摘要

针对那些利用关键基础设施控制系统环境的攻击者来说,石油和天然气行业是他们的重要目标。随着对关键基础设施的攻击总数不断增加,对石油和天然气公司有特殊兴趣的攻击者仍在积极行动,并在不断拓展他们的活动范围。Dragos最近发现了一个新的针对关键基础设施的组织HEXANE,从而使针对关键基础设施的组织总数达到9个,其中5个直接针对石油和天然气行业。本报告将详细讨论这些活跃组织。

针对石油和天然气设施的网络攻击造成的中断事件可能发生在这些业务的三个主要阶段的任意一点,主要包括上游、中游或下游,从勘探、生产到客户分销。因为专门针对控制系统的攻击者仍在不断增加自己的能力,所以他们可以更轻易地实行更复杂的攻击,造成操作中断或系统破坏。由于政治和经济影响,以及对群众生活和基础设施的直接影响,针对石油和天然气行业的网络攻击具有很强的破坏性。

本报告基于2019年8月之前的数据,预计在不久的将来,随着攻击者及其行为的发展,威胁形势将发生变化。

主要发现

全球石油和天然气面临的网络安全风险很高且不断增加,其中包括网络入侵(研究或非法动机),以及在石油和天然气设施中使用恶意软件。

由于巨大的政治和经济的影响,石油和天然气行业仍然面临网络攻击的高风险。Dragos评估说,国家背景的攻击者将越来越重视石油和天然气及相关产业,以实现其政治、经济和国家安全的目标。

另一个重大威胁是活跃组织对供应链破坏,这主要是针对的是原始设备制造商,第三方供应商和电信运营商。

石油和天然气部门需要了解针对电力公用事业的活动组的行为和能力,因为这些攻击者可能会转向或扩大目标,来攻击其他的能源部门。

石油和天然气运营环境中的网络安全态势感知能力仍然严重缺乏,导致网络入侵潜伏的时间更长,并且在攻击事件之后对于攻击溯源及分析仍然很困难。

所有国家的“能源基础设施”(石油和天然气,电力等)都面临风险,公司和公用事业正面临来自全球的攻击者,而网络攻击是在能源领域投射力量的一种越来越常使用的方法。传统的石油,天然气,电力和其他产品不再被视为隔离保护的部门,而是应该被看作独立的互联网基础设施。

1、以石油和天然气为目标的活动组

Dragos追踪了五个针对石油和天然气的活动组。这些活动组的命名没有约定标准,其中一些与恶意软件相关联,而另外一些则指的是部署的恶意软件或特定活动。Dragos没有推测或者暗示活动组的身份。

(1)XENOTIME在2017年8月,XENOTIME使用破坏性TRISIS框架在沙特阿拉伯王国的石油和天然气设施中造成破坏,该框架专门为与Triconex安全控制器进行交互而量身定制。 TRISIS攻击由于其潜在的灾难性的性能和后果而表明了对ICS攻击的升级。在2018年,XENOTIME攻击活动扩大到包括欧洲,美国,澳大利亚和中东的石油和天然气公司; 北美和亚太地区的电力公用事业; 以及Triconex控制器以外的设备。该活动组还破坏了几家ICS供应商和制造商,引起了潜在的供应链威胁。

AssociatedGroup: Temp.Veles

(2)MAGNALLIUM:至少自2013年以来,MAGNALLIUM一直瞄准石化和航空航天制造商。该活动组最初的目标是在沙特阿拉伯的飞机控股公司和能源公司,但是后来其扩大攻击目标,包括了欧洲和北美的实体。 MAGNALLIUM似乎仍然缺乏对特定ICS的攻击能力,使得该活动组专注于初始的IT入侵。

AssociatedGroups: APT 33, Elfin

(3)CHRYSENE:CHRYSENE是从间谍活动发展而来的。2012年,在极具破坏性的Shamoon网络攻击影响到沙特阿美公司后首次受到关注。该活动组主要针对石化,石油和天然气以及发电行业。攻击目标已经超越了其最初关注的海湾地区,目前该活动组仍然活跃并且在不止一个地区发展。

