导致美国进入紧急状态的勒索事件揭示出的网络安全实践需求 – 作者:Akane

多个消息源将攻击者确定为DarkSide组织，这是一家东欧的网络犯罪勒索团伙。最新消息称，DarkSide勒索团伙承认他们是造成美国“断油”事件的元凶。

一个大问题是Colonial能够以多快的速度制定其重启计划。

ICS网络安全和部门负责人，FBI InfraGard部门负责人Marc Ayala称：

没有简单的电灯开关或按钮即可神奇地重启和恢复操作。

即使还有其他问题尚待解决，Colonial公司勒索事件也为ICS企业应如何应对网络攻击提供了一些经验教训。

深入了解OT系统可能加快重启速度

缺乏对OT系统安全状态的了解可能是导致Colonial停运的主要原因。

Marc Ayala提到：

该事件最大的问题是不清楚影响的深度、范围和广度。停止运营是一个明确的信号，表明他们对当前的运营流程、安全系统和安全环境不信任。

在一份给客户的说明中，Marc Ayala预测，Colonial恢复运营将需要48到84个小时或更长时间。

网络安全公司Tenable的安全运营副总裁Marty Edwards也是在ICS-CERT任职时间最长的董事，对此观点表示赞同：

他们（指ICS运营者，如本次事件的主角Colonial）需要对环境有足够的了解，才能知道实际影响的范围。通常情况下，关键基础设施所有者和运营商根本没有足够的可见性，尤其是在这些操作技术和工业控制系统环境中。

更好的细分可以避免停机

为了避免类似的操作系统停机，ICS组织应集中精力更好地划分功能和网络。

Marc Ayala提到：

应该有明确而适当的细分，必须从架构层面进行重构。我们得知道如何做出反应，IT到OT的分界不清晰是我们面临的最大威胁之一。

在寻找受感染的组件并尽快隔离它们以加快恢复正常操作的过程中，分段就发挥了作用。Marty Edwards表示：

ICS组织必须具有这种实时的可见性，如果某件事开始影响你在一个地理区域内的运行时，必须能够快速进入系统并找出可能存在漏洞的其他地方，并将这些系统分段并隔离。

攻击透明度至关重要

ICS组织需要考虑的另一个关键因素是围绕勒索攻击事件的治理策略，尤其是在事前阶段。整理有效的通信策略，为攻击的后果做准备。Marty Edwards称：

我总是鼓励组织尽可能多地提高透明度。对于这类事件，他们应预先准备经过审核的保留声明、新闻稿等，以便首席信息安全官接到电话时可以从容应对。

ICS组织还应针对如何管理此类勒索攻击制定详尽的计划。如果公司拥有经过良好测试和维护的容灾备份计划，且对所有这些类型的系统都有良好的备份，那么他们就有信心可以隔离事件，并在尽可能短的时间内恢复。

与政府合作很重要

Marc Ayala在与联邦政府的合作中给予了Colonial很高的评价。从长远来看，政府机构应该在为此类事件做准备中发挥更关键的作用。

Marty Edwards称：

我们已经说了很长时间了，必须是真正的伙伴关系。我不会把“伙伴关系”这个词定义为信息共享计划之类的东西。我们需要将私营部门和联邦政府结合起来，政府非常实诚地提出了一系列的解决方案。