您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
關(guān)基保衛(wèi)戰(zhàn):如何拯救千瘡百孔的供水系統(tǒng)
專家表示,近期佛羅里達(dá)水廠遠(yuǎn)程投毒事件中暴露出的各種初級漏洞(包括缺乏互聯(lián)網(wǎng)防火墻、使用共享口令和過時軟件)在美國15.1萬個公共供水系統(tǒng)中十分常見。
一、敲響警鐘
2月16日,美國佛羅里達(dá)州奧德馬爾市(Oldsmar)的一家水處理廠遭到了神秘攻擊者的入侵,險些引發(fā)大規(guī)模中毒事件,成為全球媒體關(guān)注的焦點(diǎn)。在承認(rèn)有"些許不足"后,該市市長埃里克-塞德爾(Eric Seidel)對市議會官宣勝利:“我們的監(jiān)控協(xié)議切實(shí)有效,工作人員把它執(zhí)行得無可挑剔。毫無疑問我們被攻陷了,但是保證以后不會再發(fā)生類似事件??偠灾?,這是一場勝利?!?/p>
網(wǎng)絡(luò)安全專家并不會用"勝利"這樣的字眼來形容奧德馬爾水廠事件,他們把這次失陷視作數(shù)字無能的研究案例、令人恐懼的險惡事件,以及供水系統(tǒng)管理員持續(xù)對多年來日益嚴(yán)重的警告視而不見的典型案例。
"坦白來講,他們非常幸運(yùn),"退役海軍上將馬克-蒙哥馬利(Mark Montgomery)表示,他是美國聯(lián)邦政府網(wǎng)絡(luò)空間日光浴委員會(Cyberspace Solarium Commission)的執(zhí)行主任,該委員會于2018年由國會成立,旨在提升美國對重大網(wǎng)絡(luò)攻擊的防御能力。蒙哥馬利將奧德馬爾水廠事件比作飛機(jī)在引擎起火后迫降。"他們不應(yīng)該像湯姆-布雷迪贏得超級碗一樣慶祝。"馬克-蒙哥馬利說:“他們并沒有贏得比賽,只是憑借運(yùn)氣躲過了一場災(zāi)難。"
黑客的動機(jī)和身份仍然無人知曉。但蒙哥馬利和其他專家表示,倘若比奧德馬爾水廠事件更老練的黑客,企圖將飲用水中的堿液含量提升到危險水平,可能會導(dǎo)致嚴(yán)重后果。蒙哥馬利說:"如果攻擊者能夠入侵堿液控制裝置,難道就不能入侵警報系統(tǒng)然后修改檢查點(diǎn)?"奧德馬爾市的官員以正在進(jìn)行調(diào)查為由拒絕了采訪請求,也拒絕回答有關(guān)該市網(wǎng)絡(luò)安全實(shí)踐的問題。
二、事件回顧
2月5日上午8點(diǎn)左右,黑客攻擊發(fā)生在奧德馬爾市水處理廠,該廠使用過濾器和化學(xué)品凈化地下水供飲用,其中包括少量氫氧化鈉(俗稱堿液,用于降低水的酸度)。
黑客通過一個名為TeamViewer的遠(yuǎn)程訪問軟件程序進(jìn)入系統(tǒng)。實(shí)際上該市在6個月前就已經(jīng)替換了TeamViewer,但并未斷開該程序的網(wǎng)絡(luò)連接,遠(yuǎn)程登錄系統(tǒng)輕而易舉。根據(jù)FBI在馬薩諸塞州一份咨詢報告的調(diào)查結(jié)果,水廠的電腦都使用單一的共享密碼,不需要雙因素驗證,也沒有防火墻保護(hù)控制權(quán)不受互聯(lián)網(wǎng)影響。還有一個漏洞是所有電腦都仍然在運(yùn)行Windows 7,這是一個具有十年歷史、已經(jīng)停產(chǎn)的操作系統(tǒng);微軟在2020年1月已經(jīng)停止發(fā)布定期修復(fù)安全漏洞的軟件更新。
在注意到黑客在早上登錄后,工廠的操作員并"沒有多想",也沒有聯(lián)系任何人,因為其他城市的員工經(jīng)常遠(yuǎn)程訪問系統(tǒng)(目前尚不清楚為什么攻擊者使用已被替換的TeamViewer軟件卻沒有立即引起關(guān)注)。
下午1點(diǎn)半左右,黑客再次出現(xiàn),這次明顯是接管了電腦,用鼠標(biāo)在電腦上劃了3到5分鐘,并打開了工廠的控制系統(tǒng)軟件。在將水的氫氧化鈉含量從百萬分之100提高到百萬分之1100后,入侵者離開了。