Associated Groups:APT 34, GREENBUG, OilRig

(4)HEXANE:HEXANE的目标是非洲,中东和西南亚的石油和天然气以及电信设施。 Dragos在2019年5月确定了该活动组。Dragos目前只能公开分享有关这个新识别出的活动组的有限信息。

AssociatedGroups: CHRYSENE, OilRig

(5)DYMALLOY: DYMALLOY是一个具有高度入侵性和攻击能力的活动组,能够实现对IT和运营环境的长期持久的入侵,以便收集情报并且可能在未来引发中断事件。该活动组的受害者包括电力公用设施,石油和天然气以及土耳其,欧洲和北美的先进工业实体。

Associated Groups:Dragonfly 2.0, Berserk Bear

2、对能源基础设施的威胁

石油和天然气实体应该意识到对于一个ICS实体的威胁是对所有能源基础设施的威胁,而不再是石油,天然气,电力,核能或天然气所独有的个别威胁。正如XENOTIME从专注于石油和天然气的攻击扩张到针对电力公用事业的攻击所证明的那样,如果攻击没有专门针对某一ICS实体的时候,这些实体也不能忽视这些威胁,因为攻击者的利益和攻击目标可能变化很大。

Dragos观察到针对ICS目标的攻击威胁有扩散的趋势。政府投资于进攻性的网络操作,使得对于关键基础设施的网络攻击越来越容易,而实现破坏性或破坏性影响所需的工具和功能将无处不在。政府应该对传统武器扩散(包括核能力)和网络攻击以及网络领域的武器化恶意软件或工具包攻击同等对待。此外,IT硬件和软件在ICS网络中的传播增加了攻击面,进而提供了攻击者通过熟悉的技术进入网络进行攻击的机会。

因此,所有与能源相关的实体都应当熟悉针对能源部门的恶意活动。

3、针对电力行业的活动组

Dragos追踪到的的一些活动组将攻击重点放在电力公用事业上; 这些相关电力实体目前并未对石油和天然气市场表现出特别的兴趣。然而,石油和天然气以及相关的能源公司应该了解以下活动组,因为他们的利益和攻击目标可能不仅包括这些电力相关行业,还包括与石油和天然气运营的直接相关行业,包括化学品和润滑油以及海运行业。

(1)ELECTRUM:ELECTRUM目前专注于攻击电力公用事业,主要针对乌克兰的实体。2016年,极具破坏性CRASHOVERRIDE事件是由它造成的。由于石油和天然气供应链技术和供应链中的关系与电力公司的重叠,攻击电力目标事件中的附带影响可能对石油和天然气构成风险。2017年,几个ICS实体在NotPetya供应链妥协中经历了这一后果,影响了全球公司。情报公司确定SANDWORM组引起了NotPetya事件,Dragos评估ELECTRUM是SANDWORM的一个分支。

AssociatedGroup: SANDWORM

(2)RASPITE:RASPITE的攻击目标是美国的电力公司和位于中东的政府机构。 Dragos还确定了沙特阿拉伯,日本和西欧的其他受害者,但自2018年中期以来尚未发现新的RASPITE活动。虽然Dragos没有观察到该活动组针对石油和天然气公司的攻击,但这些实体经历了该活动组水坑活动所带来的的附带影响,因此RASPITE仍然是石油和天然气行业中一个风险。

AssociatedGroup: Leafminer

(3)ALLANITE:ALLANITE的攻击目标是美国和英国电力公用事业部门的业务和ICS网络。该活动组保持与受攻击者的接触,以了解操作环境并参与潜在的破坏性事件。目前没有迹象表明ALLANITE具有破坏性或破坏性的能力或意图。

AssociatedGroups: PALMETTO FUSION, Dragonfly 2.0, Berserk Bear

(4)COVELLITE:COVELLITE破坏了与电力相关的网络,主要是在欧洲,东亚和北美。该组目前缺乏对特定ICS攻击的能力。虽然与COVELLITE行为相关的技术活动被隐藏,但从ICS定位的角度来看,没有任何证据或迹象表明该群体仍处于活跃状态。

