2021年5月8日美多家機構報道稱，美國最大的輸油管道公司之一，Colonial Pipeline遭受名為“DarkSide”攻擊團伙勒索攻擊之后被迫關閉，管道從德克薩斯州出發，沿東海岸向紐約輸送精煉汽油和航空燃料，承載著美國東海岸45%的燃料供應，該公司七日晚間在一份聲明中說為了控制泄露已經關閉8851公里長的輸油管道。本事件造成美國原油飆漲4%，原油飆升1%，并對社會產生了很多不利因素。由于事態緊急白宮在當地時間9號宣布17州和華盛頓特區進入緊急狀態！

　　一  勒索病毒攻擊流程

　　1. 遠程訪問

　　根據DarkSide歷來的攻擊手段分析，此次攻擊極有可能是收集了遠程桌面軟件的帳戶登錄詳細信息，并以此為突破口建立初始訪問權限，進行后續入侵。反觀工業現場一些工程師為了方便運維，通過TeamViewer這類的遠程連接工具進行遠程操作，在一定程度上提升了遠程賬號泄漏的可能性。

　　2. 命令控制

　　在入侵的目標服務器上安裝Tor客戶端或者瀏覽器，并使用Tor進行RDP會話連接（RDP Over Tor），并且在遠程控制方面會使用CobaltStrike進行后續操作。

　　3. 橫向滲透

　　以最初的失陷主機為跳板，通過偵查工具收集信息，攻擊者獲得管理員憑證后進行橫向滲透，進行DCSync攻擊，攻擊者假裝是合法的域控制器，并利用目錄復制服務復制AD信息，從而獲得了整個域（包括KRBTGT HASH）的密碼數據的訪問權限。工業環境里面工控主機被作為跳板機進行滲透攻擊的案例屢見不鮮，比如廣為人知的“震網事件”。

　　4. 加密勒索

　　在建立命令控制后門（Cobalt  Strike）后，勒索軟件會采取PowerShell腳本或者動態鏈接庫DLL進行下發。其中涉及到的Payload會在域控制器的共享文件夾中進行暫時存儲，并通過組策略調度任務指示主機獲取并執行勒索軟件。

　　二  勒索攻擊矛頭直指關鍵基礎設施

　　關鍵信息基礎設施是指面向公眾提供網絡信息服務或支撐能源、通信、金融、交通、公用事業等重要行業運行的信息系統或工業控制系統，且這些系統一旦發生網絡安全事故，會影響重要行業正常運行，對國家政治、經濟、科技、社會、文化、國防、環境以及人民生命財產造成嚴重損失。

　　關鍵基礎設施的網絡安全形勢日趨嚴重，我國針對關鍵基礎設施安全也陸續出臺了多項辦法和要求。其中網絡安全法中指出，國家實行網絡安全等級保護制度，對于關基行業在網絡安全等級保護制度的基礎上，實行重點保護。

　　關鍵基礎設施相關政策：

　　2017年7月11日，《關鍵信息基礎設施安全保護條例（征求意見稿）》-國家互聯網信息辦公室

　　2019年12月3日《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》（報批稿）試點工作啟動會-全國信息安全標準化技術委員會秘書處

　　2020年4月27日，《網絡安全審查辦法》-國家互聯網信息辦公室、發展改革委、工業和信息化部等十二部門

　　2020年9月3日，《信息安全技術關鍵信息基礎設施網絡安全保護基本要求》（報批稿）發布-全國信息安全標準化技術委員會秘書處

　　三  從攻擊視角進行工業互聯網內生安全建設

　　病毒入侵方式

　　1、通過移動存儲介質入侵

　　2、通過辦公網和生產網等邊界入侵

　　3、通過工控機等為跳板在內部網絡傳播

　　工業互聯網內生安全防御體系

　　奇安信創造性地提出安全產品的樂高化，將安全能力拆分成136個信息化組件，79類網絡安全組件，29個安全域場景，將安全能力深入融合進客戶的業務系統。在進工業互聯網內生安全建設過程中，做到同步規劃、同步建設、同步運營，為客戶建設一套自適應自成長，針對IT與OT融合場景的縱深防御體系。

　　在工業互聯網的架構下進行內生安全建設，筆者認為可以從以下幾方面進行：

　　1、工業情景的安全建設需要打造全方位的白環境，采用白名單機制對工業現場進行邊界防護以及終端防護；

　　2、防護策略的有效性以及日志的可追溯性需要更落地，工業安全設備需要支持工業點表信息，讓用戶真正看得懂日志和策略信息，實現面向業務的安全防護可視化；

　　3、工業設備需要與現場實際業務更具關聯性，對現場的資產、漏洞、威脅進行一體化展示以及防護，對工業協議進行深度解析，對各業務點的訪問關系進行細顆粒審計及管控；

　　4、提供單點登錄以及安全態勢感知的方案，對工控核心區域以及安全態勢進行統一運維管理。