【编者按】网络安全一直被视为水务行业的头等大事。水务行业为其客户、社区、地区、邻国、工业和农业部门提供了关键的生命线服务。为了充分支持水务行业复杂的业务流程和操作,需要有效的IT技术和OT技术。随着水利领域数字化的到来,也为水务行业带来了无限的机遇和新的安全挑战,一旦发生攻击,产生的后果和社会影响将是灾难性的,因此水务行业必须将网络安全作为首要任务。

一、远程访问无处不在

在过去的几个月里,每天都有不同的组织成为勒索软件攻击的受害者,网络罪犯攻击不同关键基础设施的趋势日益增长。除了数量惊人的勒索软件攻击外,越来越多由于远程访问而导致的严重漏洞也被发现。这使得网络罪犯更容易利用攻击目标,其中一个受远程访问安全影响最大的目标行业就是水务行业。

由于水务基础设施在社会中的重要作用,连接到网络的水利系统已经成为网络犯罪分子通过内部和外部威胁以及供应链攻击等不同攻击载体进行攻击的诱人目标。

自2021年初以来,已经出现了不同的水厂被网络犯罪分子成功攻击的案例。1月15日,旧金山的一家水处理厂被一名企图毒害该厂的攻击者利用,网络罪犯通过使用一名前雇员的TeamViewer账户密码获得了访问权限。一旦攻击者进入自来水厂的系统,就立即删除了自来水厂用来处理饮用水的程序。攻击第二天才被水厂发现,水厂更改了密码并重新安装了程序。

几周后,又发生了一起针对水厂的攻击事件,是针对佛罗里达Oldsmar供水系统的网络攻击。一名黑客侵入了佛罗里达Oldsmar的水处理系统,并劫持了工厂的操作控制系统,攻击者可以暂时把水中的氢氧化钠含量提高到有毒的水平。幸好被一名操作人员很快发现,并将水质恢复到正常水平。

图1 佛罗里达州Oldsmar发生的攻击事件

2018年,国土安全部(DHS)和联邦调查局(FBI)警告称,俄罗斯政府专门针对水务部门,这导致美国政府成立了网络安全和基础设施安全局(CISA),以确保关键基础设施的网络安全为即将到来的物理威胁做好准备。

图2 多年来对水的网络攻击

随着时间的推移,水和废水基础设施的攻击面只会继续扩大。这引发了加强网络安全和更安全的远程访问的优先考虑,因为更多的水务公司将成为可能导致灾难性后果甚至死亡的网络攻击受害者。

二、水务公司是诱人目标

美国有近20万个饮用水系统,为近3亿美国人提供自来水。这些供水系统分布在城市、学校、医院、写字楼和其他地方。当关键的水务系统被网络安全攻击利用时,恶意活动可能会对公众健康和安全造成毁灭性的后果。

对自来水设施的攻击可能会导致污染、运行故障和服务中断,这会导致潜在的疾病和人员伤亡。此外,这可能会导致应急小组的妥协,并可能影响不同的交通系统和食品供应。此外,威胁行为者除了攻击物理供水设施设备外,也会攻击对日常运营至关重要的过程控制系统。水务部门还负责一些关键的个人数据,这些个人数据对网络罪犯来说是极具吸引力的目标。事实上,政府情报部门已经证实,饮用水和废水系统已成为多阶段入侵行动的一部分,并成为各民族国家和寻求危害国家或获取非法收益的个别罪犯和其他团体的直接目标。

另一个成功攻击自来水公司的例子是亚特兰大市的勒索软件攻击。2018年3月,亚特兰大市和亚特兰大市流域管理部门的员工无法打开其作电脑并获得无线互联网接入,在攻击发生两周后,亚特兰大彻底关闭了水务部门网站,“以进行服务器维护和更新,直到进一步通知”。亚特兰大花了几个月的时间才恢复,费用高达500万美元。

三、远程访问为攻击者提供了切入点

现在水务公司需要比以往任何时候都要更认真对待如何管理远程访问。

在过去的十年中,水利基础设施和公用事业背后的技术与OT和IoT设备变得更加互联。自来水公司正在使用不同的连接设备,如控制器、传感器和智能电表来远程监控和管理流程,这很容易使其成为网络罪犯渗透的目标。

对于水务公司来说,智能计量可以提高效率,但远程访问也会成为成功攻击的关键切入点。远程访问安全性差可能使来自内部和外部的网络犯罪分子远程访问主操作系统,并造成严重的社区健康问题,如污染水源等。

