您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
水務(wù)行業(yè)面臨的網(wǎng)絡(luò)攻擊風(fēng)險
【編者按】網(wǎng)絡(luò)安全一直被視為水務(wù)行業(yè)的頭等大事。水務(wù)行業(yè)為其客戶、社區(qū)、地區(qū)、鄰國、工業(yè)和農(nóng)業(yè)部門提供了關(guān)鍵的生命線服務(wù)。為了充分支持水務(wù)行業(yè)復(fù)雜的業(yè)務(wù)流程和操作,需要有效的IT技術(shù)和OT技術(shù)。隨著水利領(lǐng)域數(shù)字化的到來,也為水務(wù)行業(yè)帶來了無限的機遇和新的安全挑戰(zhàn),一旦發(fā)生攻擊,產(chǎn)生的后果和社會影響將是災(zāi)難性的,因此水務(wù)行業(yè)必須將網(wǎng)絡(luò)安全作為首要任務(wù)。
一、遠程訪問無處不在
在過去的幾個月里,每天都有不同的組織成為勒索軟件攻擊的受害者,網(wǎng)絡(luò)罪犯攻擊不同關(guān)鍵基礎(chǔ)設(shè)施的趨勢日益增長。除了數(shù)量驚人的勒索軟件攻擊外,越來越多由于遠程訪問而導(dǎo)致的嚴重漏洞也被發(fā)現(xiàn)。這使得網(wǎng)絡(luò)罪犯更容易利用攻擊目標,其中一個受遠程訪問安全影響最大的目標行業(yè)就是水務(wù)行業(yè)。
由于水務(wù)基礎(chǔ)設(shè)施在社會中的重要作用,連接到網(wǎng)絡(luò)的水利系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)犯罪分子通過內(nèi)部和外部威脅以及供應(yīng)鏈攻擊等不同攻擊載體進行攻擊的誘人目標。
自2021年初以來,已經(jīng)出現(xiàn)了不同的水廠被網(wǎng)絡(luò)犯罪分子成功攻擊的案例。1月15日,舊金山的一家水處理廠被一名企圖毒害該廠的攻擊者利用,網(wǎng)絡(luò)罪犯通過使用一名前雇員的TeamViewer賬戶密碼獲得了訪問權(quán)限。一旦攻擊者進入自來水廠的系統(tǒng),就立即刪除了自來水廠用來處理飲用水的程序。攻擊第二天才被水廠發(fā)現(xiàn),水廠更改了密碼并重新安裝了程序。
幾周后,又發(fā)生了一起針對水廠的攻擊事件,是針對佛羅里達Oldsmar供水系統(tǒng)的網(wǎng)絡(luò)攻擊。一名黑客侵入了佛羅里達Oldsmar的水處理系統(tǒng),并劫持了工廠的操作控制系統(tǒng),攻擊者可以暫時把水中的氫氧化鈉含量提高到有毒的水平。幸好被一名操作人員很快發(fā)現(xiàn),并將水質(zhì)恢復(fù)到正常水平。
圖1 佛羅里達州Oldsmar發(fā)生的攻擊事件
2018年,國土安全部(DHS)和聯(lián)邦調(diào)查局(FBI)警告稱,俄羅斯政府專門針對水務(wù)部門,這導(dǎo)致美國政府成立了網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA),以確保關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全為即將到來的物理威脅做好準備。
圖2 多年來對水的網(wǎng)絡(luò)攻擊
隨著時間的推移,水和廢水基礎(chǔ)設(shè)施的攻擊面只會繼續(xù)擴大。這引發(fā)了加強網(wǎng)絡(luò)安全和更安全的遠程訪問的優(yōu)先考慮,因為更多的水務(wù)公司將成為可能導(dǎo)致災(zāi)難性后果甚至死亡的網(wǎng)絡(luò)攻擊受害者。
二、水務(wù)公司是誘人目標
美國有近20萬個飲用水系統(tǒng),為近3億美國人提供自來水。這些供水系統(tǒng)分布在城市、學(xué)校、醫(yī)院、寫字樓和其他地方。當關(guān)鍵的水務(wù)系統(tǒng)被網(wǎng)絡(luò)安全攻擊利用時,惡意活動可能會對公眾健康和安全造成毀滅性的后果。
