Colonial Pipeline的大规模勒索软件攻击两周年之际,专家警告说,为阻止对美国关键基础设施的潜在破坏性威胁所做的努力还不够。
对其IT基础设施的网络攻击迫使Colonial Pipeline有史以来第一次关闭其整个运营,引发燃料短缺和价格上涨,促使美国东海岸的四个州宣布进入紧急状态。该事件立即将勒索软件升级为国家安全威胁,并促使政府监管、司法、行政部门采取系列一致行动。
自从这次攻击以及此后不久对JBS肉制品公司的另一次重大勒索攻击以来,美国政府已表示将把对关键基础设施的勒索软件攻击视为恐怖主义。在Colonial Pipeline勒索攻击发生几天后,拜登总统签署了一项行政命令,对关键基础设施组织提出了新的安全要求。联邦层面和监管机构还采取了许多其他举措,以增强对美国关键基础设施攻击的抵御能力。
然而,两年过去了,勒索软件对关键基础设施的威胁仍然很高,最近对美国最大的冷藏供应商Americold的攻击再次表明了这一点。这次攻击——就像Colonial Pipeline上的攻击一样——迫使Americold在努力补救威胁的同时关闭了冷藏业务运营。去年,FBI收到的2,385起勒索软件投诉中有870起涉及关键基础设施组织。FBI的数据显示,在16个指定的关键基础设施行业中,有14个行业至少经历了一次勒索软件攻击。
这一趋势在2023年仍然有增无减:BlackFog的2023年4月勒索软件状况报告显示,尽管其他供应商报告攻击量有所放缓,但对医疗保健、政府和卫生部门的勒索软件攻击仍在继续增长。
抗击勒索仍是未竟的事业
安全专家认为,就目前已完成的所有工作而言,还有很多工作要做。
Fortalice Solutions首席执行官兼白宫总统执行办公室前首席信息官Theresa Payto列出了自Colonial Pipeline以来,她认为在打击勒索软件攻击方面采取的几项积极措施。其中包括拜登总统关于改善国家网络安全的第1402 号行政命令、专门针对关键基础设施控制系统的国家安全备忘录5 ,以及根据M-22-09在联邦机构中建立零信任网络安全模型的努力。同样值得注意的是《关键基础设施网络事件报告法》和两党基础设施法案中的网络安全条款等措施。
Payton说,FBI系统地打击并摧毁具有高度破坏性的Hive勒索软件组织是取得进展的另一个表现。
她解释说,现在需要的是针对关键基础设施组织的更具体的指令。“我们必须为关键部门制定最低网络安全要求 [并加强] 身份验证和身份证明标准,以防止勒索软件事件的发生,”她说。
“像Colonial Pipeline这样的关键基础设施组织应该采用零信任原则来防止勒索软件攻击,尤其是在社会工程变得更加现实、复杂、持久的情况下,”Payton说。
西雅图前CISO、网络安全公司Critical Insight现任CISO迈克·汉密尔顿 (Mike Hamilton)表示,Colonial Pipeline的攻击暴露出美国基础设施运营商缺乏从严重网络攻击中恢复的良好程序。
“一旦Colonial出于谨慎考虑关闭了管道运营,重新启动的时间就太长了,这延长了现有的燃料供应问题,”他说。“这是一个弹性问题。你需要能够在十次计数结束之前承受打击。”
努力推高勒索软件攻击成本
汉密尔顿指出,在Colonial Pipeline事件发生后的两年里,美国政府机构一直在努力提高勒索软件攻击者的难度和成本。例如,财政部利用其现有的外国资产控制办公室(OFAC)权力禁止使用加密货币交易所进行勒索支付。美国司法部在主动拆除犯罪基础设施和逮捕罪犯方面也更加积极。
他说,展望未来,重点必须放在捍卫和摧毁犯罪基础设施上。汉密尔顿说,识别和制裁罪犯以最终将其逮捕和监禁,并禁止勒索软件受害者付款。
美国网络安全和基础设施局(CISA)也一直在积极推动联邦机构加强对勒索软件和其他网络威胁的防御。
例如,该机构的已知利用漏洞目录要求所有政府民事机构在特定时间范围内(通常为两周)修补被积极利用的漏洞,以最大限度地减少网络威胁的暴露。最近,CISA启动了勒索软件漏洞警告试点(RVWP)计划,以警告关键基础设施部门的组织注意存在勒索软件攻击者可能利用的漏洞的系统。2023年3月,CISA启动了一项相关的预勒索软件通知计划,该计划一直在警告组织注意其网络上的勒索软件参与者,以便他们可以在任何数据加密发生之前消除威胁。
这些计划是CISA的联合网络防御协作(JCDC)的一部分,该机构通过它从网络安全研究人员、基础设施参与者和威胁情报公司接收提示和威胁情报信息。
“CISA已经认识到勒索软件对关键基础设施的威胁,”Onapsis首席执行官兼联合创始人Mariano Nunez说。他说,自今年年初以来,他们已经标记了医疗保健、公用事业和其他部门的60多个组织关于其网络上潜在的预勒索软件威胁。
勒索软件攻击继续呈高发之势
这种帮助至关重要,因为勒索软件对关键基础设施的攻击正在增加,Nunez说。
“随着公用事业和关键基础设施变得更加互联在线,或互连,攻击面将继续扩大,”他指出。“迁移到云端也会带来一些问题,因为这种转变会使监控活动威胁和及时评估漏洞变得更加困难。”
可能使解决勒索软件问题的努力复杂化的一个因素是受害者越来越倾向于延迟报告事件或尽可能完全掩盖事件。
据BlackFog称,其研究表明,担心对其品牌、声誉和客户关系造成潜在损害的组织正在延迟,有时甚至不报告勒索软件事件。
“我们现在看到超过90%的攻击不再加密受害者的设备,而是简单地泄露数据并勒索所有受害者,”BlackFog的首席执行官兼创始人Darren Williams 说。“暴露的成本太高了;业务损失、补救、监管罚款和集体诉讼只是需要处理的几个问题。”
参考资源
1、https://www.darkreading.com/ics-ot/2-years-after-colonial-pipeline-attack-us-critical-infrastructure-remains-as-vulnerable-to-ransomware
来源:网空闲话