5月9日,在遭遇勒索软件网络攻击后,美国最大燃油管道运营商Colonial Pipeline被迫关闭了其整个管道系统。随即,美国政府宣布17个州和华盛顿特区进入紧急状态,并临时给予该区域的汽油、柴油、航油等成品油的运输豁免,以保障人们的正常生活。
劫富济贫?
作为美国最大的成品油管道,该管线承担着美国东海岸45%的成品油供应。除了管道运营之外,此次攻击还影响了包括订货和调度功能在内的IT系统。截至目前,尚不知道管道将关闭多长时间。
图片来自IHSMarkitEnergy
发动此次攻击的黑客组织名叫DarkSide,热衷于将自己装扮为英国民间传说中的英雄人物"罗宾汉"。10日,该组织在其官网发布的简短新闻稿中写道:“我们的目的是要钱,而不是为社会制造麻烦”。据称DarkSide不以医院、学校等非营利组织作为攻击目标,而是针对有能力支付大额赎金的企业或机构进行攻击,然后将部分赎金通过不可追踪的网络货币(例如比特币)捐赠给慈善机构。有报道称,今年1月,DarkSide就通过勒索软件获得了45个比特币,约合人民币1700多万元。
作为应对,Colonial Pipeline公司主动切断了系统的网络连接以遏制威胁,还聘请了麦迪安网络安全公司(Mandiant)来调查该事件。尽管目前系统支付端较小的线路已经恢复正常,但主要线路仍处于离线状态,仍未恢复全面业务。
目前解决时间是最大的不确定性,如果停运时间在2-4天以内,则当地库存和通过“Plantation管道”运送至PADD 1C(下大西洋地区)的供应量应足以弥补Colonial管道停运所导致的精炼产品损失量。但同时,多个网络安全公司的调查显示,在美国,勒索软件的攻击从谈判到解决平均需要7-21天的时间。这种情况下地区燃油供应或面临重大影响。
受到成品油管道关闭的消息影响,国际油价一度波动加剧。根据美国汽车协会数据,全美汽油平均零售价10日升至2.967美元/加仑,较上周五上涨2.4%。如果全美国汽油平均价格在下周内达到每加仑3美元,这将创下2014年以来的最高价格水平。
交钱认命?
勒索软件并不少见。美国安全机构预测,2021年预计每11秒将发生一次勒索攻击,全年超过300万次;Veritas去年在全球范围内发布的2020 Ransomware Resiliency Report(2020年勒索软件恢复力报告)显示,企业IT系统越复杂,越易遭受勒索攻击。
而在国内,腾讯安全近期对外发布的《2021上半年勒索病毒趋势报告及防护方案建议》显示,广东、浙江、山东、湖北、河南、上海、天津较为严重。而数据价值较高的传统行业、医疗、政府机构是重灾区,占比依次为37%、18%、14%,总计占比高达69%。
新思科技(Synopsys)网络安全研究中心首席安全策略师Tim Mackey在接受《电子工程专辑》采访时评论称,“这又是一个警钟,任何一家使用软件推动业务发展的企业都应该警惕。网络不法分子不会真正关心你的业务有多重要,他们只是在乎从你这可以获取多少利益。”
他指出,对市政机构、医疗系统和关键基础设施的网络攻击正在不断增加,虽然这些机构都会采用法律手段保护自己,但是网络攻击者不会罢休,这已经成为一种趋势。Colonial Pipeline是美国公司,但是网络攻击的影响是全球性的。尽管美国财政部等官员曾发警告,强调勒索软件付款是如何用于支持未来的犯罪活动,但受害者通常仍面临着是否付款的艰难抉择。
他认为有可能是由于流程和网络防御中的多个缺陷被利用导致了此次网络攻击。由于某些工业软件系统已经很陈旧,很可能旧版软件的设计不具备防御勒索软件攻击等现代威胁的能力。
“尽管软件的年份对其功能的影响有限,但是威胁建模和防御性保护需要与新威胁保持同步,只有知道并解决了每个组件中存在的所有缺陷,才可以做到这一点。毕竟,如果不法分子能够更快地识别出这些缺陷,那么他们将趁虚而入。”Tim说。
因此,为了避免成为勒索软件的受害者,企业/组织需要制定全面的网络安全计划,以充分掌握每个软件组件、其角色和生命周期以及其部署配置和使用的风险。有了这些基本信息和详尽的清单,在不法分子尝试发起勒索攻击时,确定每个组件有可能存在的风险。