目睹這一切后,奧德馬爾工廠的操作員迅速降低了氫氧化鈉的濃度,并打電話給老板。根據(jù)事故報告,該市在近3個小時后,即下午4點(diǎn)17分聯(lián)系了郡警察局。
奧德馬爾公司的官員堅稱,公眾從未處于危險之中。他們指出,至少需要24小時,有毒的水才會從廚房的水龍頭中流出,而且即使現(xiàn)場操作人員不進(jìn)行干預(yù),工廠也有監(jiān)測水化學(xué)平衡的后備系統(tǒng)會提前發(fā)出警報。
三、掩耳盜鈴
供水系統(tǒng)嚴(yán)重失陷的后果可能是災(zāi)難性的:數(shù)以千計的人因飲用水中毒而生病、供水中斷引發(fā)恐慌、大范圍的洪災(zāi)、管道爆裂、污水溢出。這并非危言聳聽:2000年,澳大利亞一名前市政污水承包商遠(yuǎn)程操縱電腦控制系統(tǒng),釋放出264000加侖未經(jīng)處理的污水,這些污水涌入公園,使溪水變成黑色,灑在凱悅酒店的地面上,并產(chǎn)生了一種被調(diào)查人員稱為"難以忍受"的惡臭。該男子被判處兩年監(jiān)禁。
令專家們噩夢般恐懼的事件來自國家行為者。2013年,一名為伊朗革命衛(wèi)隊工作的黑客攻陷了紐約拉伊郊區(qū)鮑曼大壩的計算機(jī)控制權(quán)。據(jù)聯(lián)邦情報官員推測,伊朗人其實(shí)是想奪取俄勒岡州巨大的亞瑟-R-鮑曼大壩的控制權(quán),在那里,類似的行動會淹沒成千上萬的房屋。2019年,革命衛(wèi)隊黑客再次出擊,部署惡意軟件對以色列的一個市政供水系統(tǒng)發(fā)起攻擊,最終未果。
在3月10日的國會證詞中,聯(lián)邦網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(Cybersecurity and Infrastructure Security Agency)的網(wǎng)絡(luò)安全主管埃里克-戈德斯坦(Eric Goldstein)將奧爾德斯馬事件描述為"從國家的角度來看,CISA面臨的最嚴(yán)重風(fēng)險"。他說,這應(yīng)該是"對國家關(guān)鍵系統(tǒng)面臨的網(wǎng)絡(luò)入侵風(fēng)險發(fā)出的一個信號"。
警鐘已經(jīng)持續(xù)敲響了很多年。早在2011年,美國國土安全部就發(fā)布警告,稱黑客可以利用"現(xiàn)成的、通常是免費(fèi)的"互聯(lián)網(wǎng)搜索工具入侵美國供水系統(tǒng)。近年來,盡管這樣的告誡比比皆是,聯(lián)邦政府仍然將大部分網(wǎng)絡(luò)防御責(zé)任推卸給了水務(wù)公司。多年來,防御工作依賴于行業(yè)自愿而不是法規(guī)。直到2018年,國會才在長達(dá)129頁的水務(wù)法案中加入了一項解決網(wǎng)絡(luò)安全的條款。
這些要求并不苛刻。每一個為超過3,300個用戶提供服務(wù)的美國供水系統(tǒng)都有義務(wù)對其物理和電子系統(tǒng)的風(fēng)險和恢復(fù)能力進(jìn)行自我評估,并制定應(yīng)急響應(yīng)計劃。不同規(guī)模的公用事業(yè)公司對應(yīng)不同的截止期限;對于法律所涵蓋的最小的公用事業(yè)公司,如奧德馬爾,須在法律簽署后兩年半的2021年6月30日之前進(jìn)行自我評估。根據(jù)奧德馬爾市管理者提供的一份聲明,該市在11月初就已經(jīng)完成了網(wǎng)絡(luò)安全審查,但在2月份的黑客事件之前尚未將其建議納入城市應(yīng)急計劃中。此外還有數(shù)萬個用戶少于3300人的供水系統(tǒng)完全不受這項法律的約束。
那些被要求進(jìn)行自我評估的公用事業(yè)公司沒有義務(wù)向任何政府機(jī)構(gòu)提交報告。這些公用事業(yè)公司只需要向環(huán)境保護(hù)局證明他們已經(jīng)完成了評估。2018年的立法還提供了3000萬美元的???,以幫助供水公司應(yīng)對包括網(wǎng)絡(luò)攻擊在內(nèi)的“風(fēng)險和恢復(fù)能力”問題,但國會從未撥款。
