在過去，當發(fā)生大規(guī)模入侵時，受影響的用戶會收到密碼更改通知，并且需要在接下來的12-18個月查看他們的銀行賬戶變動。然而，Colonial遭到破壞導致了燃料管線服務范圍內(nèi)的燃料短缺，對整個國民經(jīng)濟生產(chǎn)活動造成具體的影響。

　　那么

　　為什么管道一開始就被關閉了呢？

　　當消息首次傳出時，人們做了很多假設，認為勒索軟件感染了物理管道系統(tǒng)——操作技術（OT）�，F(xiàn)實情況是，Colonial主動關閉了他們的OT系統(tǒng)，以避免受到被入侵的內(nèi)部系統(tǒng)影響。對Colonial來說，這可能是他們最好的選擇，因為整個OT網(wǎng)絡的感染可能會導致輸油管道的停機時間大大延長，并造成更大規(guī)模的燃料短缺。

　　OT 基礎設施與傳統(tǒng) IT 網(wǎng)絡截然不同。 雖然已經(jīng)大力推動現(xiàn)代化，但控制系統(tǒng)運行過時的操作系統(tǒng)的情況依然很常見。 Windows NT 和 XP 仍然大量存在于 OT 網(wǎng)絡中。部分原因是系統(tǒng)可能已經(jīng)使用了 20 年，并且由于 24/7 全天候運行的需求或更換成本過高而導致無法輕松升級。但控制系統(tǒng)無法再針對漏洞打補丁，而且通常無法使用現(xiàn)代化安全工具。因此，在Colonial的案例中，如果他們的管道系統(tǒng)受到影響，則需要進行大規(guī)模的重啟和恢復操作。而對于一條從德克薩斯州延伸到新澤西州的管道，手動重啟將需要付出巨大的代價。

　

　　整個OT網(wǎng)絡的感染可能會導致管道的停機時間大大延長，并造成更大規(guī)模的燃料短缺，對于Colonial公司來說，關閉管道可能是他們最好的選擇。

　　人們似乎把大量的注意力集中在了實際的關停和支付贖金問題上。然而，在Colonial公司走到這一步之前，有很多方面問題。到目前為止，圍繞Colonial漏洞的細節(jié)還沒有公布，但如果我們看一下DarkSide過去是如何運作的，就會發(fā)現(xiàn)存在多個漏洞導致勒索軟件入侵。

　　首先，攻擊者必須進入Colonial的網(wǎng)絡。在以前DarkSide的攻擊事件中，我們曾經(jīng)發(fā)現(xiàn)攻擊中通過一個脆弱的VPN集中器入侵網(wǎng)絡，但這次入侵可能是通過一個容易猜到的密碼或某人在公司的筆記本電腦上點擊了一個惡意的鏈接所致。

　　一旦進入網(wǎng)絡，攻擊者就會在網(wǎng)絡中設置多個著陸點，以防發(fā)現(xiàn)并修復初始入口點。以前，Darkside威脅參與者只需下載TeamViewer等合法工具，即可輕松遠程訪問內(nèi)部系統(tǒng)。更有甚者，利用這個機會禁用備份軟件或刪除能找到的任何備份。

　　一種越來越流行的戰(zhàn)術是 "雙重勒索"，即攻擊首先將數(shù)據(jù)（客戶數(shù)據(jù)、金融信息、知識產(chǎn)權等）復制到一個由攻擊者操作的遠程位置，再加密原始數(shù)據(jù)，之后他們通過收取贖金來刪除被盜數(shù)據(jù)，以及解鎖被加密的原始數(shù)據(jù)。以前的一項取證調(diào)查顯示攻擊者下載了開源工具 "rclone"，將數(shù)據(jù)轉移（并加密）到云存儲服務中。

　　一旦組織的網(wǎng)絡系統(tǒng)被滲透進來，攻擊者就會部署一個工具來加密文件，并在醒目的位置加以解密說明，注明如何支付贖金和恢復數(shù)據(jù)。

　　從董事會到前臺…

　　每個人都應該定期接受安全意識培訓，

　　以協(xié)力預防常見的惡意行為。

　　建議

　　Advice

　　企業(yè)或組織可以采取一些措施來幫助抵御攻擊（如DarkSide）。

　　IT和OT安全有很多不同，但不能將它們分開來看。IT和OT團隊必須協(xié)同工作，形成一個完整的安全框架，該框架為每個環(huán)境使用正確的工具，并將安全信息匯總到一起。IT和OT團隊之間的“冷淡”關系并不少見，因此引入一個公正的第三方可以幫助突破合作障礙。

　　安全必須成為企業(yè)文化的一部分。從董事會到前臺的每個人都應該有定期的安全意識培訓，以幫助防止常見的惡意行為，如容易被猜中的密碼問題等。

　　Colonial公司似乎已經(jīng)做出了正確的選擇，選擇關閉業(yè)務，以防止勒索軟件從IT到OT的傳播。如果使用適當工具，在被感染的IT網(wǎng)絡中，提前介入并強制隔離惡意軟件，避免其進一步傳播，情況會大不相同，可能不需要關閉OT系統(tǒng)。

　　近年來，針對關鍵基礎設施和OT資產(chǎn)的攻擊不斷增加。OT的現(xiàn)代化可以顯著提高生產(chǎn)效率并節(jié)約成本，然而，增加的連通性也可能帶來風險。通過適當?shù)挠媱澮约艾F(xiàn)代化安全工具的應用，可以實現(xiàn)OT的正常運行、安全性和可靠性。

　　NTT Ltd.以IT和OT完整的安全生命周期服務框架，以及針對業(yè)務視角、架構視角、設計視角不同層次組件的審視，結合客戶當前現(xiàn)實環(huán)境，遵循企業(yè)的價值主張，為不同行業(yè)的客戶提供IT和OT相關的咨詢、評估、設計、實施、托管、優(yōu)化等全方位安全服務。幫助企業(yè)客戶從人員與流程、解決方案、成熟度量化的不同緯度提升整體安全能力，降低安全風險。