亚信安全方面则撰文指出,经过历年来的实网攻防演练,相关能源企业都已经加强了边界防护,在逐步减少互联网出口数量,但是边界防护依然薄弱,主要表现在以下三方面:
(1)由于互联网出口数量众多,互联网出口和VPN防护不严,互联网边界依然是企业的最大安全暴露面和脆弱点;
(2)能源公司网络是一个整体,一些小企业防护能力比较弱,内部的网络互通,数据中心边界未部署访问控制设备,黑客组织从一个外部薄弱企业入侵后,进一步入侵内部薄弱的企业,导致风险跨企业蔓延。
(3)根据2015年企业信息安全风险评估统计,国内108家央企拥有249个出口,使用代理少,没有审计能力,互联网接入点的技术架构也不规范。
(4)同样根据2015年企业信息安全风险评估统计,我国能源系统相关企业应用发布不规范,种类多,技术手段不一,安全防护存在较多漏洞,通过现场渗透措施发现437个信息系统可被攻破。
能源公司网络结构分析(图片来自:亚信安全)
亚信安全认为,只有做好安全防护工作(例如重要数据及时备份,并明确备份管理机制;安装恶意程序防护软件,开启主机防火墙,阻断445、135、139、3389等端口有利于病毒传播端口;强化操作系统、中间件、业务系统等密码口令;升级服务器操作系统,更新最新漏洞补丁;安装主机终端安全防御系统);强化网络安全防护水平、完善应急处置机制,才有可能最大程度避免网络攻击事件发生。
“大象一直在房间里”
提到网络安全,就不得不提到软件安全,尤其是开源软件安全。
近年来,开源治理已经引起业界普遍关注,各个国家也出台政策指导开源安全管理。比如,2020年,为了让中国用户更好地理解和拥抱开源,中国信息通信研究院就正式发布了业内首个《开源生态白皮书(2020)》。
根据新思科技发布的《2021年开源安全和风险分析》报告(OSSRA),开源是所有行业绝大多数应用程序的基础,但同时,他们也发现:
所有经过审计的营销科技类公司的代码库都包含开源,包括CRM客户关系管理系统及社交媒体。其中95%的营销科技代码库存在开源漏洞。
- 98%的医疗保健行业代码库包含开源,其中有67%的代码库存在漏洞。
- 97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞。
- 92%的零售和电子商务行业代码库包含开源,其中71%的代码库存在漏洞。
更令人担忧的是废弃开源组件仍在被广泛使用。例如高达91%的代码存在开源依赖项,这些开源组件在过去两年内没有任何开发活动——没有进行代码改进,也没有任何安全修复。
从下图可以明显的看出,在Black Duck审计服务团队2020年审计的1,500多个代码库中,有84%包含至少一个公开开源漏洞,这比2019年的75%增加了9%,成为自2017年以来的第二大增幅。同样,包含“高风险”开源漏洞的代码库百分比在2020年增长至60%,比2019年的49%大幅增加了11%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞,并且所有这些漏洞的百分比均有显著增加。
图片来源Synopsys
“大象一直在房间里”,这是一个当前很流行的说法。借用“大象一直在房间里,个头虽然很大,但是没有人注意到”的比拟,意指大家关心的可能并不是一个正确的方向和事务。所以,2021年OSSRA报告中还提及了其它几个需要引起重视的开源风险,包括:
- 商业软件中过时的开源组件已成常态,85%的代码库含有至少四年未曾更新的开源依赖项
- 超过90%经审计的代码库含有许可证冲突、自定义许可证或根本没有许可证的开源组件。
- 开源漏洞趋势朝着错误的方向发展
图片来源Synopsys
对半导体行业而言,随着摩尔定律的速度开始放缓,如何通过软件算法最大限度的挖掘硬件潜力,成为了热议的话题。而一旦软件使用比例开始上升,漏洞风险、供应链物料清单风险、合规风险都会相应增加,如果再考虑国际合作,那么产品算法还要符合相关出口法案安全规定,这些都需要相关企业加以认真思考。
责编:Luffy Liu
- 文章都不校验吗?有些语句不通的地方 “阻断445、135、139、3389等端口有利于病毒传播端口”