對自來水設(shè)施的攻擊可能會導(dǎo)致污染、運行故障和服務(wù)中斷,這會導(dǎo)致潛在的疾病和人員傷亡。此外,這可能會導(dǎo)致應(yīng)急小組的妥協(xié),并可能影響不同的交通系統(tǒng)和食品供應(yīng)。此外,威脅行為者除了攻擊物理供水設(shè)施設(shè)備外,也會攻擊對日常運營至關(guān)重要的過程控制系統(tǒng)。水務(wù)部門還負責(zé)一些關(guān)鍵的個人數(shù)據(jù),這些個人數(shù)據(jù)對網(wǎng)絡(luò)罪犯來說是極具吸引力的目標。事實上,政府情報部門已經(jīng)證實,飲用水和廢水系統(tǒng)已成為多階段入侵行動的一部分,并成為各民族國家和尋求危害國家或獲取非法收益的個別罪犯和其他團體的直接目標。
另一個成功攻擊自來水公司的例子是亞特蘭大市的勒索軟件攻擊。2018年3月,亞特蘭大市和亞特蘭大市流域管理部門的員工無法打開其作電腦并獲得無線互聯(lián)網(wǎng)接入,在攻擊發(fā)生兩周后,亞特蘭大徹底關(guān)閉了水務(wù)部門網(wǎng)站,“以進行服務(wù)器維護和更新,直到進一步通知”。亞特蘭大花了幾個月的時間才恢復(fù),費用高達500萬美元。
三、遠程訪問為攻擊者提供了切入點
現(xiàn)在水務(wù)公司需要比以往任何時候都要更認真對待如何管理遠程訪問。
在過去的十年中,水利基礎(chǔ)設(shè)施和公用事業(yè)背后的技術(shù)與OT和IoT設(shè)備變得更加互聯(lián)。自來水公司正在使用不同的連接設(shè)備,如控制器、傳感器和智能電表來遠程監(jiān)控和管理流程,這很容易使其成為網(wǎng)絡(luò)罪犯滲透的目標。
對于水務(wù)公司來說,智能計量可以提高效率,但遠程訪問也會成為成功攻擊的關(guān)鍵切入點。遠程訪問安全性差可能使來自內(nèi)部和外部的網(wǎng)絡(luò)犯罪分子遠程訪問主操作系統(tǒng),并造成嚴重的社區(qū)健康問題,如污染水源等。
還有一個問題是,由水管理機構(gòu)部署的智能電表和水設(shè)備可能會被網(wǎng)絡(luò)攻擊滲透。如果智能電表受到攻擊或逆向工程破壞,網(wǎng)絡(luò)犯罪分子就有可能進入電表基礎(chǔ)設(shè)施,這將使他們能夠在組織的系統(tǒng)和網(wǎng)絡(luò)內(nèi)橫向攻擊和移動。
智能電表的不同漏洞突顯了更好的設(shè)備保護的重要性和必要性。對于使用ICS、控制器、智能電表、傳感器等互聯(lián)公用事業(yè)設(shè)備的組織來說,對其進行適當?shù)谋O(jiān)控和管理至關(guān)重要。通過了解誰有權(quán)訪問,他們從哪里訪問,以及對水利公用設(shè)備的不定期活動,可以減少成功的遠程攻擊水務(wù)系統(tǒng)的機會。
四、水務(wù)安全是重中之重
水務(wù)組織必須優(yōu)先考慮安全問題,必須要留出適當?shù)馁Y源和精力來保護公司的基礎(chǔ)設(shè)施和設(shè)備。這個過程首先要深入了解水和廢水系統(tǒng)存在的不同安全風(fēng)險,以及需要采取哪些步驟來確保更好的安全性。
圖3 組織采取更主動降低風(fēng)險的方法
隨著針對水廠的成功攻擊越來越多,以及人們對自來水設(shè)施不同風(fēng)險的認識不斷提高,越來越多的組織開始慢慢認識到在保護其IT和OT系統(tǒng)時實施正確的安全做法的重要性。隨著水廠采用更智能的傳感器和其他物聯(lián)網(wǎng)設(shè)備,使其基于水的過程自動化和現(xiàn)代化,這將為網(wǎng)絡(luò)犯罪分子創(chuàng)造新的可利用的切入點,以便其在組織系統(tǒng)內(nèi)能夠遠程利用和橫向移動。2020年初,黑客曾試圖通過干擾廢水流動和干擾氯的含量來擾亂以色列的供水,雖然攻擊得以避免,但其后果可能是致命的。
這一事件突顯出,公用事業(yè)公司再也不能以攻擊不太可能發(fā)生或可預(yù)見的心態(tài)來應(yīng)對網(wǎng)絡(luò)安全問題了。相反,水務(wù)公司必須通過制定事件響應(yīng)(IR)計劃來應(yīng)對不斷變化的環(huán)境,該計劃包括細粒度的威脅驅(qū)動策略,以便更好地分析、檢測、遏制網(wǎng)絡(luò)安全攻擊,并在對運營連續(xù)性影響有限的情況下從網(wǎng)絡(luò)安全攻擊中恢復(fù)。
