【編者按】網(wǎng)絡(luò)安全一直被視為水務(wù)行業(yè)的頭等大事。水務(wù)行業(yè)為其客戶、社區(qū)、地區(qū)、鄰國(guó)、工業(yè)和農(nóng)業(yè)部門(mén)提供了關(guān)鍵的生命線服務(wù)。為了充分支持水務(wù)行業(yè)復(fù)雜的業(yè)務(wù)流程和操作，需要有效的IT技術(shù)和OT技術(shù)。隨著水利領(lǐng)域數(shù)字化的到來(lái)，也為水務(wù)行業(yè)帶來(lái)了無(wú)限的機(jī)遇和新的安全挑戰(zhàn)，一旦發(fā)生攻擊，產(chǎn)生的后果和社會(huì)影響將是災(zāi)難性的，因此水務(wù)行業(yè)必須將網(wǎng)絡(luò)安全作為首要任務(wù)。

一、遠(yuǎn)程訪問(wèn)無(wú)處不在

在過(guò)去的幾個(gè)月里，每天都有不同的組織成為勒索軟件攻擊的受害者,網(wǎng)絡(luò)罪犯攻擊不同關(guān)鍵基礎(chǔ)設(shè)施的趨勢(shì)日益增長(zhǎng)。除了數(shù)量驚人的勒索軟件攻擊外，越來(lái)越多由于遠(yuǎn)程訪問(wèn)而導(dǎo)致的嚴(yán)重漏洞也被發(fā)現(xiàn)。這使得網(wǎng)絡(luò)罪犯更容易利用攻擊目標(biāo)，其中一個(gè)受遠(yuǎn)程訪問(wèn)安全影響最大的目標(biāo)行業(yè)就是水務(wù)行業(yè)。

由于水務(wù)基礎(chǔ)設(shè)施在社會(huì)中的重要作用，連接到網(wǎng)絡(luò)的水利系統(tǒng)已經(jīng)成為網(wǎng)絡(luò)犯罪分子通過(guò)內(nèi)部和外部威脅以及供應(yīng)鏈攻擊等不同攻擊載體進(jìn)行攻擊的誘人目標(biāo)。

自2021年初以來(lái)，已經(jīng)出現(xiàn)了不同的水廠被網(wǎng)絡(luò)犯罪分子成功攻擊的案例。1月15日，舊金山的一家水處理廠被一名企圖毒害該廠的攻擊者利用，網(wǎng)絡(luò)罪犯通過(guò)使用一名前雇員的TeamViewer賬戶密碼獲得了訪問(wèn)權(quán)限。一旦攻擊者進(jìn)入自來(lái)水廠的系統(tǒng)，就立即刪除了自來(lái)水廠用來(lái)處理飲用水的程序。攻擊第二天才被水廠發(fā)現(xiàn)，水廠更改了密碼并重新安裝了程序。

幾周后，又發(fā)生了一起針對(duì)水廠的攻擊事件，是針對(duì)佛羅里達(dá)Oldsmar供水系統(tǒng)的網(wǎng)絡(luò)攻擊。一名黑客侵入了佛羅里達(dá)Oldsmar的水處理系統(tǒng)，并劫持了工廠的操作控制系統(tǒng)，攻擊者可以暫時(shí)把水中的氫氧化鈉含量提高到有毒的水平。幸好被一名操作人員很快發(fā)現(xiàn)，并將水質(zhì)恢復(fù)到正常水平。

圖1 佛羅里達(dá)州Oldsmar發(fā)生的攻擊事件

2018年，國(guó)土安全部(DHS)和聯(lián)邦調(diào)查局(FBI)警告稱，俄羅斯政府專門(mén)針對(duì)水務(wù)部門(mén)，這導(dǎo)致美國(guó)政府成立了網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)，以確保關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全為即將到來(lái)的物理威脅做好準(zhǔn)備。