AssociatedGroup: Lazarus Group

4、石油和天然气运营部门威胁展望

4.1 上游

上游ICS和过程控制网络(PCN)运营是勘探石油和天然气田,钻井和建立生产基础设施的地方。

威胁形势:目前没有观察到攻击者已经具有了针对上游勘探和生产作业的意图或能力。对上游破坏的最大担忧是通过电信,蜂窝网络和卫星连接,因为它是攻击者攻击上游作业(包括井口和钻井作业)的最有效途径。

评估:与其他石油和天然气部门相比,石油和天然气上游部门面临的威胁环境相对较小。上游部门最有可能受到攻击的ICS / PCN目标将集中在上游业务的生产部分,尽管潜在的经济间谍在勘探企业网络中是一个更大的威胁。涉及勘探和生产(E&P)的技术将会要求攻击者开发高度专业化的能力,以在该ICS / PCN网络环境中进行操作和交互。

4.2 中游

中游ICS / PCN操作提供了上游生产和下游炼油之间的联系。中游主要的资产包括现场采集系统,加工厂,管道,海运,铁路运输和仓储。

威胁形势:在当前的威胁形势中,没有任何攻击者已经具有了针对中游ICS / PCN环境进行攻击的意图,动机或能力。最有可能开发出这些攻击能力的攻击者是XENOTIME。然而,攻击者已经开展了程度未知的针对石油和天然气实体运输和商业运营的网络攻击行动,例如,在2018年4月,攻击者针对多家美国能源公司的电子数据交换(EDI)进行攻击,导致业务运营中断。

评估:石油和天然气中游部门的威胁环境是一个新出现的攻击面。Dragos以较高的可信度进行评估发现,由于其在生产和精炼之间的关键作用,新活动组将在未来针对中游部门。中游市场中最可能的受到攻击的ICS / PCN目标是中游业务的管道运输部分。第二个攻击重点还将涉及海运和铁路,尽管铁路威胁可能更多地集中在转移过程中进而导致控制失控,而不是实际的铁路车厢本身。

4.3 下游

下游ICS / PCN业务主要集中在提炼原油和原始天然气,但也包括消费者分销。

威胁形势:在当前的威胁形势中,一些攻击者已经证明了具有针对下游环境进行攻击的意图和能力,特别是在精炼方面。XENOTIME已经证明了在下游炼油操作区域中访问,操作和进行攻击的能力。HEXANE,MAGNALLIUM和CHRYSENE活动组的运营促进了对下游IT网络环境的初始访问。目前,没有观察到这些活动组具有对特定ICS进行破坏的能力,但这些活动可能是攻击ICS操作的前兆。

评估:Dragos高度自信地评估石油和天然气下游部门的威胁环境是目前最大和最活跃的。下游部门市场中最可能受到攻击的ICS / PCN目标将是炼油业务。炼油设施的性质和重要作用使得其成为攻击者的高价值攻击目标。这一部分的原因在于运营和资源的集中化,技术复杂性,广泛的ICS的存在以及高度不稳定的过程中造成损坏或破坏的可能性增加。

5、区域评估

5.1 北美地区

在九个活动组中,五个攻击的目标是北美实体,包括集中攻击石油和天然气的XENOTIME,MAGNALLIUM和DYMALLOY。最近几个月,Dragos发现以攻击石油和天然气为主的活动组针对北美实体的攻击活动有所增加。在最近美国和伊朗之间的紧张局势加剧之后,Dragos监测到了针对美国政府,金融机构以及石油和天然气公司以试图访问这些机构计算机的MAGNALLIUM攻击活动。 Dragos预测此类活动未来将会继续发生。

