Colonial Pipeline勒索软件攻击一周年：安全团队的5个教训

Colonial Pipeline勒索软件攻击过去一年，该事件是近年来影响最大的网络攻击案例之一，名为DarkSide的威胁行为者使用一个被泄露的VPN口令来访问美国最大的管道运营商的内部系统。在攻击期间，当黑客开始加密该组织的数据时，Colonial Pipeline做出回应，将其系统离线以阻止威胁的传播，暂时停止了管道运营并最终支付了440万美元的赎金。事件发生后不久，美国政府发布了一项旨在改善国家网络安全的行政命令，强调联邦政府需要“做出大胆的改变和重大投资，以捍卫支撑美国生活方式的重要机构”。除了行政命令外，还引入了几项联邦和立法措施，优先考虑提高网络安全和运营弹性的门槛。Colonial Pipeline事件之后美国的政府机构和企业目睹了其他成为全国头条新闻的严重事件，包括Kaseya勒索软件攻击和发现的Log4j漏洞，该漏洞存在于全球安装的软件应用程序的基础中。国会正在着手处理运输安全管理局 (TSA) 是否是监管管道网络安全的适当机构的问题。国会可能决定资助TSA并确保其拥有必要的专业知识和人力资本来有效调节管道网络安全。该事件对美国关基安安全保护的影响史无前例！

虽然殖民管道攻击可能已经过去，但勒索软件仍然是现代企业的生存威胁，随着勒索软件攻击的增加，企业需要做好准备。这起事件有太多教训可以总结，比如，勒索横行的今天，无论您是小型企业还是企业，都没有关系。你是一个攻击目标；攻击者会发现（并利用）最薄弱的环节；攻击者很敏捷，防守者也必须如此；等等。好消息是，组织可以实施越来越多的安全控制措施来保护自己免受这些普遍威胁的侵害。作为安全团队，其实也有好多需要扎实推进的工作。

1、部署零信任架构 

登录凭据是网络犯罪分子的主要目标之一。因此，对于安全团队来说，实现对零信任身份验证的支持变得越来越重要，以使未经授权的用户更难使用受损凭据登录。“Colonial Pipeline勒索软件攻击是另一个备受瞩目的例子，即利用受损凭证来利用以前被认为是安全的基础设施。因此，安全协议必须不断发展，以跟上分布式计算环境中的动态威胁，”身份访问管理提供商Plain ID的首席技术官兼联合创始人Gal Helemski说。Helemski建议组织可以通过实施零信任架构来防止自己成为类似攻击的受害者，该架构将访问控制扩展到整个数字旅程的整个生命周期中的传统网络访问安全性。 

2、实施强大的事件检测和响应能力 

决定勒索软件泄露总体影响的最大因素之一是组织响应所需的时间。响应时间越慢，网络犯罪分子就越有机会定位和加密关键数据资产。“殖民地是公共和私营部门基础设施安全的一个重要转折点，但组织需要保持警惕，以领先于网络攻击者，”勒索检测和恢复平台Egnyte的网络安全宣传总监Neil Jones说。在实践中，这意味着制定全面的事件响应计划，部署具有勒索软件检测和恢复功能的解决方案，并为员工提供有关如何实施有效数据保护策略（如强口令和多因素身份验证）的网络安全意识培训。 

3、不要依赖备份和恢复解决方案来保护数据 

许多组织寻求依靠数据备份和恢复解决方案来抵御勒索软件威胁。虽然这听起来像是纸面上的有效防御，但如果受害者组织不支付赎金，勒索软件攻击者已经开始威胁要泄露他们加密的数据。加密提供商Titaniam的首席执行官兼创始人Arti Raman建议组织切换到使用中的数据保护， 而不是依赖静态加密，攻击者可以使用受损凭证来回避。“通过使用中的加密数据保护，如果对手突破外围安全基础设施和访问措施，结构化和非结构化数据可能 [并且] 将 [变得] 无法被坏人破解和使用——即使不是，数字勒索也会变得更加困难或不可能，”拉曼说。 

4、创建攻击面清单 

由于有如此多的高级威胁行为者以勒索软件威胁的现代组织为目标，技术决策者和安全团队需要对哪些系统暴露给外部威胁行为者以及他们持有哪些数据有一个完整的清单。“随着美国政府采取措施加强国家网络安全，组织必须采取积极主动的方法来保护自己的资产，这就是优势所在：响应能力，”托管安全服务组织Cyber Security Works的首席执行官兼联合创始人亚伦·桑丁说。“通过独立或外包给漏洞管理公司进行完整的系统清单，组织可以扩展其对已知和未知漏洞利用的网络安全可见性，”Sandeen说。虽然 Colonial Pipeline攻击背后的组织已经不复存在，但Sandeen警告说，企业将继续看到越来越多的漏洞利用、漏洞和APT威胁参与者愿意利用它们，“这将需要安全领导者提供预测性和创造性的帮助来分类和消除勒索软件威胁。” 

5、部署身份管理解决方案以识别异常用户活动 

网络安全教育平台Drip7的创始人Heather Stratford说，“殖民管道灾难告诉我们，人是网络安全攻击的主要切入点。” 据Cyber Talk称， 95%的网络违规是由人为错误造成的。“在网络安全意识方面，‘人’是需要‘固定’或关注的，而这种变化通常不会在一夜之间发生。改变行为建立在小的增量改进之上，随着时间的推移，这些改进会收紧控制限制以改善行为并最大限度地降低风险，”斯特拉特福德观察到。“改变当前网络安全流行病的唯一方法是增加对组织人员的关注，而不仅仅是现有系统，”斯特拉特福德警告说。在远程工作和员工使用个人设备访问企业资源的时代，数据被盗的风险比以往任何时候都大。“我们在新闻中听到的大多数违规行为都是由于企业依赖自动访问控制而在用户被劫持时意识到为时已晚。“考虑到 LAPUS$和Conti等不同犯罪集团的先进策略和随机性，一旦账户遭到入侵，基于身份的欺诈行为就极难被发现，”信任平台Forter的首席信息安全官Gunnar Peterson说。出于这个原因，组织需要具有识别异常用户活动的能力，以便他们能够检测帐户接管，彼得森说，这可以通过使用具有异常检测功能的人工智能驱动的身份管理解决方案来获得。

关键基础设施上的勒索软件案件继续成为头条新闻的事实表明，在整体关键基础设施网络安全方面，组织通常准备不足。人们倾向于专注（并花费）大量资金用于企业和企业环境的网络安全，但多年来，运营技术和面向生产的环境并没有得到他们的关注和投资。

变革不会在一夜之间发生。重要的是要注意，当调整安全态势时，对手也会适应。强化很重要，但可见性和弹性是所有关基企业需要的，这需要时间来开发和部署。俄乌战事中的网络暗战再次表明，变革的关键驱动因素是法律法规指令、攻击的持续威胁、地缘政治局势以及监管机构日益增加的关注。人们对ICS的关注也越来越普遍，因为可靠的情报表明，网络攻击更有可能演变为物理攻击。

资料来源：

1.https://venturebeat.com/2022/05/07/colonial-pipeline-ransomware-attack/

2.https://industrialcyber.co/critical-infrastructure/colonial-pipeline-incident-helped-reinforce-cybersecurity-across-critical-infrastructures-but-still-a-long-way-to-go/