大家好，我是零日情報局。

本文首發於公眾號 零日情報局，微信ID：lingriqingbaoju。

近日，美國政府釋出安全通告，稱勒索病毒攻擊了美國一天然氣管道運營商，致使該工廠IT與OT網路資料雙雙被鎖定，整個天然氣管道運營被迫停擺持續兩天。 

儘管美國的這家天然氣管道運營商已恢復執行，但網路安全和基礎設施局（CISA），則在該事件的通告中公佈了一份詳盡的勒索病毒攻擊緩解措施，以防類似攻擊活動再次發生。  

致命疏漏：終致基礎設施“螻蟻潰堤”

網路攻擊的實現，從不是一蹴而就的，往往需要多個環節串聯，才能最終加密目標資料。回顧天然氣管道運營商的中招過程，會發現人、網路隱患，甚至是機制上均存在安全疏漏。 

致命疏漏1：IT與OT網路未實施可靠的分段 

我們必須知道，對於關鍵基礎設施的運營商而言，除了要關注IT（資訊科技）網路，更要注意到OT（操作技術）網路的安全； 

IT網路大家比較熟悉，但對於以工業自動化控制系統為代表的OT網路或許要相對陌生。比如：生產現場裝置與系統，實現自動化控制，監測生產環境的軟硬體一般就部署在OT網路環境之中。  

一般來說，在網路風險面前，IT系統擁有較為健全的安全體系，防護也備受重視；然而，OT系統的防護卻大相徑庭，面向OT系統的安全威脅常常被忽視。所以，近幾年針對OT發動的攻擊此起彼伏，如電力、醫療、公共設施等攻擊事件層出不窮。 

回到此次美國天然氣運營商攻擊事件，官方報告可見其致命缺失就是：未能在IT和OT網路之間實施可靠的分段和防禦，導致黑客獲得了IT網路的初始訪問許可權，然後輕鬆越過IT-OT邊界，繼而在雙重網路中植入勒索軟體，併成功加密資料，以求達到最大傷害。 

而結果，最直接的影響就是：OT網路上的相關程式，如人機介面（HMI），資料記錄系統和輪詢伺服器無法正常運作，運營人員無法讀取和彙總從低端OT裝置報告的實時運算元據，從而導致運營人員的無法瞭解管道設施的運營狀況。

致命疏漏2：“屢試不爽”的釣魚攻擊

CISA的報告指出，這家企業遭遇勒索病毒的方式同樣源自高中招率的釣魚攻擊。一名員工因魚叉式釣魚攻擊，誤點惡意連結將攻擊者引入到了企業網路內部。

對於網路安全防控較嚴格的關鍵基礎設施來說，釣魚攻擊是黑客滲透至其網路內部，擴散病毒效率與成功率最高的手段之一。有報告顯示，自 2012 年起，得益於釣魚攻擊的加持，勒索病毒才開始大範圍在網際網路擴散。

而經過近十年的發展，以關鍵基礎設施、金融、政府等高價值組織，早已躍升為黑客眼中的“肥羊”，頻頻遭遇勒索病毒洗劫。

致命疏漏3：應急措施竟遺漏網路攻擊風險 

勒索病毒攻擊發生後，企業本應第一時間啟動安全應急響應機制，而這家天然氣管道運營商的應急響應計劃中，竟未制定網路威脅風險響應機制，甚至過往應急演習中，也從未有過網路攻擊處理解決經驗。 

網路攻擊響應機制缺失，最終導致勒索病毒在IT與OT網路持續擴散，最終只得停工收場。 

連鎖反應：管道之間相互依賴，觸發整個業務被迫關停 

幸也不幸，儘管勒索病毒僅直接鎖定了一個控制裝置的網路資料，但由於天然氣傳輸對管道的依賴性，一個控制裝置的停擺最終導致這家企業關閉運營持續了兩天時間。 而作為下游能源供應商，受天然氣供應關閉影響的上游企業雖未公佈，但波及範圍可想而知。  

CISA釋出網路攻擊緩解指南

一次勒索攻擊不可怕，可怕的是不能從中得到教訓，尤其是涉及能源、交通等重要領域的關鍵基礎設施。CISA在釋出事件通告時，就以這家天然氣供應商為例，向關鍵基礎設施領域組織機構釋出了一份從技術到運營的緩解措施指南。
 

深入研究後，零日決定從OT網路安全、許可權設定威脅攔截、防禦程式設定和應急響應機制等方面，解讀這份勒索病毒緩解乾貨。

（1） OT網路安全

隔離連線：勒索病毒之所以從OT蔓延到IT網路，關鍵在於網路架構建設上未對OT、IT等網路模組進行應急隔離。這時就可以通過對網路進行物理和邏輯隔離，確定非軍事區（DMZ），消除IT和OT等網路之間不受管制的通訊，避免勒索攻擊發生時企業內網擴散的問題。 

可信通道：建立OT網路資產邏輯區域，在區域範圍內設定可信通訊通道，並對通道內網路流量進行監控與過濾，進而達到阻止工控系統（ICS）協議遍歷IT網路。 

身份驗證與備份：針對遠端訪問OT和IT網路，設定多重訪問身份驗證，定期對IT和OT網路實施常規資料備份。

（2） 許可權設定威脅攔截

訪問許可權分級：根據最小特權和職責分離的原則，設定不同賬戶的訪問、管理許可權。

垃圾郵件過濾：通過垃圾郵件過濾器，篩查包含可執行檔案的電子郵件，防止網路釣魚郵件進入企業員工郵箱。

網路流量過濾：利用網路流量過濾方式，禁止已知惡意Internet協議（IP）地址進出企業挖網路通訊，並防止使用者使用統一資源定位器（URL）黑名單和/或白名單訪問惡意網站。

禁用檔案巨集指令碼：通過電子郵件傳輸的Microsoft Office檔案中禁用巨集指令碼，實施執行預防。

限制網路資源訪問：主要限制以遠端桌面訪問（RDP）為代表的資源訪問，從來源上攔截威脅。

（3） 防禦程式應用設定

殺軟程式應用：設定防病毒/防惡意軟體 程式，通過最新簽名對IT網路資產進行定期掃描，並基於風險資產清單策略，識別和評估OT網路惡意軟體。

程式白名單：設定應用程式白名單預防惡意執行，該白名單僅允許系統執行已知安全程式和允許程式。通過軟體限制策略（SRP），防止程式從常見位置執行勒索軟體。

（4） 應急響應機制

應急響應制度：在確保組織安全計劃和應急響應計劃與網路訪問正常需求情況下，開發測試網路安全應急響應規範與標準，識別網路安全故障做到有效應對。 

應急響應演練：類比電子通訊質量不佳的網路環境，演練手動或自動等方式，切換故障網路與備用控制系統等，並作為經驗記錄在應急反應規範標準中。 

零日反思

在這個勒索病毒成為常規化網路攻擊的今天，很難想象美國關鍵基礎設施領域，仍然存在對網路攻擊毫無應對的企業，而這也像一面鏡子，提醒著我們網路安全的前路，依然漫長且艱險。 

最後，建議國內相關領域，可以大膽的結合自身情況，借鑑CISA關鍵基礎設施勒索病毒緩解措施。

零日情報局作品

微信公眾號：lingriqingbaoju

如需轉載，請後臺留言

歡迎分享朋友圈

參考資料：
ZDnet《美國國土安全部稱勒索軟體打擊美國天然氣管道運營商》
CISA《警報（AA20-049A）勒索軟體影響管道運營》