您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
水務(wù)設(shè)施淪為美國(guó)最容易被黑的關(guān)基設(shè)施
美國(guó)水務(wù)信息共享與分析中心最新調(diào)查報(bào)告顯示,530多家水務(wù)企業(yè)在IT/OT資產(chǎn)管理方面普遍存在不同程度的問題;
美國(guó)網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局?jǐn)?shù)據(jù)顯示,水廠上報(bào)的超80%漏洞為2017年前就披露過的老漏洞;
全美5萬多家水務(wù)設(shè)施大部分是非盈利機(jī)構(gòu),特別是農(nóng)村地區(qū)的工廠,可能只有少數(shù)幾位不了解網(wǎng)絡(luò)安全的普通員工。
超過六成的水務(wù)公司表示,尚未完成對(duì)IT網(wǎng)絡(luò)資產(chǎn)組成的全面評(píng)估,只有約21%的水務(wù)公司正在努力進(jìn)行資產(chǎn)梳理。
此外,約70%的受訪者表示,運(yùn)營(yíng)技術(shù)(OT)網(wǎng)絡(luò)資產(chǎn)的評(píng)估同樣沒有全面完成,只有不足四分之一受訪者正在積極推動(dòng)這項(xiàng)工作。
從美國(guó)水務(wù)信息共享與分析中心(Water-ISAC)近日公布的最新調(diào)查報(bào)告可以看到,530多家水務(wù)企業(yè)在IT/OT資產(chǎn)管理方面普遍存在不同程度的問題。
就在調(diào)查結(jié)果發(fā)布的同天,NBC新聞首次披露報(bào)道,今年1月有黑客輕松入侵舊金山灣區(qū)一家水處理廠。攻擊者使用某位前任雇員的憑證安裝一款常見的遠(yuǎn)程辦公軟件之后,順利掌握了網(wǎng)絡(luò)訪問權(quán)。
在這起事件數(shù)周前,佛羅里達(dá)州一家水處理廠因?yàn)椴僮飨到y(tǒng)陳舊及遠(yuǎn)程辦公軟件存在漏洞被惡意篡改化學(xué)成分,登上了美國(guó)各大媒體的頭條新聞。
在水務(wù)信息共享與分析中心組織的這次調(diào)查中,只有4家組織確認(rèn)其IT/OT系統(tǒng)曾在過去一年內(nèi)遭到入侵,另有數(shù)十家組織表示他們“不確定”是否發(fā)生過安全事故。
美國(guó)農(nóng)村水務(wù)協(xié)會(huì)分析師Mike Keegan說,“鑒于不同水務(wù)公司的規(guī)模、能力和技術(shù)能力各不相同,很難對(duì)正在發(fā)生的攻擊有很好的評(píng)估?!?/span>
在美國(guó)所有關(guān)鍵基礎(chǔ)設(shè)施中,水設(shè)施可能是最容易被攻擊的。與只有少數(shù)盈利公司經(jīng)營(yíng)的電網(wǎng)不同,全美5萬多家水務(wù)設(shè)施大部分是非盈利機(jī)構(gòu),特別是農(nóng)村地區(qū)的工廠,可能只有少數(shù)幾位不了解網(wǎng)絡(luò)安全的普通員工。
在科洛尼爾燃油管道公司遭受攻擊之后,美國(guó)眾議院和參議院的議員們?cè)啻钨|(zhì)疑相關(guān)官員,認(rèn)為網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局(CISA)應(yīng)該在天然氣與石油行業(yè)的網(wǎng)絡(luò)安全問題上發(fā)揮更重要的監(jiān)管作用。
截至目前,網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局只能在私營(yíng)企業(yè)申請(qǐng)時(shí)提供協(xié)助。雖然國(guó)會(huì)立法授予該機(jī)構(gòu)發(fā)布傳票獲取資產(chǎn)所有者聯(lián)絡(luò)信息的權(quán)力,但除了向聯(lián)邦機(jī)構(gòu)范圍內(nèi)的政府網(wǎng)絡(luò)設(shè)施發(fā)布緊急指令外,該局仍然缺乏必要的監(jiān)管權(quán)力。
根據(jù)網(wǎng)絡(luò)與基礎(chǔ)設(shè)施安全局整理并發(fā)布的水務(wù)行業(yè)相關(guān)數(shù)據(jù),約10%的水務(wù)公司曾經(jīng)上報(bào)嚴(yán)重漏洞、40%上報(bào)過高危漏洞。而由水廠上報(bào)的大部分安全漏洞(超過80%)為2017年之前就已經(jīng)披露過的CVE漏洞。
近日,水務(wù)信息共享與分析中心向成員機(jī)構(gòu)發(fā)布了一份6個(gè)老漏洞清單,并強(qiáng)調(diào)“目前有多起上報(bào)提到,攻擊者正利用這些漏洞入侵未經(jīng)安全修復(fù)的水務(wù)及廢水處理系統(tǒng)。”
參考來源:fcw.com、nbcnews.com 安全內(nèi)參編譯
來源:互聯(lián)網(wǎng)安全內(nèi)參