石油和天然氣網絡安全:行業概述第 1 部分
石油和天然氣行業對試圖破壞運營和服務的重大網絡安全攻擊并不陌生。大多數針對石油行業的最廣為人知的攻擊都是對石油公司企業網絡的初步嘗試。
地緣政治緊張局勢不僅會導致物理空間發生重大變化,還會導致網絡空間發生重大變化。2022 年 3 月,我們的研究人員觀察到了幾起據稱由不同團體實施的網絡攻擊。現在,識別可能擾亂石油和天然氣公司的潛在威脅變得比以往任何時候都重要,尤其是在緊張局勢高度緊張的時期。
我們的調查還發現,石油和天然氣公司的供應因網絡攻擊而中斷。平均而言,中斷持續了六天。經濟損失約為 330 萬美元。由于長期中斷,石油和天然氣行業也遭受了更大的破壞。
深入研究網絡攻擊比破壞石油和天然氣公司更重要,因為它們會在很大程度上影響運營和利潤。通過仔細研究石油和天然氣公司的基礎設施并識別可能破壞運營的威脅,公司可以堵住漏洞并改善其網絡安全框架。
典型油氣公司的基礎設施
石油和天然氣公司的產品鏈通常分為上游、中游和下游三部分。與石油勘探和生產相關的過程稱為上游,而中游是指通過管道、火車、輪船或卡車運輸和儲存原油。最后是下游終端產品的生產。網絡風險存在于所有三個類別中,但對于中游和上游而言,很少有公開記錄的事件。
通常,石油公司擁有從油井中提取原油的生產場所、臨時儲存石油的油庫,以及將原油運送到煉油廠的運輸系統。運輸可能包括管道、火車和輪船。在煉油廠加工后,柴油、汽油和噴氣燃料等不同的最終產品被運送到油庫,然后再運送給客戶。
天然氣公司通常還擁有生產場所和運輸系統,例如鐵路、船舶和管道。然而,它需要在運輸前壓縮天然氣的壓縮站。然后將天然氣輸送到另一個工廠,從天然氣中分離出不同的碳氫化合物成分,如液化石油氣和烹飪用氣。
石油和天然氣公司的復雜流程意味著他們需要持續監控以確保最佳性能測量、性能改進、質量控制和安全。
監控指標包括溫度、壓力、化學成分和泄漏檢測。一些石油和天然氣生產地點位于極端天氣可能非常偏遠的地方。對于這些站點,通過空中、固定(光纖或銅線)線路或衛星傳輸監控的指標非常重要。石油和天然氣公司的系統通常由軟件控制,并且可能被攻擊者破壞。
威脅
石油和天然氣公司應該注意幾個威脅。對該行業的最大威脅是那些對其最終產品的生產產生直接負面影響的威脅。此外,這些公司也需要防范間諜活動。
在我們的深入研究中,趨勢科技的專家團隊確定了以下可能危及石油和天然氣公司的威脅:
- 破壞
- 在石油和天然氣行業的背景下,破壞可以通過改變軟件的行為、刪除或擦除特定內容以擾亂公司活動或在每臺可訪問的機器上刪除或擦除盡可能多的內容來完成。
- 這類破壞行動的一些例子已被廣泛報道,最著名的是 Stuxnet 案。Stuxnet 是一種自我復制的惡意軟件,其中包含非常有針對性和特定的有效負載。大多數蠕蟲感染發生在伊朗,分析顯示它專門針對該國納坦茲核電站鈾濃縮設施中的離心機。
- 內部人員威脅
- 在大多數情況下,內部人員是心懷不滿的員工,他們尋求報復或想通過向競爭對手出售有價值的數據來輕松賺錢。此人可以破壞操作。他們可以更改數據以制造問題、從公司服務器或共享項目文件夾中刪除或銷毀數據、竊取知識產權以及將敏感文檔泄露給第三方。
- 防御內部威脅非常復雜,因為內部人員通常可以訪問大量數據。內部人員也不需要幾個月的時間來了解公司的內部網絡——內部人員可能已經知道組織的內部運作。
- 間諜活動和數據盜竊
- 數據盜竊和間諜活動可能是更大規模破壞性攻擊的起點。攻擊者在嘗試進一步行動之前通常需要特定信息。獲取鉆井技術、疑似油氣儲量數據以及優質產品的特殊配方等敏感數據也可以轉化為攻擊者的金錢收益。
- DNS 劫持
- DNS 劫持是高級攻擊者使用的一種數據竊取形式。目標是訪問企業 VPN 網絡或政府和公司的企業電子郵件。我們已經看到幾家石油公司成為可能有某些地緣政治目標的高級攻擊者的目標。
- 在 DNS 劫持中,域名的 DNS 設置被未經授權的第三方修改。例如,第三方可以將條目添加到域的區域文件或更改一個或多個現有主機名的解析。攻擊者可以做的最簡單的事情是破壞(污損),在被劫持的網站上留下消息,并使網站不可用。這通常會很快被注意到,結果可能只是名譽受損。
- 對 Webmail 和企業 VPN 服務器的攻擊
- 雖然 Webmail 和文件共享服務已成為隨時隨地訪問電子郵件和重要文檔的重要工具,但這些服務可能會增加表面上的網絡攻擊的可能性。
- 例如,由于網絡郵件軟件中的漏洞,網絡郵件主機名可能會被 DNS 劫持或黑客攻擊。Webmail 和文件共享和協作平臺可能會在憑證網絡釣魚攻擊中受到損害。
- 精心準備的憑據網絡釣魚攻擊可能非常令人信服,因為當行為者注冊域名時可能非常令人信服,例如當行為者注冊類似于合法網絡郵件主機名的域名時,或者當行為者創建有效的 SSL 證書時并仔細選擇組織內的目標。通過要求雙重身份驗證(最好使用物理密鑰)和企業 VPN 訪問這些服務,可以大大降低網絡郵件和第三方文件共享服務的風險。
- 數據泄露
- 數據泄露一直是個問題。但石油和天然氣行業更容易受到這些威脅的影響,因為泄露的信息可能對競爭對手非常有利。數據泄露也會對公司的聲譽造成重大損害。
- 在我們的研究過程中,我們輕松地在網上找到了數十份與石油行業相關的敏感文件。查找這些文檔的一種方法是使用特制的 Google 查詢,稱為 Google Dorks。
- 查找此類內容的另一種方法是在 Pastebin 等公共服務上尋找數據,Pastebin 是一種在線服務,任何人都可以復制和粘貼任何基于文本的內容,并將其私下或公開存儲在那里。另一個數據來源是用于分析可疑文件的公共沙箱。用戶可能會錯誤地將合法文檔發送到這些沙箱進行分析。上傳后,這些文檔可以被第三方解析或下載。
- 外部電子郵件
- 一般來說,電子郵件在公司內部受到很好的保護。但是,不能以相同的方式控制外部電子郵件。員工定期向外部地址發送電子郵件,因此一些敏感的內部內容最終超出了公司的權限范圍。更糟糕的是,敏感信息可以復制到不安全的備份系統或本地存儲在沒有標準公司安全協議的個人計算機上,這使得攻擊者更容易掌握信息。一旦計算機受到威脅,攻擊者就可以獲取電子郵件并以不同的方式使用它們來損害公司。例如,演員可能會在公共服務器或 Pastebin 等服務上泄露它們。
在我們系列的第二部分中,我們將研究可能危及石油和天然氣公司的其他威脅,例如勒索軟件、惡意軟件、DNS 隧道和零日漏洞。
