广告

美国进入国家紧急状态背后的安全思考

时间:2021-05-14 作者:邵乐峰 阅读:
在遭遇勒索软件网络攻击后,美国最大燃油管道运营商Colonial Pipeline被迫关闭了其整个管道系统。随即,美国政府宣布17个州和华盛顿特区进入紧急状态,并临时给予该区域的汽油、柴油、航油等成品油的运输豁免,以保障人们的正常生活。
广告
EETC https://www.eet-china.com

5月9日,在遭遇勒索软件网络攻击后,美国最大燃油管道运营商Colonial Pipeline被迫关闭了其整个管道系统。随即,美国政府宣布17个州和华盛顿特区进入紧急状态,并临时给予该区域的汽油、柴油、航油等成品油的运输豁免,以保障人们的正常生活。

劫富济贫?

作为美国最大的成品油管道,该管线承担着美国东海岸45%的成品油供应。除了管道运营之外,此次攻击还影响了包括订货和调度功能在内的IT系统。截至目前,尚不知道管道将关闭多长时间。

图片来自IHSMarkitEnergy

发动此次攻击的黑客组织名叫DarkSide,热衷于将自己装扮为英国民间传说中的英雄人物"罗宾汉"。10日,该组织在其官网发布的简短新闻稿中写道:“我们的目的是要钱,而不是为社会制造麻烦”。据称DarkSide不以医院、学校等非营利组织作为攻击目标,而是针对有能力支付大额赎金的企业或机构进行攻击,然后将部分赎金通过不可追踪的网络货币(例如比特币)捐赠给慈善机构。有报道称,今年1月,DarkSide就通过勒索软件获得了45个比特币,约合人民币1700多万元。

作为应对,Colonial Pipeline公司主动切断了系统的网络连接以遏制威胁,还聘请了麦迪安网络安全公司(Mandiant)来调查该事件。尽管目前系统支付端较小的线路已经恢复正常,但主要线路仍处于离线状态,仍未恢复全面业务。

目前解决时间是最大的不确定性,如果停运时间在2-4天以内,则当地库存和通过“Plantation管道”运送至PADD 1C(下大西洋地区)的供应量应足以弥补Colonial管道停运所导致的精炼产品损失量。但同时,多个网络安全公司的调查显示,在美国,勒索软件的攻击从谈判到解决平均需要7-21天的时间。这种情况下地区燃油供应或面临重大影响。

受到成品油管道关闭的消息影响,国际油价一度波动加剧。根据美国汽车协会数据,全美汽油平均零售价10日升至2.967美元/加仑,较上周五上涨2.4%。如果全美国汽油平均价格在下周内达到每加仑3美元,这将创下2014年以来的最高价格水平。

交钱认命?

勒索软件并不少见。美国安全机构预测,2021年预计每11秒将发生一次勒索攻击,全年超过300万次;Veritas去年在全球范围内发布的2020 Ransomware Resiliency Report(2020年勒索软件恢复力报告)显示,企业IT系统越复杂,越易遭受勒索攻击。

而在国内,腾讯安全近期对外发布的《2021上半年勒索病毒趋势报告及防护方案建议》显示,广东、浙江、山东、湖北、河南、上海、天津较为严重。而数据价值较高的传统行业、医疗、政府机构是重灾区,占比依次为37%、18%、14%,总计占比高达69%。

新思科技(Synopsys)网络安全研究中心首席安全策略师Tim Mackey在接受《电子工程专辑》采访时评论称,“这又是一个警钟,任何一家使用软件推动业务发展的企业都应该警惕。网络不法分子不会真正关心你的业务有多重要,他们只是在乎从你这可以获取多少利益。”

他指出,对市政机构、医疗系统和关键基础设施的网络攻击正在不断增加,虽然这些机构都会采用法律手段保护自己,但是网络攻击者不会罢休,这已经成为一种趋势。Colonial Pipeline是美国公司,但是网络攻击的影响是全球性的。尽管美国财政部等官员曾发警告,强调勒索软件付款是如何用于支持未来的犯罪活动,但受害者通常仍面临着是否付款的艰难抉择。