根據(jù)蒙哥馬利的說法,有關(guān)水務(wù)方面的規(guī)定遠(yuǎn)遠(yuǎn)沒有達(dá)到聯(lián)邦要求(包括對違反這些規(guī)則的懲罰),同時旨在保護(hù)電力基礎(chǔ)設(shè)施的資金也沒有到位。他還指出,環(huán)保局水安全處的人員配備不足。一位不愿透露姓名的美國環(huán)保署官員表示,該機(jī)構(gòu)只配備“一個小團(tuán)隊”專職負(fù)責(zé)水務(wù)網(wǎng)絡(luò)安全架構(gòu)。
這個問題的根源很明顯。全國絕大多數(shù)的供水系統(tǒng)都是小型國有的,資源有限,基礎(chǔ)設(shè)施老化。當(dāng)他們轉(zhuǎn)向使用數(shù)字系統(tǒng)和監(jiān)控器來提高效率、節(jié)約人力物力時,并沒有配備安全保護(hù)裝置,也沒有進(jìn)行必要的員工培訓(xùn),因此產(chǎn)生了上述漏洞。傳統(tǒng)上人們更關(guān)注物理風(fēng)險,例如自然災(zāi)害、管道破裂和現(xiàn)場入侵者,大多數(shù)供水系統(tǒng)很少或根本沒有內(nèi)部IT員工。新冠疫情下遠(yuǎn)程管理成為主流,這只會讓安全問題更加嚴(yán)重。
眾所周知,供水公司用于管理閥門、管道和其他基礎(chǔ)設(shè)施的工業(yè)控制系統(tǒng)極易受到攻擊。IBM和一家私人安全公司2018年的一項研究發(fā)現(xiàn),廣泛部署在"智慧城市"中的設(shè)備存在17個主要漏洞,包括使用包裝盒中自帶的默認(rèn)密碼(如"admin"),這使得"即使是初出茅廬的黑客也能輕松地獲取這些設(shè)備的訪問權(quán)限"。Positive Technologies公司2018年的一項研究報告稱,它能夠滲透到它所調(diào)查的近四分之三的工業(yè)組織中,最常見的漏洞包括:可遠(yuǎn)程訪問的網(wǎng)絡(luò)、顯而易見的密碼,以及軟件過于陳舊以至于制造商已經(jīng)停止修復(fù)漏洞。報告發(fā)現(xiàn),已被發(fā)現(xiàn)多年的漏洞往往被束之高閣,因為組織憚于做出任何可能導(dǎo)致停機(jī)的變更。
水務(wù)公司遭到攻擊的確切數(shù)量不為人所知。多數(shù)攻擊并沒有被發(fā)現(xiàn)或者沒有被報告,而且沒有聯(lián)邦法律要求向監(jiān)管機(jī)構(gòu)或執(zhí)法部門披露。由于擔(dān)心可能會導(dǎo)致漏洞泄露給其他黑客,水務(wù)系統(tǒng)通常拒絕公開失陷情況,甚至不會向它所在的集團(tuán)報告。
四、不再沉默
近些年來,美國三個州(紐約州、新澤西州和康涅狄格州)決定在聯(lián)邦政府規(guī)定上更進(jìn)一步,對其境內(nèi)的水務(wù)公司采取更嚴(yán)格的網(wǎng)絡(luò)安全措施。在通過新的立法后,新澤西州要求所有具有互聯(lián)網(wǎng)連接功能的公共供水系統(tǒng)在120天內(nèi)制定網(wǎng)絡(luò)安全風(fēng)險緩解計劃,并將其提交給州政府??的腋裰輪恿艘豁?quot;網(wǎng)絡(luò)安全行動計劃",并開始每年與該州最大的水務(wù)公用事業(yè)公司舉行非公開會議,以審查其網(wǎng)絡(luò)防御措施是否充分。紐約則修改了公共衛(wèi)生法,要求供水系統(tǒng)對其遭受網(wǎng)絡(luò)攻擊的脆弱性進(jìn)行評估,并在一年內(nèi)提交給州政府。
曾擔(dān)任康涅狄格州首席網(wǎng)絡(luò)安全風(fēng)險官的亞瑟-豪斯(Arthur House)表示:"我不希望在發(fā)生多人中毒事件或災(zāi)難性停擺后人們才說‘天啊,這太可怕了’。聯(lián)邦政府必須在這個問題上發(fā)揮作用。你不能把一個可能會導(dǎo)致國家癱瘓的事務(wù)完全交給50個不同的州來處理。"
參考及來源:nextgov.com 互聯(lián)網(wǎng)安全內(nèi)參