自殖民管道攻击以来，美国网络安全政策发生了变化

一年多前，一场勒索软件攻击成为全国新闻。Colonial Pipeline Company 于 2021 年 5 月 7 日宣布，总部位于东欧的DarkSide Ransomware-as-a-Service 组织已经攻击了它。此后，联邦调查局已确认已关闭的 DarkSide是威胁行为者。自那时以来，美国的网络政策发生了哪些变化，包括在俄罗斯袭击乌克兰之后？

重要说明：攻击影响了业务的 IT 方面。作为预防措施，该公司关闭了运营技术 (OT) 端，即管道本身。殖民管道从德克萨斯州到纽约绵延 5,500 英里，每天输送多达 300 万桶燃料。为期五天的停工切断了东海岸大约一半的汽油和喷气燃料正常供应。这导致天然气价格急剧上涨，以及天然气短缺、恐慌性购买和加油站排长队。

不仅如此，它震惊了国家安全和执法界。两人都重新了解到，该国的关键基础设施很容易受到攻击。

Colonial Pipeline 支付了 450 万美元的赎金来恢复其受损系统。DarkSide 恢复工具非常缓慢，以至于该公司最终主要使用其业务连续性工具。

在袭击之后

袭击发生后，美国和俄罗斯之间的谈判开始了。俄罗斯联邦安全局逮捕了一名据称是袭击幕后黑手的人。（在 2 月俄罗斯入侵乌克兰之后，这里的任何合作都结束了。）与此同时，美国国务院仍在悬赏高达 1000 万美元，以命名或定位任何暗黑势力的领导人。

现在，Colonial Pipeline 可能因运营失误和导致攻击的管理失误而面临 100 万美元的罚款。据称最大的失败是对其管道的关闭和重启准备不足。

这次袭击还加速了政府通过新法律的政治势头。新的网络安全指令适用于管道运营商和其他关键基础设施公司。

美国新的管道指令

美国运输安全管理局围绕网络安全和信息披露为所有美国管道运营商发布了两项主要的强制性指令。

联邦网络安全和基础设施安全局于 4 月 20 日宣布，他们正在扩大其本身成立于 2021 年 8 月的联合网络防御协作顾问委员会，以包括工业控制系统专家。他们还发布了一份文件，其中详细介绍了俄罗斯赞助的对 IT 和 OT 系统的特定威胁，以应对俄罗斯-乌克兰冲突导致的风险增加。

换句话说，政府、管道行业和网络安全界仍在努力应对殖民管道攻击的后果。

Colonial Pipeline 攻击显示了小失误或简单的攻击如何导致重大问题。这是其他企业考虑改进自己的政策和程序的机会。它还发现了 IT 和 OT 之间的一种新的、以前被低估的联系。（请记住，其 OT 的自愿关闭——停止天然气管道流动——造成了所有损害。这引起了所有公众的关注，但攻击者的目标是 IT。）

企业外卖

DarkSide 黑客使用旧密码通过 VPN 访问 Colonial 的 IT 网络，无需多重身份验证。这种简单的攻击的效果如何揭示了今天应该重点关注的五点：

所有密码都必须过期。企业通常需要良好的密码管理，尤其是要停用密码。添加新的强密码是不够的。
密码不是一个好主意。依靠密码来保证安全就是依靠人。这使您容易受到人为错误、内部威胁和社会工程学的影响。我们越早超越密码越好。
多因素身份验证是必须的。任何单因素身份验证方案都代表了网络攻击者几乎敞开的大门。
了解您的气隙。IT 和 OT 系统之间的气隙（如果有）在哪里？了解您的网络分段是什么样的。
零信任有效。周边安全已成为过去。通过虚拟专用网络或任何其他方式进入边界内部会产生巨大的漏洞。强大的零信任会阻止这种攻击。即使攻击者设法破解用户身份验证协议，他们也无法进一步进入设备和软件。

Colonial Pipeline 攻击的底线：被攻击的业务部分和受影响的业务部分并不总是相关联的。攻击的复杂程度和影响也不是。

是的，拥抱高科技工具、人工智能和其他领先的解决方案。但也要正确掌握基础知识和架构。如果确实发生了攻击，请为您将采取的行动制定备份计划。这样一来，无论未来如何，您都将拥有比完全关机更多的选择。