美国国土安全部网络安全及基础架构安全局(CISA)本周披露,当地一家天然气压缩公司受到勒索软件攻击,使得公司业务停摆两天,呼吁所有重大基础设施领域的企业,都应吸取教训并确保已导入相对应的缓解措施。
CISA并未公布该受黑企业的名称,只说黑客通过鱼叉式网络钓鱼攻击入侵该组织的信息科技(IT)网络,再找机会渗透到操作技术(OT)网络,之后在这两个网络上部署了勒索软件,使得OT网络的人机接口、数据与轮询服务器完全失能,且受到影响的数据,也无法再读取或聚集来自IoT设备的数据。
幸好相关攻击只针对Windows操作系统,因此可程序控制器(PLCs)并未受到波及,让受黑组织还能保有操作控制权,在发现异样之后,该组织立即关闭了运营。
虽然黑客的攻击行动,只影响了受害组织的一处设施,但因管线传输的依赖性,其它设施也不得不停止运行,总计停工了两天。
CISA表示,该受害组织未能明确隔离IT与OT网络,才让黑客得以同时危害两个网络中的资产,随后受害组织取得了全新配置的替代设备,才得以顺利回复。
值得注意的是,受害组织既有的紧急回应方案中,主要是锁定实体安全上的威胁,并未纳入来自网络攻击的威胁,也未训练员工如何处理网络攻击意外。
CISA建议各基础设施运营商应该明确隔离IT与OT网络;在不同的区域间部署安全控制;从远程自外部登录,应要求多因素身份认证;严格实施用户权限准则;使用强大的垃圾消息过滤机制,并过滤网络流量;采用最新软件与固件;部署杀毒软件;关闭Office程序中的宏功能;限制远程桌面协议的使用。