还有一个问题是,由水管理机构部署的智能电表和水设备可能会被网络攻击渗透。如果智能电表受到攻击或逆向工程破坏,网络犯罪分子就有可能进入电表基础设施,这将使他们能够在组织的系统和网络内横向攻击和移动。

智能电表的不同漏洞突显了更好的设备保护的重要性和必要性。对于使用ICS、控制器、智能电表、传感器等互联公用事业设备的组织来说,对其进行适当的监控和管理至关重要。通过了解谁有权访问,他们从哪里访问,以及对水利公用设备的不定期活动,可以减少成功的远程攻击水务系统的机会。

四、水务安全是重中之重

水务组织必须优先考虑安全问题,必须要留出适当的资源和精力来保护公司的基础设施和设备。这个过程首先要深入了解水和废水系统存在的不同安全风险,以及需要采取哪些步骤来确保更好的安全性。

图3 组织采取更主动降低风险的方法

随着针对水厂的成功攻击越来越多,以及人们对自来水设施不同风险的认识不断提高,越来越多的组织开始慢慢认识到在保护其IT和OT系统时实施正确的安全做法的重要性。随着水厂采用更智能的传感器和其他物联网设备,使其基于水的过程自动化和现代化,这将为网络犯罪分子创造新的可利用的切入点,以便其在组织系统内能够远程利用和横向移动。2020年初,黑客曾试图通过干扰废水流动和干扰氯的含量来扰乱以色列的供水,虽然攻击得以避免,但其后果可能是致命的。

这一事件突显出,公用事业公司再也不能以攻击不太可能发生或可预见的心态来应对网络安全问题了。相反,水务公司必须通过制定事件响应(IR)计划来应对不断变化的环境,该计划包括细粒度的威胁驱动策略,以便更好地分析、检测、遏制网络安全攻击,并在对运营连续性影响有限的情况下从网络安全攻击中恢复。

随着技术的不断发展,随之而来的各种风险也在不断增加。通过采用更多的连接技术和设备,迫使水务组织连接到互联网,这导致了更多的远程访问入口点,从而导致安全事件增加。这一趋势也导致安全团队必须要更新其安全方法,以更好的适应远程访问安全和OT安全。

除了网络攻击外,供水企业还面临着因其使用的工业控制系统(ICS)存在漏洞而暴露的威胁。2020年2月,商用、关键制造业、能源、供水和废水处理设施使用的C-more触摸屏被发现存在漏洞。该漏洞CVE-2020-6969允许攻击者在未受保护的项目文件上解密凭据和其他敏感信息。

与水处理厂和供水机构相关的组织是公共基础设施的重要组成部分。供水基础设施需要定期监控,不仅要检测网络上的潜在威胁,还要识别可能入侵的任何异常情况。因此拥有一套全面的网络安全法规和安全实践也有助于避免攻击事件发生。 

网络安全风险被认为是全世界水务关键基础设施面临的最大威胁。与其他关键基础设施行业类似,水务公司面临的挑战包括老旧的基础设施、过时的硬件及软件、未经身份验证的协议以及缺乏安全资源和知识。为了避免措手不及,水务行业需要采取适当措施应对可能会损害整个水务运营和基础设施的网络安全事件。水务公司应该更有创造性和积极的在处理网络安全的问题,为此应该分配更多的资金,通过增加年度预算和减少依赖资本,改进措施来提高网络安全,防止水利基础设施的网络攻击。

网络风险是一个严重的威胁,水务部门的组织必须将网络安全作为首要任务,提高警惕是防止针对水务公司的网络攻击的关键。水务公司应专注于实施最佳安全做法,例如避免关键资产暴露在互联网上,建立关键资产的冗余机制,采用严格的访问控制政策,并提高员工的安全意识,还应该了解现有的安全流程,以及攻击者如何通过网络手段绕过这些流程。

随着水务组织继续成为网络犯罪分子更具吸引力的目标,最好是现在就采取行动,降低任何风险,为任何针对水务公司的攻击做好准备。决策者应该考虑新的安全方法,这些方法要能够提供设备级别的安全设计,可以在未来数年保护其水利基础设施。

参考资料:

【1】https://cyware.com/news/water-utilities-face-increasing-risk-of-cyberattacks-37a1d084

【2】https://www.ey.com/en_au/cybersecurity/how-australias-water-utilities-can-build-cybersecurity-resilience

作者 | 天地和兴工业网络安全研究院
远程访问 水务行业 网络攻击风险
撤稿纠错
本作品采用《CC 协议》,转载必须注明作者和本文链接