近日，美国政府发布安全通告，称勒索病毒攻击了美国一天然气管道运营商，致使该工厂IT与OT网络数据双双被锁定，整个天然气管道运营被迫停摆持续两天。

尽管美国的这家天然气管道运营商已恢复运行，但网络安全和基础设施局（CISA），则在该事件的通告中公布了一份详尽的勒索病毒攻击缓解措施，以防类似攻击活动再次发生。

致命疏漏：终致基础设施“蝼蚁溃堤”

网络攻击的实现，从不是一蹴而就的，往往需要多个环节串联，才能最终加密目标数据。回顾天然气管道运营商的中招过程，会发现人、网络隐患，甚至是机制上均存在安全疏漏。

致命疏漏1：IT与OT网络未实施可靠的分段

我们必须知道，对于关键基础设施的运营商而言，除了要关注IT（信息技术）网络，更要注意到OT（操作技术）网络的安全；

IT网络大家比较熟悉，但对于以工业自动化控制系统为代表的OT网络或许要相对陌生。比如：生产现场设备与系统，实现自动化控制，监测生产环境的软硬件一般就部署在OT网络环境之中。

一般来说，在网络风险面前，IT系统拥有较为健全的安全体系，防护也备受重视；然而，OT系统的防护却大相径庭，面向OT系统的安全威胁常常被忽视。所以，近几年针对OT发动的攻击此起彼伏，如电力、医疗、公共设施等攻击事件层出不穷。

回到此次美国天然气运营商攻击事件，官方报告可见其致命缺失就是：未能在IT和OT网络之间实施可靠的分段和防御，导致黑客获得了IT网络的初始访问权限，然后轻松越过IT-OT边界，继而在双重网络中植入勒索软件，并成功加密数据，以求达到最大伤害。

而结果，最直接的影响就是：OT网络上的相关进程，如人机接口（HMI），数据记录系统和轮询服务器无法正常运作，运营人员无法读取和汇总从低端OT设备报告的实时操作数据，从而导致运营人员的无法了解管道设施的运营状况。

致命疏漏2：“屡试不爽”的钓鱼攻击

CISA的报告指出，这家企业遭遇勒索病毒的方式同样源自高中招率的钓鱼攻击。一名员工因鱼叉式钓鱼攻击，误点恶意链接将攻击者引入到了企业网络内部。

对于网络安全防控较严格的关键基础设施来说，钓鱼攻击是黑客渗透至其网络内部，扩散病毒效率与成功率最高的手段之一。有报告显示，自2012年起，得益于钓鱼攻击的加持，勒索病毒才开始大范围在互联网扩散。

而经过近十年的发展，以关键基础设施、金融、政府等高价值组织，早已跃升为黑客眼中的“肥羊”，频频遭遇勒索病毒洗劫。

致命疏漏3：应急措施竟遗漏网络攻击风险

勒索病毒攻击发生后，企业本应第一时间启动安全应急响应机制，而这家天然气管道运营商的应急响应计划中，竟未制定网络威胁风险响应机制，甚至过往应急演习中，也从未有过网络攻击处理解决经验。

网络攻击响应机制缺失，最终导致勒索病毒在IT与OT网络持续扩散，最终只得停工收场。

连锁反应：管道之间相互依赖，触发整个业务被迫关停

幸也不幸，尽管勒索病毒仅直接锁定了一个控制设备的网络数据，但由于天然气传输对管道的依赖性，一个控制设备的停摆最终导致这家企业关闭运营持续了两天时间。

而作为下游能源供应商，受天然气供应关闭影响的上游企业虽未公布，但波及范围可想而知。

CISA发布网络攻击缓解指南

一次勒索攻击不可怕，可怕的是不能从中得到教训，尤其是涉及能源、交通等重要领域的关键基础设施。CISA在发布事件通告时，就以这家天然气供应商为例，向关键基础设施领域组织机构发布了一份从技术到运营的缓解措施指南。

深入研究后，零日决定从OT网络安全、权限设置威胁拦截、防御程序设置和应急响应机制等方面，解读这份勒索病毒缓解干货。

（1） OT网络安全

隔离连接：勒索病毒之所以从OT蔓延到IT网络，关键在于网络架构建设上未对OT、IT等网络模块进行应急隔离。这时就可以通过对网络进行物理和逻辑隔离，确定非军事区（DMZ），消除IT和OT等网络之间不受管制的通信，避免勒索攻击发生时企业内网扩散的问题。

可信通道：建立OT网络资产逻辑区域，在区域范围内设定可信通信通道，并对通道内网络流量进行监控与过滤，进而达到阻止工控系统（ICS）协议遍历IT网络。

身份验证与备份：针对远程访问OT和IT网络，设定多重访问身份验证，定期对IT和OT网络实施常规数据备份。

（2）权限设置威胁拦截

访问权限分级：根据最小特权和职责分离的原则，设定不同账户的访问、管理权限。

垃圾邮件过滤：通过垃圾邮件过滤器，筛查包含可执行文件的电子邮件，防止网络钓鱼邮件进入企业员工邮箱。

网络流量过滤：利用网络流量过滤方式，禁止已知恶意Internet协议（IP）地址进出企业挖网络通信，并防止用户使用统一资源定位器（URL）黑名单和/或白名单访问恶意网站。

禁用文件宏脚本：通过电子邮件传输的Microsoft Office文件中禁用宏脚本，实施执行预防。

限制网络资源访问：主要限制以远程桌面访问（RDP）为代表的资源访问，从来源上拦截威胁。

（3） 防御程序应用设置

杀软程序应用：设置防病毒/防恶意软件 程序，通过最新签名对IT网络资产进行定期扫描，并基于风险资产清单策略，识别和评估OT网络恶意软件。

程序白名单：设置应用程序白名单预防恶意执行，该白名单仅允许系统执行已知安全程序和允许程序。通过软件限制策略（SRP），防止程序从常见位置执行勒索软件。

（4） 应急响应机制

应急响应制度：在确保组织安全计划和应急响应计划与网络访问正常需求情况下，开发测试网络安全应急响应规范与标准，识别网络安全故障做到有效应对。

应急响应演练：模拟电子通信质量不佳的网络环境，演练手动或自动等方式，切换故障网络与备用控制系统等，并作为经验记录在应急反应规范标准中。

零日反思

在这个勒索病毒成为常规化网络攻击的今天，很难想象美国关键基础设施领域，仍然存在对网络攻击毫无应对的企业，而这也像一面镜子，提醒着我们网络安全的前路，依然漫长且艰险。

最后，建议国内相关领域，可以大胆的结合自身情况，借鉴CISA关键基础设施勒索病毒缓解措施。

参考资料：

ZDnet《美国国土安全部称勒索软件打击美国天然气管道运营商》

CISA《警报（AA20-049A）勒索软件影响管道运营》

【本文原载微信公众号“零日情报局”