美國進入國家緊急狀態背後的安全思考

作者 : 邵樂峰,EE Times China

在遭遇勒索軟體網路攻擊後,美國最大燃油管道營運商Colonial Pipeline被迫關閉了其整個管道系統。隨即,美國政府宣佈17個州和華盛頓特區進入緊急狀態,並臨時給予該區域的汽油、柴油、航油等成品油的運輸豁免,以保障人們的正常生活...

5月9日,在遭遇勒索軟體網路攻擊後,美國最大燃油管道營運商Colonial Pipeline被迫關閉了整個管道系統。隨即,美國政府宣佈17個州和華盛頓特區進入緊急狀態,並臨時給予該區域的汽油、柴油、航油等成品油的運輸豁免,以保障人們的正常生活。

劫富濟貧?

作為美國最大的成品油管道,該管線承擔著美國東海岸45%的成品油供應。除了管道營運之外,此次攻擊還影響了包括訂貨和調度功能在內的IT系統,截至目前,能無法得知管道將關閉多長時間。

 

(來源:HIS Markit Energy)

 

發動此次攻擊的駭客組織名叫DarkSide,熱衷於將自己裝扮為英國民間傳說中的英雄人物「羅賓漢」。5月10日,該組織在其官網發佈的簡短新聞稿中寫道:「我們的目的是要錢,而不是為社會製造麻煩。」據稱DarkSide不以醫院、學校等非營利組織作為攻擊目標,而是針對有能力支付大額贖金的企業或機構進行攻擊,然後將部分贖金透過不可追蹤的網路貨幣(例如比特幣)捐贈給慈善機構。有報導指出,今年1月,DarkSide就利用勒索軟體獲得了45個比特幣,約合人民幣1,700多萬元。

作為應對,Colonial Pipeline主動切斷了系統的網路連接以遏制威脅,還聘請了麥迪安網路安全(Mandiant)來調查該事件。儘管目前系統支付端較小的線路已經恢復正常,但主要線路仍處於離線狀態,仍未恢復全面業務。

目前解決時間是最大的不確定性,如果停運時間在2~4天以內,則當地庫存和通過「Plantation管道」運送至PADD 1C (下大西洋地區)的供應量應足以彌補Colonial管道停運所導致的精煉產品損失量。但同時,多個網路安全公司的調查顯示,在美國,勒索軟體的攻擊從談判到解決平均需要7~21天的時間。這種情況下地區燃油供應或面臨重大影響。

受到成品油管道關閉的消息影響,國際油價一度波動加劇。根據美國汽車協會資料,全美汽油平均零售價10日升至2.967美元/加侖,較上週五上漲2.4%。如果全美國汽油平均價格在下周內達到每加侖3美元,這將創下2014年以來的最高價格水準。

付錢認命?

勒索軟體並不少見。美國安全機構預測,2021年預計每11秒將發生一次勒索攻擊,全年超過300萬次;Veritas去年發佈的《2020 Ransomware Resiliency Report》(2020年勒索軟體恢復力報告)顯示,企業IT系統越複雜,越易遭受勒索攻擊。

而在中國,騰訊安全近期對外發佈的《2021上半年勒索病毒趨勢報告及防護方案建議》顯示,廣東、浙江、山東、湖北、河南、上海、天津較為嚴重。而資料價值較高的傳統產業、醫療、政府機構是重災區,佔比依次為37%、18%、14%,總計佔比高達69%。

新思科技(Synopsys)網路安全研究中心首席安全性原則師Tim Mackey在接受《電子工程專輯》中國版採訪時評論,「這又是一個警鐘,任何一家使用軟體推動業務發展的企業都應該警惕。網路不法分子不會真正關心你的業務有多重要,他們只是在乎從你這可以獲取多少利益。」

Mackey指出,對市政機構、醫療系統和關鍵基礎設施的網路攻擊正在不斷增加,雖然這些機構都會採用法律手段保護自己,但是網路攻擊者不會甘休,這已經成為一種趨勢。Colonial Pipeline是美國公司,但是網路攻擊的影響是全球性的,儘管美國財政部等官員曾警告,強調勒索軟體付款是如何用於支援未來的犯罪活動,但受害者通常仍面臨著是否付款的艱難抉擇。

他認為有可能是由於流程和網路防禦中的多個缺陷被利用導致了此次網路攻擊。由於某些工業軟體系統已經很陳舊,很可能舊版軟體的設計不具備防禦勒索軟體攻擊等現代威脅的能力。「儘管軟體的年份對其功能的影響有限,但是威脅建模和防禦性保護需要與新威脅保持同步,只有知道並解決了每個元件中存在的所有缺陷,才可以做到這一點。畢竟,如果不法分子能夠更快地識別出這些缺陷,那麼他們將趁虛而入。」Mackey說。

