網絡安全一直被視為水務行業的頭等大事。水務行業為其客戶、社區、地區、鄰國、工業和農業部門提供了關鍵的生命線服務。為了充分支持水務行業復雜的業務流程和操作,需要有效的IT技術和OT技術。隨著水利領域數字化的到來,也為水務行業帶來了無限的機遇和新的安全挑戰,一旦發生攻擊,產生的后果和社會影響將是災難性的,因此水務行業必須將網絡安全作為首要任務。
一、遠程訪問無處不在
在過去的幾個月里,每天都有不同的組織成為勒索軟件攻擊的受害者,網絡罪犯攻擊不同關鍵基礎設施的趨勢日益增長。除了數量驚人的勒索軟件攻擊外,越來越多由于遠程訪問而導致的嚴重漏洞也被發現。這使得網絡罪犯更容易利用攻擊目標,其中一個受遠程訪問安全影響最大的目標行業就是水務行業。
由于水務基礎設施在社會中的重要作用,連接到網絡的水利系統已經成為網絡犯罪分子通過內部和外部威脅以及供應鏈攻擊等不同攻擊載體進行攻擊的誘人目標。
自2021年初以來,已經出現了不同的水廠被網絡犯罪分子成功攻擊的案例。1月15日,舊金山的一家水處理廠被一名企圖毒害該廠的攻擊者利用,網絡罪犯通過使用一名前雇員的TeamViewer賬戶密碼獲得了訪問權限。一旦攻擊者進入自來水廠的系統,就立即刪除了自來水廠用來處理飲用水的程序。攻擊第二天才被水廠發現,水廠更改了密碼并重新安裝了程序。
幾周后,又發生了一起針對水廠的攻擊事件,是針對佛羅里達Oldsmar供水系統的網絡攻擊。一名黑客侵入了佛羅里達Oldsmar的水處理系統,并劫持了工廠的操作控制系統,攻擊者可以暫時把水中的氫氧化鈉含量提高到有毒的水平。幸好被一名操作人員很快發現,并將水質恢復到正常水平。
圖1 佛羅里達州Oldsmar發生的攻擊事件
2018年,國土安全部(DHS)和聯邦調查局(FBI)警告稱,俄羅斯政府專門針對水務部門,這導致美國政府成立了網絡安全和基礎設施安全局(CISA),以確保關鍵基礎設施的網絡安全為即將到來的物理威脅做好準備。
圖2 多年來對水的網絡攻擊
隨著時間的推移,水和廢水基礎設施的攻擊面只會繼續擴大。這引發了加強網絡安全和更安全的遠程訪問的優先考慮,因為更多的水務公司將成為可能導致災難性后果甚至死亡的網絡攻擊受害者。
二、水務公司是誘人目標
美國有近20萬個飲用水系統,為近3億美國人提供自來水。這些供水系統分布在城市、學校、醫院、寫字樓和其他地方。當關鍵的水務系統被網絡安全攻擊利用時,惡意活動可能會對公眾健康和安全造成毀滅性的后果。
對自來水設施的攻擊可能會導致污染、運行故障和服務中斷,這會導致潛在的疾病和人員傷亡。此外,這可能會導致應急小組的妥協,并可能影響不同的交通系統和食品供應。此外,威脅行為者除了攻擊物理供水設施設備外,也會攻擊對日常運營至關重要的過程控制系統。水務部門還負責一些關鍵的個人數據,這些個人數據對網絡罪犯來說是極具吸引力的目標。事實上,政府情報部門已經證實,飲用水和廢水系統已成為多階段入侵行動的一部分,并成為各民族國家和尋求危害國家或獲取非法收益的個別罪犯和其他團體的直接目標。
另一個成功攻擊自來水公司的例子是亞特蘭大市的勒索軟件攻擊。2018年3月,亞特蘭大市和亞特蘭大市流域管理部門的員工無法打開其作電腦并獲得無線互聯網接入,在攻擊發生兩周后,亞特蘭大徹底關閉了水務部門網站,“以進行服務器維護和更新,直到進一步通知”。亞特蘭大花了幾個月的時間才恢復,費用高達500萬美元。
三、遠程訪問為攻擊者提供了切入點
現在水務公司需要比以往任何時候都要更認真對待如何管理遠程訪問。
在過去的十年中,水利基礎設施和公用事業背后的技術與OT和IoT設備變得更加互聯。自來水公司正在使用不同的連接設備,如控制器、傳感器和智能電表來遠程監控和管理流程,這很容易使其成為網絡罪犯滲透的目標。