他认为有可能是由于流程和网络防御中的多个缺陷被利用导致了此次网络攻击。由于某些工业软件系统已经很陈旧,很可能旧版软件的设计不具备防御勒索软件攻击等现代威胁的能力。

“尽管软件的年份对其功能的影响有限,但是威胁建模和防御性保护需要与新威胁保持同步,只有知道并解决了每个组件中存在的所有缺陷,才可以做到这一点。毕竟,如果不法分子能够更快地识别出这些缺陷,那么他们将趁虚而入。”Tim说。

因此,为了避免成为勒索软件的受害者,企业/组织需要制定全面的网络安全计划,以充分掌握每个软件组件、其角色和生命周期以及其部署配置和使用的风险。有了这些基本信息和详尽的清单,在不法分子尝试发起勒索攻击时,确定每个组件有可能存在的风险。

亚信安全方面则撰文指出,经过历年来的实网攻防演练,相关能源企业都已经加强了边界防护,在逐步减少互联网出口数量,但是边界防护依然薄弱,主要表现在以下三方面:

(1)由于互联网出口数量众多,互联网出口和VPN防护不严,互联网边界依然是企业的最大安全暴露面和脆弱点;

(2)能源公司网络是一个整体,一些小企业防护能力比较弱,内部的网络互通,数据中心边界未部署访问控制设备,黑客组织从一个外部薄弱企业入侵后,进一步入侵内部薄弱的企业,导致风险跨企业蔓延。

(3)根据2015年企业信息安全风险评估统计,国内108家央企拥有249个出口,使用代理少,没有审计能力,互联网接入点的技术架构也不规范。

(4)同样根据2015年企业信息安全风险评估统计,我国能源系统相关企业应用发布不规范,种类多,技术手段不一,安全防护存在较多漏洞,通过现场渗透措施发现437个信息系统可被攻破。

 

能源公司网络结构分析(图片来自:亚信安全)

亚信安全认为,只有做好安全防护工作(例如重要数据及时备份,并明确备份管理机制;安装恶意程序防护软件,开启主机防火墙,阻断445、135、139、3389等端口有利于病毒传播端口;强化操作系统、中间件、业务系统等密码口令;升级服务器操作系统,更新最新漏洞补丁;安装主机终端安全防御系统);强化网络安全防护水平、完善应急处置机制才有可能最大程度避免网络攻击事件发生。

“大象一直在房间里”

提到网络安全,就不得不提到软件安全,尤其是开源软件安全。

近年来,开源治理已经引起业界普遍关注,各个国家也出台政策指导开源安全管理。比如,2020年,为了让中国用户更好地理解和拥抱开源,中国信息通信研究院就正式发布了业内首个《开源生态白皮书(2020)》。

根据新思科技发布的《2021年开源安全和风险分析》报告(OSSRA),开源是所有行业绝大多数应用程序的基础,但同时,他们也发现:

所有经过审计的营销科技类公司的代码库都包含开源,包括CRM客户关系管理系统及社交媒体。其中95%的营销科技代码库存在开源漏洞。

  • 98%的医疗保健行业代码库包含开源,其中有67%的代码库存在漏洞。
  • 97%的金融服务/金融科技行业代码库包含开源,其中超过60%的代码库存在漏洞。
  • 92%的零售和电子商务行业代码库包含开源,其中71%的代码库存在漏洞。

更令人担忧的是废弃开源组件仍在被广泛使用。例如高达91%的代码存在开源依赖项,这些开源组件在过去两年内没有任何开发活动——没有进行代码改进,也没有任何安全修复。

从下图可以明显的看出,在Black Duck审计服务团队2020年审计的1,500多个代码库中,有84%包含至少一个公开开源漏洞,这比2019年的75%增加了9%,成为自2017年以来的第二大增幅。同样,包含“高风险”开源漏洞的代码库百分比在2020年增长至60%,比2019年的49%大幅增加了11%。2020年的审计中再次发现了2019年在代码库中发现的几个十大开源漏洞,并且所有这些漏洞的百分比均有显著增加。

 

