自殖民管道攻擊以來，美國網絡安全政策發生了變化

一年多前，一場勒索軟件攻擊成為全國新聞。Colonial Pipeline Company 于 2021 年 5 月 7 日宣布，總部位于東歐的DarkSide Ransomware-as-a-Service 組織已經攻擊了它。此后，聯邦調查局已確認已關閉的 DarkSide是威脅行為者。自那時以來，美國的網絡政策發生了哪些變化，包括在俄羅斯襲擊烏克蘭之后？

重要說明：攻擊影響了業務的 IT 方面。作為預防措施，該公司關閉了運營技術 (OT) 端，即管道本身。殖民管道從德克薩斯州到紐約綿延 5,500 英里，每天輸送多達 300 萬桶燃料。為期五天的停工切斷了東海岸大約一半的汽油和噴氣燃料正常供應。這導致天然氣價格急劇上漲，以及天然氣短缺、恐慌性購買和加油站排長隊。

不僅如此，它震驚了國家安全和執法界。兩人都重新了解到，該國的關鍵基礎設施很容易受到攻擊。

Colonial Pipeline 支付了 450 萬美元的贖金來恢復其受損系統。DarkSide 恢復工具非常緩慢，以至于該公司最終主要使用其業務連續性工具。

在襲擊之后

襲擊發生后，美國和俄羅斯之間的談判開始了。俄羅斯聯邦安全局逮捕了一名據稱是襲擊幕后黑手的人。（在 2 月俄羅斯入侵烏克蘭之后，這里的任何合作都結束了。）與此同時，美國國務院仍在懸賞高達 1000 萬美元，以命名或定位任何暗黑勢力的領導人。

現在，Colonial Pipeline 可能因運營失誤和導致攻擊的管理失誤而面臨 100 萬美元的罰款。據稱最大的失敗是對其管道的關閉和重啟準備不足。

這次襲擊還加速了政府通過新法律的政治勢頭。新的網絡安全指令適用于管道運營商和其他關鍵基礎設施公司。

美國新的管道指令

美國運輸安全管理局圍繞網絡安全和信息披露為所有美國管道運營商發布了兩項主要的強制性指令。

聯邦網絡安全和基礎設施安全局于 4 月 20 日宣布，他們正在擴大其本身成立于 2021 年 8 月的聯合網絡防御協作顧問委員會，以包括工業控制系統專家。他們還發布了一份文件，其中詳細介紹了俄羅斯贊助的對 IT 和 OT 系統的特定威脅，以應對俄羅斯-烏克蘭沖突導致的風險增加。

換句話說，政府、管道行業和網絡安全界仍在努力應對殖民管道攻擊的后果。

Colonial Pipeline 攻擊顯示了小失誤或簡單的攻擊如何導致重大問題。這是其他企業考慮改進自己的政策和程序的機會。它還發現了 IT 和 OT 之間的一種新的、以前被低估的聯系。（請記住，其 OT 的自愿關閉——停止天然氣管道流動——造成了所有損害。這引起了所有公眾的關注，但攻擊者的目標是 IT。）

企業外賣

DarkSide 黑客使用舊密碼通過 VPN 訪問 Colonial 的 IT 網絡，無需多重身份驗證。這種簡單的攻擊的效果如何揭示了今天應該重點關注的五點：

所有密碼都必須過期。企業通常需要良好的密碼管理，尤其是要停用密碼。添加新的強密碼是不夠的。
密碼不是一個好主意。依靠密碼來保證安全就是依靠人。這使您容易受到人為錯誤、內部威脅和社會工程學的影響。我們越早超越密碼越好。
多因素身份驗證是必須的。任何單因素身份驗證方案都代表了網絡攻擊者幾乎敞開的大門。
了解您的氣隙。IT 和 OT 系統之間的氣隙（如果有）在哪里？了解您的網絡分段是什么樣的。
零信任有效。周邊安全已成為過去。通過虛擬專用網絡或任何其他方式進入邊界內部會產生巨大的漏洞。強大的零信任會阻止這種攻擊。即使攻擊者設法破解用戶身份驗證協議，他們也無法進一步進入設備和軟件。

Colonial Pipeline 攻擊的底線：被攻擊的業務部分和受影響的業務部分并不總是相關聯的。攻擊的復雜程度和影響也不是。

是的，擁抱高科技工具、人工智能和其他領先的解決方案。但也要正確掌握基礎知識和架構。如果確實發生了攻擊，請為您將采取的行動制定備份計劃。這樣一來，無論未來如何，您都將擁有比完全關機更多的選擇。