CISA 警告美国石油和天然气基础设施面临网络攻击

联邦机构表示，基本的策略、遗留的系统和糟糕的网络卫生使关键的能源运营面临风险。

美国网络安全和基础设施安全局 (CISA) 与联邦调查局、能源部 (DoE) 和环境保护署 (EPA) 联合向各组织发出警告，称美国石油和天然气行业的运营技术 ( OT ) 和工业控制系统 (ICS) 面临
网络攻击。

据政府机构介绍，虽然网络犯罪分子通常使用基本和初级的入侵技术来攻击此类基础设施，但网络卫生状况不佳和资产暴露可能会导致严重影响，包括运营中断和物理损坏。

Exabeam TEN18 团队的安全运营策略师兼威胁情报研究员 Gabrielle Hempel 也表达了同样的担忧。“在解决已知漏洞方面肯定存在一些系统性疏忽，”Hempel 表示。“能源行业（以及许多关键基础设施）通常依赖于遗留系统，这些系统要么缺乏手段，要么缺乏妥善锁定其环境的知识。”

她补充说，这些环境中 IT 和 OT 系统的融合确实扩大了攻击面，使得传统的缓解措施显得不足。

10分9秒中的0秒音量0%

为了支持该领域的组织，CISA 提供了详细的缓解指导，帮助他们领先于新兴威胁。

断开公共和远程访问

由于 OT 设备在连接到互联网时往往会过度暴露，而且它们缺乏抵御现代威胁（例如在公共 IP 范围内搜索开放端口）的身份验证和授权方法，因此建议删除与公共互联网的 OT 连接。

Black Duck 基础设施安全业务总监 Thomas Richards 表示：“恶意行为者的动机无关紧要；如果一家机构的敏感系统在未经安全加固的情况下暴露在互联网上，就面临被入侵的风险。很多时候，这些系统会提供互联网访问权限，以便支持团队和供应商进行远程连接，但如果不限制访问权限并添加适当的身份验证控制，就会带来重大的安全风险。”

在远程访问 OT 网络方面，CISA 建议，对于必要的远程访问，升级到私有 IP 网络连接以从公共互联网中移除这些 OT 资产，或者使用具有强大的、防网络钓鱼的 MFA 身份验证的虚拟专用网络 (VPN) 功能可能会有所帮助。

此外，组织必须记录并配置远程访问解决方案，以应用最小特权原则。“保护这些环境的建议并非高级安全措施，而是应该已经到位的基础实践，”Hempel 指出。

建议使用更强的密码、分段和手动操作

CISA 引用了过去的分析，强调目标系统使用默认密码或易被猜到（使用开源工具）的密码。CISA 在公告中补充道，对于能够控制 OT 系统或流程的面向公众的互联网设备，将默认密码更改为强大且独特的密码非常重要。

此外，还建议对 IT 和 OT 网络进行隔离。“随着 OT 与 IT 系统的集成度不断提高，攻击者也获得了更多机会，”Darktrace 威胁研究副总裁 Nathaniel Jones 在一篇评论中告诉 CSO。“在强大的 IT 安全支持下，OT 安全才能发挥最大作用，这需要 IT 和 OT 团队之间的协调，才能保卫整个网络。”

此外，CISA 强调，在事件发生后，组织恢复手动控制以快速恢复运营的能力至关重要。

这份安全公告尤其值得关注，因为 CISA 通常不会对这种规模的初级黑客攻击发出警报。“CISA 竟然需要报告这种不复杂的威胁活动，这一点值得关注，”Bugcrowd 首席信息安全官 Trey Ford 表示。“他们发布这样一款专注于网络安全基础的情报产品，提醒我们——所有安全程序都处于发展阶段，这些看似显而易见的控制措施一旦失效，必然会导致系统崩溃和安全漏洞。”今年早些时候，这家美国安全监管机构就警告称，四家领先的工业控制系统 (ICS) 供应商的产品存在严重高风险漏洞。