圖2 多年來(lái)對(duì)水的網(wǎng)絡(luò)攻擊

隨著時(shí)間的推移，水和廢水基礎(chǔ)設(shè)施的攻擊面只會(huì)繼續(xù)擴(kuò)大。這引發(fā)了加強(qiáng)網(wǎng)絡(luò)安全和更安全的遠(yuǎn)程訪問(wèn)的優(yōu)先考慮，因?yàn)楦嗟乃畡?wù)公司將成為可能導(dǎo)致災(zāi)難性后果甚至死亡的網(wǎng)絡(luò)攻擊受害者。

二、水務(wù)公司是誘人目標(biāo)

美國(guó)有近20萬(wàn)個(gè)飲用水系統(tǒng)，為近3億美國(guó)人提供自來(lái)水。這些供水系統(tǒng)分布在城市、學(xué)校、醫(yī)院、寫(xiě)字樓和其他地方。當(dāng)關(guān)鍵的水務(wù)系統(tǒng)被網(wǎng)絡(luò)安全攻擊利用時(shí)，惡意活動(dòng)可能會(huì)對(duì)公眾健康和安全造成毀滅性的后果。

對(duì)自來(lái)水設(shè)施的攻擊可能會(huì)導(dǎo)致污染、運(yùn)行故障和服務(wù)中斷，這會(huì)導(dǎo)致潛在的疾病和人員傷亡。此外，這可能會(huì)導(dǎo)致應(yīng)急小組的妥協(xié)，并可能影響不同的交通系統(tǒng)和食品供應(yīng)。此外，威脅行為者除了攻擊物理供水設(shè)施設(shè)備外，也會(huì)攻擊對(duì)日常運(yùn)營(yíng)至關(guān)重要的過(guò)程控制系統(tǒng)。水務(wù)部門(mén)還負(fù)責(zé)一些關(guān)鍵的個(gè)人數(shù)據(jù)，這些個(gè)人數(shù)據(jù)對(duì)網(wǎng)絡(luò)罪犯來(lái)說(shuō)是極具吸引力的目標(biāo)。事實(shí)上，政府情報(bào)部門(mén)已經(jīng)證實(shí)，飲用水和廢水系統(tǒng)已成為多階段入侵行動(dòng)的一部分，并成為各民族國(guó)家和尋求危害國(guó)家或獲取非法收益的個(gè)別罪犯和其他團(tuán)體的直接目標(biāo)。

另一個(gè)成功攻擊自來(lái)水公司的例子是亞特蘭大市的勒索軟件攻擊。2018年3月，亞特蘭大市和亞特蘭大市流域管理部門(mén)的員工無(wú)法打開(kāi)其作電腦并獲得無(wú)線互聯(lián)網(wǎng)接入，在攻擊發(fā)生兩周后，亞特蘭大徹底關(guān)閉了水務(wù)部門(mén)網(wǎng)站，“以進(jìn)行服務(wù)器維護(hù)和更新，直到進(jìn)一步通知”。亞特蘭大花了幾個(gè)月的時(shí)間才恢復(fù)，費(fèi)用高達(dá)500萬(wàn)美元。

三、遠(yuǎn)程訪問(wèn)為攻擊者提供了切入點(diǎn)

現(xiàn)在水務(wù)公司需要比以往任何時(shí)候都要更認(rèn)真對(duì)待如何管理遠(yuǎn)程訪問(wèn)。

在過(guò)去的十年中，水利基礎(chǔ)設(shè)施和公用事業(yè)背后的技術(shù)與OT和IoT設(shè)備變得更加互聯(lián)。自來(lái)水公司正在使用不同的連接設(shè)備，如控制器、傳感器和智能電表來(lái)遠(yuǎn)程監(jiān)控和管理流程，這很容易使其成為網(wǎng)絡(luò)罪犯滲透的目標(biāo)。

對(duì)于水務(wù)公司來(lái)說(shuō)，智能計(jì)量可以提高效率，但遠(yuǎn)程訪問(wèn)也會(huì)成為成功攻擊的關(guān)鍵切入點(diǎn)。遠(yuǎn)程訪問(wèn)安全性差可能使來(lái)自內(nèi)部和外部的網(wǎng)絡(luò)犯罪分子遠(yuǎn)程訪問(wèn)主操作系統(tǒng)，并造成嚴(yán)重的社區(qū)健康問(wèn)題，如污染水源等。