图片来源Synopsys

“大象一直在房间里”,这是一个当前很流行的说法。借用“大象一直在房间里,个头虽然很大,但是没有人注意到”的比拟,意指大家关心的可能并不是一个正确的方向和事务。所以,2021年OSSRA报告中还提及了其它几个需要引起重视的开源风险,包括:

  • 商业软件中过时的开源组件已成常态,85%的代码库含有至少四年未曾更新的开源依赖项
  • 超过90%经审计的代码库含有许可证冲突、自定义许可证或根本没有许可证的开源组件。
  • 开源漏洞趋势朝着错误的方向发展

 

图片来源Synopsys

对半导体行业而言,随着摩尔定律的速度开始放缓,如何通过软件算法最大限度的挖掘硬件潜力,成为了热议的话题。而一旦软件使用比例开始上升,漏洞风险、供应链物料清单风险、合规风险都会相应增加,如果再考虑国际合作,那么产品算法还要符合相关出口法案安全规定,这些都需要相关企业加以认真思考。

责编:Luffy Liu

  • 文章都不校验吗?有些语句不通的地方 “阻断445、135、139、3389等端口有利于病毒传播端口”
EETC https://www.eet-china.com
本文为EET电子工程专辑 原创文章,禁止转载。请尊重知识产权,违者本司保留追究责任的权利。
邵乐峰
ASPENCORE 中国区首席分析师。
  • 国民技术将芯片,覆盖到了衣食住行 本文主要以图集的方式,来浏览今年慕展之上国民技术展示的产品。一方面可对国民技术如今的业务投入有个大致的了解,另一方面万物互联大趋势、国际贸易环境变化、疫情对数字生活的推动实则都对国产MCU市场产生了极大的刺激作用,从国民技术在MCU市场的投入也能看到当前物联网的发展热点都在哪些领域。
  • 2020年Q4中国网络安全硬件市场同比增长27.4% 2020年第四季度中国IT安全硬件市场厂商整体收入约为14.12亿美元(约合94.1亿元人民币),第四季度厂商收入规模较去年同期实现了高速增长,涨幅为27.4%。
  • Wi-Fi HaLow(IEEE 802.11ah)更适合智能家居,比传统Wi-Fi IEEE 802.11ah Wi-Fi HaLow专为物联网设备的特定需求而设计:更远的距离、更低的功耗、更佳的穿透力、充足的带宽、改进的网络容量、易于部署和安装、生命周期安全、OTA(远程升级)更新和低材料成本。
  • IoT设备中嵌入式微控制器的安全机制 当今无处不在的线上和永远在线应用使黑客攻击感到异常兴奋,这为他们提供了可以尝试攻击的全球性数量大量的设备。嵌入式设备的安全性对于阻止黑客获得其控制权至关重要。本文将回顾在嵌入式微控制器中配置强大而可靠嵌入式安全机制的基本概念。我们将探讨一些安全原则,并深入了解攻击者使用的攻击面和攻击手段。
  • 智慧城市愿景很丰满,政府预算短缺却很骨感 缺乏实现任何大规模部署的预算分配,对城市转型过程将带来直接或间接的阻碍。而如此沉重的投资也可能会加重已经负债累累之中央政府或地方主管机关的经济负担,从而对未来的总算带来不利影响...
  • IoT设备安全性设计的八项原则 对于当今开发的每个嵌入式设备,都需要至关重要的强大安全性支持。物联网设备中的黑客攻击威胁格局日益严重,要求从设备的出厂发运开始就需要发挥其全面的安全性。本文将讨论实现更强大IoT设备安全性的步骤,并解释嵌入式安全性背后的不同概念,以及如何针对嵌入式设备安全性实施一致且包罗万象的方法。
  • Intel 11代酷睿1处理器正式发布:10 今晚,Intel发布的11带酷睿处理器采用10nm制程,面向高性能移动桌面版。同时发布的还有同样架构的至强W-11000系列,面向高性能移动工作站。
  • AMD RX 6600系列或配备8GB显存 MD的RX 6600系列可能配备的不是之前传闻的6或12GB显存,二是8GB。可能包含64MB的内置Infinity Cache。
  • 芯和半导体片上无源电磁场仿真套件 芯和半导体宣布,其片上无源电磁场(EM)仿真套件已成功通过三星晶圆厂的8纳米低功耗(8LPP)工艺技术认证。该套件包含了快速三维电磁场仿真器IRIS和快速自动PDK建模工具iModeler,此次认证能显著地提升IC设计公司在8LPP工艺上的设计交付速度。
  • 纳微半导体将通过与Live Oak II合 氮化镓功率芯片的行业领导者,纳微半导体(“公司”或“纳微”)近日宣布,其已签订一份最终协议,将与Live Oak Acquisition Corp. II(“Live Oak II”)合并。Live Oak II是一家公开交易的特殊目的收购公司。合并后的实体预估值为14亿美元。本次交易将使纳微成为一家以新的股票代码在美国的全国性证券交易所上市的公司。