Dragos继续追踪针对北美石油和天然气的XENOTIME攻击活动。 XENOTIME攻击活动导致的潜在供应链破坏可能会影响该地区的实体。由于ICS设备在全球生产和分销,无论处于哪个地区,ICS供应商硬件和软件的破坏将对所有ICS实体构成威胁。

据石油输出国组织(欧佩克OPEC)称,中美之间的贸易争端将继续影响石油市场并可能扰乱对能源的需求。持续的贸易争端可能导致处于争议的政治利益实体之间的网络攻击活动增加。中国继续利用网络运营来支持其战略发展目标并获取外国技术,包括敏感的商业秘密和知识产权信息。除了南海石油和天然气钻井权的领土争端外,中国的“十三五”规划和“中国制造2025”规划都优先考虑能源和技术举措,使石油和天然气部门成为其网络运营的主要目标。

由于美国即将举行2020年联邦选举,由中国国家支持的攻击者有可能将攻击目标从石油,天然气或电力公用事业等关键基础设施转移到选举上,正如之前的选举年份所观察到的那样。

在加拿大,尽管和沙特阿拉伯的政治紧张局势在2018年达到顶峰,但从沙特阿拉伯进口的石油继续增加。据加拿大广播公司报道,加拿大从沙特阿拉伯的石油进口量自2014年以来增加了66%。Dragos已追踪到在沙特阿拉伯之外的组织在加拿大开展业务时遭受到的攻击活动增加。正如在2018年,包括SHAMOON3在内的攻击者攻击沙特阿拉伯及相关企业所证明的那样,针对特定地区运营或业务的攻击可以在全球运营中传播,从而在全球范围内产生潜在的重大影响。

5.2 欧洲地区

七个被追踪的活动组在欧洲有针对性的攻击实体,包括XENOTIME,MAGNALLIUM,CHRYSENE和DYMALLOY。 Dragos最近发现了一个新的MAGNALLIUM密码喷涂行为,其试图获得初始网络访问权限,攻击目标包括欧洲石油和天然气实体。

XENOTIME调查和侦察活动正在该地区进行。此外,XENOTIME攻击活动导致的潜在供应链破坏可能会影响该地区的实体。由于ICS设备在全球生产和分销,无论处于哪个地区,ICS供应商硬件和软件的破坏将对所有ICS实体构成威胁。

俄罗斯仍然是欧洲网络威胁形势的主要对手。俄罗斯网络攻击行动与俄罗斯的目标和社会政治事件密切配合。俄罗斯将其在网络空间的努力视为持续的斗争以期获得在网络领域的主导地位。俄罗斯的网络攻击运动包括破坏关键基础设施,以对未来的实体运营进行中断和收集情报。

Dragos评估俄罗斯将继续积极利用网络空间作为其国家战略的关键组成部分,以便将其权力投射到国外以及收集情报,并且为了经济,政治或军事利益针对ICS进行的破坏性和/或扰乱性的攻击行动。美国和欧洲情报机构已将与DYMALLOY和ALLANITE相关的攻击活动与俄罗斯国家利益联系起来。此外,第三方情报公司已将一些与XENOTIME攻击相关的基础设施与俄罗斯联系起来。此时,欧洲石油和天然气实体面临的最大威胁是XENOTIME。

Dragos以适度的自信进行评估,针对该地区的石油和天然气实体的攻击活动将会增加。欧洲选举将于5月底举行,而这通常是恶意网络攻击活动的目标。有可能以ICS为目标的攻击者将暂时转向专注于攻击选举,但也有可能会重新集中攻击其他政治或经济领域,包括石油和天然气相关领域。

5.3 中东和北非地区

针对石油和天然气的攻击者是中东和北非地区最活跃和最具破坏性的攻击者之一。 TRISIS对沙特阿拉伯石油和天然气设施的攻击表明了对保护人类生命的安全系统的网络攻击升级。此前在该地区针对IT的破坏性攻击事件包括了SHAMOON和SHAMOON 2恶意软件攻击。此外,军事冲突和忧虑的政治关系加剧了该地区的网络威胁形势。