隨著技術(shù)的不斷發(fā)展,隨之而來的各種風(fēng)險也在不斷增加。通過采用更多的連接技術(shù)和設(shè)備,迫使水務(wù)組織連接到互聯(lián)網(wǎng),這導(dǎo)致了更多的遠程訪問入口點,從而導(dǎo)致安全事件增加。這一趨勢也導(dǎo)致安全團隊必須要更新其安全方法,以更好的適應(yīng)遠程訪問安全和OT安全。
除了網(wǎng)絡(luò)攻擊外,供水企業(yè)還面臨著因其使用的工業(yè)控制系統(tǒng)(ICS)存在漏洞而暴露的威脅。2020年2月,商用、關(guān)鍵制造業(yè)、能源、供水和廢水處理設(shè)施使用的C-more觸摸屏被發(fā)現(xiàn)存在漏洞。該漏洞CVE-2020-6969允許攻擊者在未受保護的項目文件上解密憑據(jù)和其他敏感信息。
與水處理廠和供水機構(gòu)相關(guān)的組織是公共基礎(chǔ)設(shè)施的重要組成部分。供水基礎(chǔ)設(shè)施需要定期監(jiān)控,不僅要檢測網(wǎng)絡(luò)上的潛在威脅,還要識別可能入侵的任何異常情況。因此擁有一套全面的網(wǎng)絡(luò)安全法規(guī)和安全實踐也有助于避免攻擊事件發(fā)生。
網(wǎng)絡(luò)安全風(fēng)險被認為是全世界水務(wù)關(guān)鍵基礎(chǔ)設(shè)施面臨的最大威脅。與其他關(guān)鍵基礎(chǔ)設(shè)施行業(yè)類似,水務(wù)公司面臨的挑戰(zhàn)包括老舊的基礎(chǔ)設(shè)施、過時的硬件及軟件、未經(jīng)身份驗證的協(xié)議以及缺乏安全資源和知識。為了避免措手不及,水務(wù)行業(yè)需要采取適當措施應(yīng)對可能會損害整個水務(wù)運營和基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全事件。水務(wù)公司應(yīng)該更有創(chuàng)造性和積極的在處理網(wǎng)絡(luò)安全的問題,為此應(yīng)該分配更多的資金,通過增加年度預(yù)算和減少依賴資本,改進措施來提高網(wǎng)絡(luò)安全,防止水利基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊。
網(wǎng)絡(luò)風(fēng)險是一個嚴重的威脅,水務(wù)部門的組織必須將網(wǎng)絡(luò)安全作為首要任務(wù),提高警惕是防止針對水務(wù)公司的網(wǎng)絡(luò)攻擊的關(guān)鍵。水務(wù)公司應(yīng)專注于實施最佳安全做法,例如避免關(guān)鍵資產(chǎn)暴露在互聯(lián)網(wǎng)上,建立關(guān)鍵資產(chǎn)的冗余機制,采用嚴格的訪問控制政策,并提高員工的安全意識,還應(yīng)該了解現(xiàn)有的安全流程,以及攻擊者如何通過網(wǎng)絡(luò)手段繞過這些流程。
隨著水務(wù)組織繼續(xù)成為網(wǎng)絡(luò)犯罪分子更具吸引力的目標,最好是現(xiàn)在就采取行動,降低任何風(fēng)險,為任何針對水務(wù)公司的攻擊做好準備。決策者應(yīng)該考慮新的安全方法,這些方法要能夠提供設(shè)備級別的安全設(shè)計,可以在未來數(shù)年保護其水利基礎(chǔ)設(shè)施。
參考資料:
【1】https://cyware.com/news/water-utilities-face-increasing-risk-of-cyberattacks-37a1d084
【2】https://www.ey.com/en_au/cybersecurity/how-australias-water-utilities-can-build-cybersecurity-resilience
轉(zhuǎn)載來源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心