因此,為了避免成為勒索軟體的受害者,企業/組織需要制定全面的網路安全計畫,以充分掌握每個軟體元件、其角色和生命週期,以及其部署配置和使用的風險。有了這些基本資訊和詳盡的清單,在不法分子嘗試發起勒索攻擊時,確定每個元件有可能存在的風險。

中國亞信安全撰文指出,經過歷年來的實網攻防演練,相關能源企業都已經加強了邊界防護,在逐步減少網際網路出口數量,但是邊界防護依然薄弱,主要表現在以下幾方面:

1.由於網際網路出口數量眾多,網際網路出口和VPN防護不嚴,網際網路邊界依然是企業的最大安全暴露面和脆弱點;

2.能源公司網路是一個整體,一些小企業防護能力比較弱,內部的網路互通,資料中心邊界未部署存取控制設備,駭客組織從一個外部薄弱企業入侵後,進一步入侵內部薄弱的企業,導致風險跨企業蔓延。

3.根據2015年企業資訊安全風險評估統計,中國108家央企擁有249個出口,使用代理少,沒有審計能力,網際網路接入點的技術架構也不規範。

4.同樣根據2015年企業資訊安全風險評估統計,中國能源系統相關企業應用發佈不規範,種類多,技術手段不一,安全防護存在較多漏洞,透過現場滲透措施發現437個資訊系統可被攻破。

 

能源公司網路結構分析。

(來源:亞信安全)

 

亞信安全認為,只有做好安全防護工作(例如重要資料及時備份,並明確備份管理機制;安裝惡意程式防護軟體,開啟主機防火牆,阻斷445、135、139、3389等埠有利於病毒傳播埠;強化作業系統、中介軟體、業務系統等密碼口令;升級伺服器作業系統,更新最新漏洞補丁;安裝主機終端安全防禦系統),以及強化網路安全防護水準、完善應急處置機制,才有可能最大程度避免網路攻擊事件發生。

「大象一直在房間裡」

提到網路安全,就不得不提到軟體安全,尤其是開源軟體安全。

近年來,開源治理已經引起業界普遍關注,各個國家也出臺政策指導開源安全管理。比如,2020年,為了讓中國用戶更好地理解和擁抱開源,中國資訊通信研究院就正式發佈了業內首個《開源生態白皮書(2020)》。

根據新思科技(Synopsys)發佈的《2021年開源安全和風險分析》報告(OSSRA),開源是所有產業絕大多數應用程式的基礎,但同時,他們也發現:

所有經過審計的行銷科技類公司的程式碼庫都包含開源,包括CRM客戶關係管理系統及社交媒體。其中95%的行銷科技程式碼庫存在開源漏洞。

  • 98%的醫療保健產業程式碼庫包含開源,其中有67%的程式碼庫存在漏洞;
  • 97%的金融服務/金融科技產業程式碼庫包含開源,其中超過60%的程式碼庫存在漏洞;
  • 92%的零售和電子商務產業程式碼庫包含開源,其中71%的程式碼庫存在漏洞。

更令人擔憂的是廢棄開源元件仍在被廣泛使用。例如高達91%的程式碼存在開源依賴,這些開源元件在過去兩年內沒有任何開發活動——沒有進行程式碼改進,也沒有任何安全修復。

從下圖可以明顯的看出,在Black Duck審計服務團隊2020年審計的1,500多個程式碼庫中,有84%包含至少一個公開開源漏洞,這比2019年的75%增加了9%,成為自2017年以來的第二大增幅。同樣,包含「高風險」開源漏洞的程式碼庫百分比在2020年增長至60%,比2019年的49%大幅增加了11%。2020年的審計中再次發現了2019年在程式碼庫中發現的幾個十大開源漏洞,並且所有這些漏洞的百分比均有顯著增加。

 

(來源:Synopsys)

 

「大象一直在房間裡」,這是一個當前很流行的說法。借用「大象一直在房間裡,個頭雖然很大,但是沒有人注意到」的比喻,意指大家關心的可能並不是一個正確的方向和事務。所以,2021年OSSRA報告中還提及了其他幾個需要引起重視的開源風險,包括:

  • 商務軟體中過時的開源元件已成常態,85%的程式碼庫含有至少4年未曾更新的開源依賴;
  • 超過90%經審計的程式碼庫含有許可證衝突、自訂許可證或根本沒有許可證的開源模組;
  • 開源漏洞趨勢朝著錯誤的方向發展。

 

(來源:Synopsys)

 

對半導體產業而言,隨著摩爾定律的速度開始放緩,如何透過軟體演算法最大限度的挖掘硬體潛力,成為了熱議的話題。而一旦軟體使用比例開始上升,漏洞風險、供應鏈物料清單風險、合規風險都會相應增加,如果再考慮國際合作,那麼產品演算法還要符合相關出口法案安全規定,這些都需要相關企業加以認真思考。

本文原刊登於EE Times China網站

 

 

 

 

 

 

加入我們官方帳號LINE@,最新消息一手掌握!

發表評論