Dragos追踪到五个活动组针对该地区进行攻击,特别是针对石油和天然气及相关实体进行攻击:XENOTIME,CHRYSENE,MAGNALLIUM,RASPITE和HEXANE。

与伊朗政府有关的攻击者在2016年底和2017年初对数十个沙特政府及私营部门网络进行了数据删除攻击。第三方情报部门认为RASPITE,CHRYSENE和MAGNALLIUM的一些活动与伊朗存在关系。此外,伊朗为了对美国恢复制裁进行回应,对沙特阿拉伯石油生产和炼油基础设施进行低水平的区域性攻击,表明其并不愿直接参与网络攻击。

最近几个月,在中东开展业务但是公司位于该地区以外的石油和天然气公司已成为石油和天然气攻击者的目标。利用SHAMOON恶意软件变种的攻击就是这种趋势的例证。 2012年第一波SHAMOON攻击针对的是与沙特阿拉伯有关或拥有的能源公司。 2016年,目标明显扩大至至少15个沙特政府机构以及与沙特阿美公司有关的组织和合资企业.。SHAMOON3的攻击情况在2018年12月有很大不同,因为所有公开的受害者都是外国石油和天然气服务或承包公司,如Saipem(意大利)和Petrofac(英国)。

HEXANE针对非洲和大中东地区的电信提供商的攻击活动正在关注和强调攻击第三方服务提供商的策略,这将会危害包括XENOTIME在内的活动组的目标受害者。通过破坏ICS内目标使用的设备,固件或电信网络,恶意攻击活动可能会通过受信任的供应商进入受害网络环境,从而绕过实体的大部分安全堆栈。

隶属于石油和天然气部门的非政府组织也是以ICS为攻击重点的攻击者的目标。例如,由于石油输出国组织对全球石油价格,国际关系以及世界上最大的石油和天然气生产国之间的信息共享有重大影响,从而使其成为攻击行动中十分有价值的攻击目标。

Dragos以适度的自信评估,该地区的对ICS的攻击活动将会继续针对石油和天然气的信息收集方面,这可能为对ICS攻击的开发和执行建立访问权限。

5.4 亚太地区

目前,Dragos已确定针对亚太地区的XENOTIME和HEXANE活动组。 Dragos以适度的自信评估,该地区的石油和天然气受攻击的目标将会增加。

亚太地区石油和天然气行业预计将会有显著的增长。据报道,澳大利亚的液化天然气(LNG)产业价值为500亿美元。亚太地区的液化天然气出口在2019财年增长了21%,该地区成为世界第二大产品出口地。调研公司Wood Mackenzie在2018年10月发布的一份报告显示,亚太地区的石油和天然气行业整体正在反弹,主要是需求增加,新项目以及更多的兼并和收购。这种增长为攻击者在攻击面以及商业和政府情报的信息收集方面提供了新的机会。目前,Dragos尚未发现该地区具有破坏性的针对ICS的攻击活动,但很可能会继续发生针对ICS实体的信息收集活动。

5.5 拉丁美洲地区

Dragos目前并没有追踪到任何针对拉丁美洲的攻击者。拉丁美洲地区很大程度上依赖石油和天然气的生产和出口作为其国内生产总值的重要组成部分,特别是在委内瑞拉,巴西和哥伦比亚。依靠一个行业来保持经济可持续性的这种特征使该地区成为对破坏地区稳定攻击者的一个感兴趣的攻击目标。然而,网络犯罪现在是该地区面临的最大威胁,并且通常与ICS无关。随着该地区政治动荡的持续,政治黑客行动者有可能瞄准并试图破坏石油和天然气组织,但是,在这个环境中,物理和传统的激进手段仍然是一种更具成本效益的破坏攻击手段,而网络攻击应该只会低可信度的发生。

