中国用户更好地理解和拥抱开源,中国信息通信研究院就正式发布了业内首个《开源生态白皮书(2020)》。

根据新思科技发布的《2021年开源安全和风险分析》报告(OSSRA),开源是所有行业绝大多数应用程序的基础,但同时,他们也发现:

所有经过审计的营销科技类公司的代码库都包含开源,包括CRM客户关系管理系统及社交媒体。其中95%的营销科技代码库存在开源漏洞。

  • 98%的医疗保健行业代码库包含开源,其中有67%的代码库存在漏洞。
  • 97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞。
  • 92%的零售和电子商务行业代码库包含开源,其中71%的代码库存在漏洞。

更令人担忧的是废弃开源组件仍在被广泛使用。例如高达91%的代码存在开源依赖项,这些开源组件在过去两年内没有任何开发活动——没有进行代码改进,也没有任何安全修复。

从下图可以明显的看出,在Black Duck审计服务团队2020年审计的1,500多个代码库中,有84%包含至少一个公开开源漏洞,这比2019年的75%增加了9%,成为自2017年以来的第二大增幅。同样,包含“高风险”开源漏洞的代码库百分比在2020年增长至60%,比2019年的49%大幅增加了11%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞,并且所有这些漏洞的百分比均有显著增加。

 

图片来源Synopsys

“大象一直在房间里”,这是一个当前很流行的说法。借用“大象一直在房间里,个头虽然很大,但是没有人注意到”的比拟,意指大家关心的可能并不是一个正确的方向和事务。所以,2021年OSSRA报告中还提及了其它几个需要引起重视的开源风险,包括:

  • 商业软件中过时的开源组件已成常态,85%的代码库含有至少四年未曾更新的开源依赖项
  • 超过90%经审计的代码库含有许可证冲突、自定义许可证或根本没有许可证的开源组件。
  • 开源漏洞趋势朝着错误的方向发展

 

图片来源Synopsys

对半导体行业而言,随着摩尔定律的速度开始放缓,如何通过软件算法最大限度的挖掘硬件潜力,成为了热议的话题。而一旦软件使用比例开始上升,漏洞风险、供应链物料清单风险、合规风险都会相应增加,如果再考虑国际合作,那么产品算法还要符合相关出口法案安全规定,这些都需要相关企业加以认真思考。

责编:Luffy Liu

本文为EET电子工程专辑原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
  • 文章都不校验吗?有些语句不通的地方 “阻断445、135、139、3389等端口有利于病毒传播端口”
阅读全文,请先
您可能感兴趣
分拆谷歌可能会引发一系列连锁反应。例如,谷歌的广告技术业务被拆分可能会导致全球数字广告行业的洗牌,影响广告市场的竞争态势。此外,谷歌在搜索引擎和AI技术领域的垄断地位可能会被削弱,从而为其他竞争对手提供更多的发展空间。
据了解,SinkClose漏洞由安全专家 的两位安全研究人员 Enrique Nissim 和 Krzysztof Okupski发现并命名。
尽管汽车行业为创建和部署广泛的解决方案付出了很多努力,但汽车网络安全仍将是最困难的问题。新型网络安全攻击似乎会攻击新型软件定义汽车和扩展通信技术中暴露出的新漏洞。这就需要不断改进网络安全技术、产品和服务。
收购完成后,诺基亚和英飞朗将通过整合双方的技术和市场资源来提高其在光网络领域的地位,尤其是在北美市场。而诺基亚将利用英飞朗的技术优势来提升其在光网络领域的竞争力,并进一步巩固其在全球市场的地位。预计,此次收购将使诺基亚光网络业务的规模增加75%。
量子计算正在向我们快步走来!在理解、设计和优化量子器件的行为方面,量子器件建模发挥着至关重要的作用,但却面临着一系列挑战。本文除了分析量子器件建模的各种挑战外,还分析了量子计算原理和退相干成因,介绍了建模注意事项及专业测试解决方案提供商Keysight的、支持量子器件晶圆级自动化测量的量子器件建模平台。
密码-最不起眼的头疼随着手机各种APP的不断发展,越来越多的APP都要登录,账号和密码也开始繁多复杂起来,动不动就要大写、小写、数字、特殊字符还要大于12位数。经常逛各类论坛
目前,智能终端NFC功能的使用频率越来越高,面对新场景新需求,ITMA多家成员单位一起联合推动iTAP(智能无感接近式协议)标准化项目,预计25年上半年发布1.0标准,通过功能测试、兼容性测试,确保新技术产业应用。
中科院微电子所集成电路制造技术重点实验室刘明院士团队提出了一种基于记忆交叉阵列的符号知识表示解决方案,首次实验演示并验证了忆阻神经-模糊硬件系统在无监督、有监督和迁移学习任务中的应用……
C&K Switches EITS系列直角照明轻触开关提供表面贴装 PIP 端子和标准通孔配置,为电信、数据中心和专业音频/视频设备等广泛应用提供创新的多功能解决方案。
投身国产浪潮向上而行,英韧科技再获“中国芯”认可
投资界传奇人物沃伦·巴菲特,一位94岁的亿万富翁,最近公开了他的遗嘱。其中透露了一个惊人的决定:他计划将自己99.5%的巨额财富捐赠给慈善机构,而只将0.5%留给自己的子女。这引起了大众对于巴菲特家庭
万物互联的时代浪潮中,以OLED为代表的新型显示技术,已成为人机交互、智能联结的重要端口。维信诺作为中国OLED赛道的先行者和引领者,凭借自主创新,实现了我国OLED技术的自立自强,成为中国新型显示产
2024年度PlayStation游戏奖今日公布,《宇宙机器人》获得年度最佳PS5游戏,《使命召唤:黑色行动6》获得年度最佳PS4游戏。在这次评选中,《宇宙机器人》获得多个奖项,包括最佳艺术指导奖、最
近期,高科视像、新视通、江苏善行智能科技等企业持续扩充COB产能。插播:加入LED显示行业群,请加VX:hangjia188■ 高科视像:MLED新型显示面板生产项目(二期)招标12月18日,山西高科
又一地,新型储能机会来了?■ 印度:2032储能增长12倍,超60GW据印度国家银行SBI报告,印度准备大幅提升能源存储容量,预计到2032财年将增长12 倍,超60GW左右。这也将超过可再生能源本身
在上海嘉定叶城路1688号的极越办公楼里,最显眼的位置上,写着一句话:“中国智能汽车史上,必将拥有每个极越人的名字。”本以为这句话是公司的企业愿景,未曾想这原来是命运的嘲弄。毕竟,极越用一种极其荒唐的
 “ AWS 的收入增长应该会继续加速。 ”作者 | RichardSaintvilus编译 | 华尔街大事件亚马逊公司( NASDAQ:AMZN ) 在当前水平上还有 38% 的上涨空间。这主要得益
今天上午,联发科宣布新一代天玑芯片即将震撼登场,新品会在12月23日15点正式发布。据悉,这场发布会联发科将推出全新的天玑8400处理器,这颗芯片基于台积电4nm制程打造,采用Arm Cortex A
点击蓝字 关注我们电网和可再生能源系统向着更智能、更高效的方向发展助力优化能源分配构建更加绿色和可靠的能源未来12 月 24 日 上午 9:30 - 11:302024 德州仪器新能源基础设施技术直播
亲爱的企业用户和开发者朋友们距离2024 RT-Thread开发者大会正式开幕仅剩最后3天!还没报名的小伙伴,抓紧报名噢,12月21日不见不散!大会时间与地点时间:2024年12月21日 9:30-1