還有一個(gè)問(wèn)題是，由水管理機(jī)構(gòu)部署的智能電表和水設(shè)備可能會(huì)被網(wǎng)絡(luò)攻擊滲透。如果智能電表受到攻擊或逆向工程破壞，網(wǎng)絡(luò)犯罪分子就有可能進(jìn)入電表基礎(chǔ)設(shè)施，這將使他們能夠在組織的系統(tǒng)和網(wǎng)絡(luò)內(nèi)橫向攻擊和移動(dòng)。

智能電表的不同漏洞突顯了更好的設(shè)備保護(hù)的重要性和必要性。對(duì)于使用ICS、控制器、智能電表、傳感器等互聯(lián)公用事業(yè)設(shè)備的組織來(lái)說(shuō)，對(duì)其進(jìn)行適當(dāng)?shù)谋O(jiān)控和管理至關(guān)重要。通過(guò)了解誰(shuí)有權(quán)訪問(wèn)，他們從哪里訪問(wèn)，以及對(duì)水利公用設(shè)備的不定期活動(dòng)，可以減少成功的遠(yuǎn)程攻擊水務(wù)系統(tǒng)的機(jī)會(huì)。

四、水務(wù)安全是重中之重

水務(wù)組織必須優(yōu)先考慮安全問(wèn)題，必須要留出適當(dāng)?shù)馁Y源和精力來(lái)保護(hù)公司的基礎(chǔ)設(shè)施和設(shè)備。這個(gè)過(guò)程首先要深入了解水和廢水系統(tǒng)存在的不同安全風(fēng)險(xiǎn)，以及需要采取哪些步驟來(lái)確保更好的安全性。

圖3 組織采取更主動(dòng)降低風(fēng)險(xiǎn)的方法

隨著針對(duì)水廠的成功攻擊越來(lái)越多，以及人們對(duì)自來(lái)水設(shè)施不同風(fēng)險(xiǎn)的認(rèn)識(shí)不斷提高，越來(lái)越多的組織開(kāi)始慢慢認(rèn)識(shí)到在保護(hù)其IT和OT系統(tǒng)時(shí)實(shí)施正確的安全做法的重要性。隨著水廠采用更智能的傳感器和其他物聯(lián)網(wǎng)設(shè)備，使其基于水的過(guò)程自動(dòng)化和現(xiàn)代化，這將為網(wǎng)絡(luò)犯罪分子創(chuàng)造新的可利用的切入點(diǎn)，以便其在組織系統(tǒng)內(nèi)能夠遠(yuǎn)程利用和橫向移動(dòng)。2020年初，黑客曾試圖通過(guò)干擾廢水流動(dòng)和干擾氯的含量來(lái)擾亂以色列的供水，雖然攻擊得以避免，但其后果可能是致命的。

這一事件突顯出，公用事業(yè)公司再也不能以攻擊不太可能發(fā)生或可預(yù)見(jiàn)的心態(tài)來(lái)應(yīng)對(duì)網(wǎng)絡(luò)安全問(wèn)題了。相反，水務(wù)公司必須通過(guò)制定事件響應(yīng)(IR)計(jì)劃來(lái)應(yīng)對(duì)不斷變化的環(huán)境，該計(jì)劃包括細(xì)粒度的威脅驅(qū)動(dòng)策略，以便更好地分析、檢測(cè)、遏制網(wǎng)絡(luò)安全攻擊，并在對(duì)運(yùn)營(yíng)連續(xù)性影響有限的情況下從網(wǎng)絡(luò)安全攻擊中恢復(fù)。

隨著技術(shù)的不斷發(fā)展，隨之而來(lái)的各種風(fēng)險(xiǎn)也在不斷增加。通過(guò)采用更多的連接技術(shù)和設(shè)備，迫使水務(wù)組織連接到互聯(lián)網(wǎng)，這導(dǎo)致了更多的遠(yuǎn)程訪問(wèn)入口點(diǎn)，從而導(dǎo)致安全事件增加。這一趨勢(shì)也導(dǎo)致安全團(tuán)隊(duì)必須要更新其安全方法，以更好的適應(yīng)遠(yuǎn)程訪問(wèn)安全和OT安全。