6、全球石油和天然气的五大攻击情景

6.1 导致生命损失的破坏性事件

现在可以证明,对手可以通过网络危害安全系统,从而造成安全损失。在TRISIS攻击中,XENOTIME发生错误导致施耐德电气Triconex安全仪表系统(SIS)发生故障。但由于攻击者没有实现目标,系统按预期安全失灵。如果TRISIS攻击成功,攻击可能导致操作员的严重伤害或可能的生命损失。Dragos预计活动组将继续针安全系统进行破坏性或扰乱性的攻击活动。

6.2 第三方和原始设备制造商(OEM)妥协

供应商和第三方承包商在上游,中游和下游运营方面提供必要的服务,但是这些关键功能带来了意外的安全风险,而攻击者非常愿意利用这些风险来实现其攻击目标。

攻击者越来越多地利用第三方和原始设备制造商(OEM)的破坏作为攻击预定目标的方法。攻击者利用这种攻击来获得公司与供应商或实体之间的隐含信任。由于安全区域和信任关系的多样性,能源,石油和天然气,制造业和物流业的组织尤其面临这种风险。从OEM破坏中获得的信息为攻击者提供了有关攻击OEM特定功能的宝贵意见。

攻击者利用的另一个攻击媒介是托管服务提供商(MSP)的破坏。这与供应商或承包商访问类似但更广泛,MSP通常嵌入并维护对客户端网络的远程访问。因此,如果未被监测到,MSP实体的破坏可导致攻击者对多个受害者网络的近乎直接访问。由US-CERT于2018年宣布,公开披露的最广泛的攻击行动是由国家支持的攻击者对MSP进行的一系列入侵,并且其他资源与APT10相关联。

6.3 IT恶意软件弥合了OT的差距,破坏运营

随着越来越多的OT系统变成了互联网连接,那些专注于高的可用性但而不太关注机密性和完整性传统OT也需考虑网络攻击。连接性的扩展增加了风险,并使IT环境成为OT的潜在攻击媒介。一个例子是用勒索软件攻击,它利用Windows漏洞在整个网络中传播。WannaCry勒索软件在2017年利用这种方法影响了各种ICS的操作,在最近的一份安全公告中,微软警告说,新发布的远程桌面服务漏洞可能会被用于类似的攻击。恶意的商品软件实现跨越式运营可能会导致从企业业务管理物流中断到潜在工厂停工的各种运营事故。

6.4 电力目标运营中断

由于石油和天然气行业依赖于上游,下游和中游运营的电力传输和分配,攻击者针对石油和天然气实体可能会破坏电力的来源和传输。此外,攻击者可能会对电力实体发起网络攻击,进而破坏石油和天然气生产。两个相关行业之间的共生关系意味着所有能源行业公司都需要了解针对能源的威胁和活动,即使特定行业并不是当前攻击目标。

6.5攻击者通过蜂窝或卫星连接进行访问

正如HEXANE活动所证明的那样,电信网络是攻击者攻击ICS的重要目标。获得对移动或卫星网络的访问可以允许攻击者利用蜂窝设备或卫星连接进行通信,监视和管理上游和中游的操作并进行交互。地理上的距离和远程操作通常依赖于蜂窝或卫星通信网络,例如管道压缩机站和海上油井,因此需要密切监控进入OT环境的蜂窝和卫星网络的连接。

7、防御措施建议

资产所有者和运营商可以实施以下基于主机和网络的建议,以改进针对ICS目标攻击活动组的检测和防御。

(1)可见性:应采用全面的方法来了解ICS / OT环境,以确保环境的可见性。资产所有者和安全人员应该一起工作,从最关键的基础架构开始收集基于网络和主机的日志。识别和关联可疑网络以及主机和操作的能力可以极大地帮助识别发生的入侵,或在破坏性事件后促进对深层原因的分析。因此,确保通过以ICS为重点的技术来对ICS进行网络监控。

(2)划分网络:在可能的情况下,划分和隔离网络以限制攻击者的横向移动能力。虽然在现有环境中实际上很难实现,但现代网络硬件可以使资产所有者和运营商虚拟地分割网络以减少攻击面并限制攻击者的移动性。