對于水務公司來說,智能計量可以提高效率,但遠程訪問也會成為成功攻擊的關鍵切入點。遠程訪問安全性差可能使來自內部和外部的網絡犯罪分子遠程訪問主操作系統,并造成嚴重的社區健康問題,如污染水源等。
還有一個問題是,由水管理機構部署的智能電表和水設備可能會被網絡攻擊滲透。如果智能電表受到攻擊或逆向工程破壞,網絡犯罪分子就有可能進入電表基礎設施,這將使他們能夠在組織的系統和網絡內橫向攻擊和移動。
智能電表的不同漏洞突顯了更好的設備保護的重要性和必要性。對于使用ICS、控制器、智能電表、傳感器等互聯公用事業設備的組織來說,對其進行適當的監控和管理至關重要。通過了解誰有權訪問,他們從哪里訪問,以及對水利公用設備的不定期活動,可以減少成功的遠程攻擊水務系統的機會。
四、水務安全是重中之重
水務組織必須優先考慮安全問題,必須要留出適當的資源和精力來保護公司的基礎設施和設備。這個過程首先要深入了解水和廢水系統存在的不同安全風險,以及需要采取哪些步驟來確保更好的安全性。
圖3 組織采取更主動降低風險的方法
隨著針對水廠的成功攻擊越來越多,以及人們對自來水設施不同風險的認識不斷提高,越來越多的組織開始慢慢認識到在保護其IT和OT系統時實施正確的安全做法的重要性。隨著水廠采用更智能的傳感器和其他物聯網設備,使其基于水的過程自動化和現代化,這將為網絡犯罪分子創造新的可利用的切入點,以便其在組織系統內能夠遠程利用和橫向移動。2020年初,黑客曾試圖通過干擾廢水流動和干擾氯的含量來擾亂以色列的供水,雖然攻擊得以避免,但其后果可能是致命的。
這一事件突顯出,公用事業公司再也不能以攻擊不太可能發生或可預見的心態來應對網絡安全問題了。相反,水務公司必須通過制定事件響應(IR)計劃來應對不斷變化的環境,該計劃包括細粒度的威脅驅動策略,以便更好地分析、檢測、遏制網絡安全攻擊,并在對運營連續性影響有限的情況下從網絡安全攻擊中恢復。
隨著技術的不斷發展,隨之而來的各種風險也在不斷增加。通過采用更多的連接技術和設備,迫使水務組織連接到互聯網,這導致了更多的遠程訪問入口點,從而導致安全事件增加。這一趨勢也導致安全團隊必須要更新其安全方法,以更好的適應遠程訪問安全和OT安全。
除了網絡攻擊外,供水企業還面臨著因其使用的工業控制系統(ICS)存在漏洞而暴露的威脅。2020年2月,商用、關鍵制造業、能源、供水和廢水處理設施使用的C-more觸摸屏被發現存在漏洞。該漏洞CVE-2020-6969允許攻擊者在未受保護的項目文件上解密憑據和其他敏感信息。
與水處理廠和供水機構相關的組織是公共基礎設施的重要組成部分。供水基礎設施需要定期監控,不僅要檢測網絡上的潛在威脅,還要識別可能入侵的任何異常情況。因此擁有一套全面的網絡安全法規和安全實踐也有助于避免攻擊事件發生。
網絡安全風險被認為是全世界水務關鍵基礎設施面臨的最大威脅。與其他關鍵基礎設施行業類似,水務公司面臨的挑戰包括老舊的基礎設施、過時的硬件及軟件、未經身份驗證的協議以及缺乏安全資源和知識。為了避免措手不及,水務行業需要采取適當措施應對可能會損害整個水務運營和基礎設施的網絡安全事件。水務公司應該更有創造性和積極的在處理網絡安全的問題,為此應該分配更多的資金,通過增加年度預算和減少依賴資本,改進措施來提高網絡安全,防止水利基礎設施的網絡攻擊。
網絡風險是一個嚴重的威脅,水務部門的組織必須將網絡安全作為首要任務,提高警惕是防止針對水務公司的網絡攻擊的關鍵。水務公司應專注于實施最佳安全做法,例如避免關鍵資產暴露在互聯網上,建立關鍵資產的冗余機制,采用嚴格的訪問控制政策,并提高員工的安全意識,還應該了解現有的安全流程,以及攻擊者如何通過網絡手段繞過這些流程。
隨著水務組織繼續成為網絡犯罪分子更具吸引力的目標,最好是現在就采取行動,降低任何風險,為任何針對水務公司的攻擊做好準備。決策者應該考慮新的安全方法,這些方法要能夠提供設備級別的安全設計,可以在未來數年保護其水利基礎設施。