除了網(wǎng)絡(luò)攻擊外，供水企業(yè)還面臨著因其使用的工業(yè)控制系統(tǒng)(ICS)存在漏洞而暴露的威脅。2020年2月，商用、關(guān)鍵制造業(yè)、能源、供水和廢水處理設(shè)施使用的C-more觸摸屏被發(fā)現(xiàn)存在漏洞。該漏洞CVE-2020-6969允許攻擊者在未受保護(hù)的項(xiàng)目文件上解密憑據(jù)和其他敏感信息。

與水處理廠和供水機(jī)構(gòu)相關(guān)的組織是公共基礎(chǔ)設(shè)施的重要組成部分。供水基礎(chǔ)設(shè)施需要定期監(jiān)控，不僅要檢測(cè)網(wǎng)絡(luò)上的潛在威脅，還要識(shí)別可能入侵的任何異常情況。因此擁有一套全面的網(wǎng)絡(luò)安全法規(guī)和安全實(shí)踐也有助于避免攻擊事件發(fā)生。

網(wǎng)絡(luò)安全風(fēng)險(xiǎn)被認(rèn)為是全世界水務(wù)關(guān)鍵基礎(chǔ)設(shè)施面臨的最大威脅。與其他關(guān)鍵基礎(chǔ)設(shè)施行業(yè)類似，水務(wù)公司面臨的挑戰(zhàn)包括老舊的基礎(chǔ)設(shè)施、過(guò)時(shí)的硬件及軟件、未經(jīng)身份驗(yàn)證的協(xié)議以及缺乏安全資源和知識(shí)。為了避免措手不及，水務(wù)行業(yè)需要采取適當(dāng)措施應(yīng)對(duì)可能會(huì)損害整個(gè)水務(wù)運(yùn)營(yíng)和基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全事件。水務(wù)公司應(yīng)該更有創(chuàng)造性和積極的在處理網(wǎng)絡(luò)安全的問(wèn)題，為此應(yīng)該分配更多的資金，通過(guò)增加年度預(yù)算和減少依賴資本，改進(jìn)措施來(lái)提高網(wǎng)絡(luò)安全，防止水利基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊。

網(wǎng)絡(luò)風(fēng)險(xiǎn)是一個(gè)嚴(yán)重的威脅，水務(wù)部門(mén)的組織必須將網(wǎng)絡(luò)安全作為首要任務(wù)，提高警惕是防止針對(duì)水務(wù)公司的網(wǎng)絡(luò)攻擊的關(guān)鍵。水務(wù)公司應(yīng)專注于實(shí)施最佳安全做法，例如避免關(guān)鍵資產(chǎn)暴露在互聯(lián)網(wǎng)上，建立關(guān)鍵資產(chǎn)的冗余機(jī)制，采用嚴(yán)格的訪問(wèn)控制政策，并提高員工的安全意識(shí)，還應(yīng)該了解現(xiàn)有的安全流程，以及攻擊者如何通過(guò)網(wǎng)絡(luò)手段繞過(guò)這些流程。

隨著水務(wù)組織繼續(xù)成為網(wǎng)絡(luò)犯罪分子更具吸引力的目標(biāo)，最好是現(xiàn)在就采取行動(dòng)，降低任何風(fēng)險(xiǎn)，為任何針對(duì)水務(wù)公司的攻擊做好準(zhǔn)備。決策者應(yīng)該考慮新的安全方法，這些方法要能夠提供設(shè)備級(jí)別的安全設(shè)計(jì)，可以在未來(lái)數(shù)年保護(hù)其水利基礎(chǔ)設(shè)施。

參考資料：

【1】https://cyware.com/news/water-utilities-face-increasing-risk-of-cyberattacks-37a1d084

【2】https://www.ey.com/en_au/cybersecurity/how-australias-water-utilities-can-build-cybersecurity-resilience

轉(zhuǎn)載來(lái)源：關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心