(3)可访问性:识别入口和出口路由并将其分类到控制系统网络中,这包括工程师和管理员远程访问门户,但也包括需要访问IT资源或更广泛的Internet的商业智能和许可服务器链接等项目。限制这些类型的连接,包括防火墙规则指向性,以确保最小化暴露的攻击面。

(4)公开数据处理:评估资产所有者托管,公开发布的信息和数据,这些信息和数据在汇总时会生成可由对手利用的敏感信息。可通过非正式或合同中的正式要求,与供应商,承包商和其他各方合作,最大限度地减少或防止攻击者识别出营销中的特定站点,功能或设备。

(5)配置:在没有网络访问地方识别并存储ICS设备的“已知良好”配置信息,以便在发生中断时提供比较和恢复点的基线。经常更新这些项目以确保此类存储与生产环境相同。此操作不仅有助于在IT恶意软件传播到ICS网络时进行恢复,还可通过提供基线来比较潜在的操作配置,从而促进对类似TRISIS事件的分析。

(6)深度防御:设计并实施深度防御的ICS网络,其中安全控制和增强的可见性可以应用于能够处理此类任务的主机,例如要求远程访问的经过具有加强型Windows和网络日志记录的跳转主机,进而确保充分监控对控制系统网络的远程访问。

(7)结果导向:识别关键资产和连接,确定其优先级,并处理网络攻击的后果。执行威胁评估以确定破坏性或扰乱性攻击的最具影响力的风险,并使用此类数据来制定威胁搜寻和防御方法。

(8)第三方:从“信任,但需要验证”的思维模式出发,监视和记录第三方连接和ICS交互。在可能的情况下,隔离或创建不同的安全区以进行此类访问,以确保第三方访问不会导致对整个ICS网络完全的,不受约束的或不受监控的访问。尽可能实现跳转主机,堡垒和安全远程身份验证架构等功能。

(9)网络基础设施:ALLANITE和DYMALLOY在破坏期间定期针对路由器和交换机,更改配置以允许持久访问或传递其他恶意软件。实施路由器,交换机和防火墙配置审查,以确保攻击者不会篡改配置并找出安全漏洞。

(10)威胁报告:使用和操作特定的ICS的威胁报告。威胁报告可以识别已知的威胁行为。Dragos平台采用智能的威胁行为分析,自动识别已知的攻击者行为。Dragos WorldView Threat Intelligence针对石油和天然气的新的和持续的威胁提供最新的情报馈送,报告,分析和防御性建议。

(11)应急预案:制定,审查和实施网络攻击响应计划,并将网络调查整合到所有事件的根本原因分析中,特别是考虑智能攻击者,它们也可能在修复和响应期间进行攻击,以增加中断规模和停机时间。

8、结论

多样化的全球石油和天然气网络威胁形势是上游,中游和下游业务中资产所有者和运营商面临的一个严峻问题。由于政治和经济影响以及高度动荡的环境,石油和天然气仍然面临破坏性网络攻击的风险。此外,与这些业务相关的非OT环境业务部门也面临针对该行业的网络攻击风险,例如数次中东SHAMOON破坏性网络活动所证明的那样。

虽然目前针对石油和天然气的大多数活动组都没有表现出具有对特定ICS的破坏性或扰乱性的能力,但XENOTIME是一个具有破坏性和扰乱性行为的危险活动组织。Dragos监测到,对特定企业的攻击活动可实现初始入侵和数据收集,并为攻击者转向攻击可能具有破坏性的后果的事件奠定基础。此外,日益增长的供应链攻击和供应商网络破坏为活动组提供了新的途径来破坏IT和OT环境。

Dragos以适度的自信评估,第一个主要与网络攻击相关的ICS事件将导致石油和天然气行业主要工艺和设备的破坏或生命损失。私营公司、准政府组织、监管组织和政府必须共同努力,加强这些工业流程和设施的安全性,以减少此类攻击的危害,因为这种攻击无疑将在未来的某个时间发生。

翻译:孙中豪,何跃鹰

声明:本文来自关键基础设施安全应急响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。