  • 黎明曙光将至!曝荣耀市场份额极速恢复至7%:新旗舰蓄势待发 黎明曙光将至!曝荣耀市场份额极速恢复至7%:新旗舰蓄势待发“荣耀的目标不只有曾经的市场,更要成为世界前三的品牌”,这是前不久荣耀终端有限公司董事长万飚在接受媒体采访时所说。今日,据媒体报道, 
  • 天问一号成功着陆! 今天(5月15日)清晨,我国“天问一号”火星探测器着陆平台携带着祝融号火星车稳稳降落在首选落点——火星北半球的乌托邦平原(东经109.7度,北纬25.1度),标志着我国首次火星探测任务成功着陆。着陆过
  • 5年iPhone用户换小米11 Ultra:惊叹小米变化大 前不久,一位知友在知乎分享了小米11 Ultra体验心得。这位知友是5年的iPhone用户,表示从iPhone 6s到iPhone X,用了5年时间的iPhone,换回小米11 Ultra后感受到小米
  • A饭再等1年 AMD 5nm真正崛起:同时怼I/N两家 在收购ATI之后,AMD一直自诩为全球唯一能提供高性能CPU及GPU的厂商,而对手Intel、NVIDIA只是在CPU或者GPU上有优势。从2017年重返高性能CPU市场之后,AMD靠着锐龙/霄龙收复
  • 半导体精品公众号推荐!  中国半导体论坛 振兴国产半导体产业! 信息爆炸的时代更需要断舍离如何更加高效的获取高质量的信息在碎片化的时代里收获满满?2021年,半导体人只需关注5个公众号半导体技术天地ID:
  • 格芯获AMD16亿美元订单!  中国半导体论坛 振兴国产半导体产业!    5月14日消息,据国外媒体报道,当地时间周四,芯片制造商AMD表示,计划在2022年至2024年期间从美国半导体厂商格芯(G
  • 某公司呼吁比亚迪召回 点击上面↑“电动知家”可以订阅哦!电动知家消息,近日,深圳市合逸汽车服务有限公司在其微信公众号上发布一封公开信。呼吁比亚迪汽车工业有限公司应本着对社会大众安全负责的精神,宣布召回涉事车辆的同批次的所有
  • 中国100家IC设计公司排行榜 ASPENCORE在2021年中国IC领袖峰会上重磅发布“中国IC设计100家排行榜”,向中国半导体业界人士展示了100家最优秀的IC设计公司。将上榜的企业分为10个类别,从每个类别约30家公司中挑选
  • 干货 | 24张GIF图,让你秒懂非标自动化机构的原理 ▲ 了解更多精彩内容 点击上方蓝字关注我们1.组合加紧机构↓↓2.凸轮连杆组合输送薄板机构↓↓3.热合联动↓↓4.凸轮双摇杆机构单独运动↓↓5.步进输送机构↓↓6.输出构件作间歇运
  • 紧跟三星苹果 OPPO Q1成为全球第四大手机品牌:份额首超10% 近日,根据市场研究机构Strategy Analytics公布的最新数据报告显示,由于中国市场的巨大需求、苹果iPhone的强劲推动以及一批高性价比的安卓机型的推出,促使2021年第一季度全球5G智能
广告
热门推荐
广告
广告
广告
EE直播间
在线研讨会
广告
广告
广告
向右滑动:上一篇 向左滑动:下一篇 我知道了