石油和天然气网络安全:行业概述第 1 部分
石油和天然气行业对试图破坏运营和服务的重大网络安全攻击并不陌生。大多数针对石油行业的最广为人知的攻击都是对石油公司企业网络的初步尝试。
地缘政治紧张局势不仅会导致物理空间发生重大变化,还会导致网络空间发生重大变化。2022 年 3 月,我们的研究人员观察到了几起据称由不同团体实施的网络攻击。现在,识别可能扰乱石油和天然气公司的潜在威胁变得比以往任何时候都重要,尤其是在紧张局势高度紧张的时期。
我们的调查还发现,石油和天然气公司的供应因网络攻击而中断。平均而言,中断持续了六天。经济损失约为 330 万美元。由于长期中断,石油和天然气行业也遭受了更大的破坏。
深入研究网络攻击比破坏石油和天然气公司更重要,因为它们会在很大程度上影响运营和利润。通过仔细研究石油和天然气公司的基础设施并识别可能破坏运营的威胁,公司可以堵住漏洞并改善其网络安全框架。
典型油气公司的基础设施
石油和天然气公司的产品链通常分为上游、中游和下游三部分。与石油勘探和生产相关的过程称为上游,而中游是指通过管道、火车、轮船或卡车运输和储存原油。最后是下游终端产品的生产。网络风险存在于所有三个类别中,但对于中游和上游而言,很少有公开记录的事件。
通常,石油公司拥有从油井中提取原油的生产场所、临时储存石油的油库,以及将原油运送到炼油厂的运输系统。运输可能包括管道、火车和轮船。在炼油厂加工后,柴油、汽油和喷气燃料等不同的最终产品被运送到油库,然后再运送给客户。
天然气公司通常还拥有生产场所和运输系统,例如铁路、船舶和管道。然而,它需要在运输前压缩天然气的压缩站。然后将天然气输送到另一个工厂,从天然气中分离出不同的碳氢化合物成分,如液化石油气和烹饪用气。
石油和天然气公司的复杂流程意味着他们需要持续监控以确保最佳性能测量、性能改进、质量控制和安全。
监控指标包括温度、压力、化学成分和泄漏检测。一些石油和天然气生产地点位于极端天气可能非常偏远的地方。对于这些站点,通过空中、固定(光纤或铜线)线路或卫星传输监控的指标非常重要。石油和天然气公司的系统通常由软件控制,并且可能被攻击者破坏。
威胁
石油和天然气公司应该注意几个威胁。对该行业的最大威胁是那些对其最终产品的生产产生直接负面影响的威胁。此外,这些公司也需要防范间谍活动。
在我们的深入研究中,趋势科技的专家团队确定了以下可能危及石油和天然气公司的威胁:
- 破坏
- 在石油和天然气行业的背景下,破坏可以通过改变软件的行为、删除或擦除特定内容以扰乱公司活动或在每台可访问的机器上删除或擦除尽可能多的内容来完成。
- 这类破坏行动的一些例子已被广泛报道,最著名的是 Stuxnet 案。Stuxnet 是一种自我复制的恶意软件,其中包含非常有针对性和特定的有效负载。大多数蠕虫感染发生在伊朗,分析显示它专门针对该国纳坦兹核电站铀浓缩设施中的离心机。
- 内部人员威胁
- 在大多数情况下,内部人员是心怀不满的员工,他们寻求报复或想通过向竞争对手出售有价值的数据来轻松赚钱。此人可以破坏操作。他们可以更改数据以制造问题、从公司服务器或共享项目文件夹中删除或销毁数据、窃取知识产权以及将敏感文档泄露给第三方。
- 防御内部威胁非常复杂,因为内部人员通常可以访问大量数据。内部人员也不需要几个月的时间来了解公司的内部网络——内部人员可能已经知道组织的内部运作。
- 间谍活动和数据盗窃
- 数据盗窃和间谍活动可能是更大规模破坏性攻击的起点。攻击者在尝试进一步行动之前通常需要特定信息。获取钻井技术、疑似油气储量数据以及优质产品的特殊配方等敏感数据也可以转化为攻击者的金钱收益。
- DNS 劫持
- DNS 劫持是高级攻击者使用的一种数据窃取形式。目标是访问企业 VPN 网络或政府和公司的企业电子邮件。我们已经看到几家石油公司成为可能有某些地缘政治目标的高级攻击者的目标。
- 在 DNS 劫持中,域名的 DNS 设置被未经授权的第三方修改。例如,第三方可以将条目添加到域的区域文件或更改一个或多个现有主机名的解析。攻击者可以做的最简单的事情是破坏(污损),在被劫持的网站上留下消息,并使网站不可用。这通常会很快被注意到,结果可能只是名誉受损。
- 对 Webmail 和企业 VPN 服务器的攻击
- 虽然 Webmail 和文件共享服务已成为随时随地访问电子邮件和重要文档的重要工具,但这些服务可能会增加表面上的网络攻击的可能性。
- 例如,由于网络邮件软件中的漏洞,网络邮件主机名可能会被 DNS 劫持或黑客攻击。Webmail 和文件共享和协作平台可能会在凭证网络钓鱼攻击中受到损害。
- 精心准备的凭据网络钓鱼攻击可能非常令人信服,因为当行为者注册域名时可能非常令人信服,例如当行为者注册类似于合法网络邮件主机名的域名时,或者当行为者创建有效的 SSL 证书时并仔细选择组织内的目标。通过要求双重身份验证(最好使用物理密钥)和企业 VPN 访问这些服务,可以大大降低网络邮件和第三方文件共享服务的风险。
- 数据泄露
- 数据泄露一直是个问题。但石油和天然气行业更容易受到这些威胁的影响,因为泄露的信息可能对竞争对手非常有利。数据泄露也会对公司的声誉造成重大损害。
- 在我们的研究过程中,我们轻松地在网上找到了数十份与石油行业相关的敏感文件。查找这些文档的一种方法是使用特制的 Google 查询,称为 Google Dorks。
- 查找此类内容的另一种方法是在 Pastebin 等公共服务上寻找数据,Pastebin 是一种在线服务,任何人都可以复制和粘贴任何基于文本的内容,并将其私下或公开存储在那里。另一个数据来源是用于分析可疑文件的公共沙箱。用户可能会错误地将合法文档发送到这些沙箱进行分析。上传后,这些文档可以被第三方解析或下载。
- 外部电子邮件
- 一般来说,电子邮件在公司内部受到很好的保护。但是,不能以相同的方式控制外部电子邮件。员工定期向外部地址发送电子邮件,因此一些敏感的内部内容最终超出了公司的权限范围。更糟糕的是,敏感信息可以复制到不安全的备份系统或本地存储在没有标准公司安全协议的个人计算机上,这使得攻击者更容易掌握信息。一旦计算机受到威胁,攻击者就可以获取电子邮件并以不同的方式使用它们来损害公司。例如,演员可能会在公共服务器或 Pastebin 等服务上泄露它们。
在我们系列的第二部分中,我们将研究可能危及石油和天然气公司的其他威胁,例如勒索软件、恶意软件、DNS 隧道和零日漏洞。
