本文是其中的一部分TechXchange:网络安全
你将学习
- 为什么低级别的安全措施可能无法防范勒索软件。
- 勒索软件如何绕过防火墙。
- 你付了赎金后会发生什么。
如果你有一辆非电动汽车,那么你就会意识到汽油的成本已经上升了,因为关闭了殖民地的管道是由一个叫。的犯罪组织发动的勒索软件攻击引起的黑暗面.我们可能不知道出错的细节。然而,很容易猜到发生了什么。
占领一台PC是一回事,但是像殖民管道的攻击是不同的,不仅仅是因为它的规模。对于单个PC,攻击可能以损坏的文件或电子邮件的形式出现。也有可能通过网络软件中的漏洞远程攻击连接到互联网上的个人电脑。
对更大的网络(比如控制管道的网络)的攻击通常是从单个PC开始的,但攻击者随后会利用这个安全漏洞。PC上的勒索软件可能会立即通知用户。然而,攻击更大系统的攻击者可能会在安全雷达下潜伏很长一段时间,可能是几个月。这允许检查系统,并在任何安全性中创建额外的漏洞,以便攻击者可以返回——即使其中一个漏洞(包括原来的漏洞)关闭了。
一旦攻击者进入系统,那么问题就在于他们可能受到多大的限制,以及他们可能需要破坏哪些系统。管道的一个潜在攻击点是这种类型环境中常用的监视控制和数据采集(SCADA)控制。这些不应该通过互联网直接访问,但即使把它们放在防火墙后面是不够的,如果在同一局域网的其他计算机被入侵。
Ransomware是什么?
在个人电脑上,勒索软件通常是危及系统的单一应用程序。黑暗面的攻击可能已经开始使用类似的工具。尽管如此,在索要赎金之前还是有大量的互动探测和设置。为了使这种攻击有效,他们不得不对系统进行破坏,比如对无法通过备份获得的关键数据进行加密。典型的勒索软件在PC上的追索权是要么擦除PC并从备份中恢复,要么安装一个新的系统并丢失被勒索的数据。
强迫支付赎金的另一种方法是接管一个不能被替换或重置的关键硬件。这很难做到,但在某些情况下是可能的。它还需要更深入地了解整个系统,而加密数据只需要访问数据并知道什么是值得加密的。
一个大问题是,像管道这样的大多数基础设施系统并没有对其控制系统采取零信任的方法。零信任安全性假定任何通信都不应该被信任,除非它们首先经过身份验证。大多数物联网框架和服务已经采取了零信任方法,除了使用加密连接外,还需要一直进行身份验证。[SESB: STP80NF55]
国家网络安全状况
不幸的是,在我们国家的基础设施中,许多遗留系统并不是这样。增加新的、更安全的设备将有所帮助,加强防火墙是一个很好的进步,但美国的大部分基础设施都是私人拥有的。证券投资排在最后。Colonial Pipeline用加密货币支付的500万美元只是冰山一角。黑暗面表示他们有更多的人被他们的勒索软件攻击所牵连。
同样,支付赎金可能不会得到承诺的结果。殖民管道的恢复是通过备份恢复和在支付赎金后使用黑暗面提供的信息的组合。后者需要更多的时间来实现,因为恢复不是瞬间的。
不幸的是,我们的关键基础设施包括不止一个管道和保护——这个基础设施的大部分与殖民管道相当。许多人受到影响而做出改变,但我们不知道这些努力在防止此类袭击方面有多少人或有多大效力。
我们不太可能看到最后一次这样的袭击,也不太可能只有少数几个坏人。几十年来,关于安全漏洞的新闻几乎每天都在我们身边。现在的问题是,在暗网上出售名字和信息是否会比敲诈大公司的钱更有利可图。
