美國(guó)水務(wù)公司IT系統(tǒng)遭網(wǎng)絡(luò)攻擊計(jì)費(fèi)系統(tǒng)暫停����,OT系統(tǒng)未受影響
【編者按】當(dāng)?shù)貢r(shí)間2024年10月7日��,美國(guó)水務(wù)公司披露了一起網(wǎng)絡(luò)攻擊事件�。這家總部位于新澤西州的美國(guó)水務(wù)公司擁有超過6,500名員工,為24個(gè)州和18個(gè)軍事基地的1400多萬人提供供水服務(wù)����。據(jù)報(bào)道,10月3日該公司發(fā)現(xiàn)其系統(tǒng)受到了網(wǎng)絡(luò)攻擊���,導(dǎo)致計(jì)費(fèi)服務(wù)中斷�,但未對(duì)供水和污水處理設(shè)施產(chǎn)生影響。公司指出其供水安全不會(huì)受到威脅�����,目前沒有勒索軟件組織聲稱對(duì)此次攻擊負(fù)責(zé)�。美國(guó)水務(wù)公司表示,已經(jīng)切斷了部分系統(tǒng)并暫停了客戶門戶MyWater的服務(wù)���,同時(shí)承諾在此期間不會(huì)向客戶收取滯納金。該公司還聯(lián)系了執(zhí)法部門�����,并啟動(dòng)了第三方網(wǎng)絡(luò)安全專家的調(diào)查��,目前調(diào)查仍在進(jìn)行中����。近年來,針對(duì)美國(guó)供水設(shè)施的網(wǎng)絡(luò)攻擊頻發(fā)�����,政府對(duì)此表示擔(dān)憂��。白宮和美國(guó)環(huán)保署已多次警告該行業(yè)的脆弱性,促使各方加強(qiáng)應(yīng)對(duì)措施����。雖然此次事件未影響供水運(yùn)營(yíng),但該公司表示無法預(yù)測(cè)攻擊的全部影響���,未來將根據(jù)調(diào)查結(jié)果采取進(jìn)一步措施�����。
事件概況
美國(guó)水務(wù)公司表示���,此次攻擊事件發(fā)生在10月3日,當(dāng)時(shí)他們“發(fā)現(xiàn)其計(jì)算機(jī)網(wǎng)絡(luò)和系統(tǒng)內(nèi)存在未經(jīng)授權(quán)的活動(dòng)���,公司確定這是網(wǎng)絡(luò)安全事件的結(jié)果�����。獲悉此活動(dòng)后����,公司立即啟動(dòng)了事件響應(yīng)協(xié)議�,并聘請(qǐng)第三方網(wǎng)絡(luò)安全專家協(xié)助遏制和緩解活動(dòng)�,并調(diào)查事件的性質(zhì)和范圍����。公司還及時(shí)通知了執(zhí)法部門,并正在與他們充分協(xié)調(diào)�。”
美國(guó)水務(wù)公司表示,“目前無法預(yù)測(cè)此次事件的全部影響”�����,但“相信其供水或廢水處理設(shè)施或運(yùn)營(yíng)均未受到此次事件的負(fù)面影響”�����。
IT團(tuán)隊(duì)繼續(xù)采取行動(dòng)保護(hù)系統(tǒng)和數(shù)據(jù)����,“包括斷開或停用某些系統(tǒng)”��。
美國(guó)水務(wù)公司在提交給美國(guó)證券交易委員會(huì)(SEC)的文件中表示�,該公司已聘請(qǐng)第三方網(wǎng)絡(luò)安全專家?guī)椭刂坪驮u(píng)估該事件的影響。該公司還向執(zhí)法部門報(bào)告了這一違規(guī)行為��,目前正在協(xié)調(diào)執(zhí)法部門的聯(lián)合調(diào)查工作�。
8-K監(jiān)管文件指出:“公司已經(jīng)采取并將繼續(xù)采取措施保護(hù)其系統(tǒng)和數(shù)據(jù)��,包括斷開或停用某些系統(tǒng)�。”
雖然該公司沒有具體說明攻擊的性質(zhì)����,但網(wǎng)絡(luò)安全分析師立即猜測(cè)該事件很可能是一次勒索軟件攻擊。
如果供水系統(tǒng)不受網(wǎng)絡(luò)攻擊的影響�,該公司可能已經(jīng)實(shí)施了一項(xiàng)關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全最佳實(shí)踐:通過網(wǎng)絡(luò)分段和其他方法分離IT和OT系統(tǒng)。
美國(guó)水務(wù)公司為14個(gè)州的1700個(gè)社區(qū)提供服務(wù)����,主要分布在美國(guó)中部和東部,此外還有加利福尼亞州和夏威夷州�。該公司在愛荷華州、密蘇里州����、伊利諾伊州、印第安納州�、肯塔基州、田納西州���、喬治亞州�、西弗吉尼亞州、弗吉尼亞州����、賓夕法尼亞州、馬里蘭州和新澤西州等州開展業(yè)務(wù)�。
公司表態(tài)
美國(guó)水務(wù)公司在其網(wǎng)站的另一份聲明中表示,此次攻擊還迫使其關(guān)閉在線客戶門戶服務(wù) MyWater�����,并暫停計(jì)費(fèi)服務(wù)���。
然而���,公司發(fā)言人Ruben Rodriguez告訴BleepingComputer,“在這些系統(tǒng)不可用期間��,不會(huì)向客戶收取滯納金”�����。
Rodriguez補(bǔ)充道:“我們專業(yè)的團(tuán)隊(duì)正晝夜不停地調(diào)查事件的性質(zhì)和范圍�。目前�,公司認(rèn)為,其供水或廢水設(shè)施或運(yùn)營(yíng)均未受到此次事件的負(fù)面影響����。”
該公司沒有透露此次黑客攻擊的技術(shù)細(xì)節(jié)�,但其公開披露的措辭表明美國(guó)水務(wù)公司已成為勒索軟件攻擊的受害者��。
美國(guó)水務(wù)公司在其2023年年度報(bào)告中寫道�,該公司的資本投資總額為27億美元,有望在2024年實(shí)現(xiàn)31億美元的投資�。年度報(bào)告還專門介紹了該公司的網(wǎng)絡(luò)安全工作,強(qiáng)調(diào)了采用美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所網(wǎng)絡(luò)安全框架的“縱深防御”戰(zhàn)略�����。報(bào)告稱���,公司根據(jù)威脅趨勢(shì)��、計(jì)劃成熟度����、評(píng)估結(jié)果和第三方安全顧問的建議�,定期審查和修改其網(wǎng)絡(luò)安全戰(zhàn)略的實(shí)施情況。
水務(wù)行業(yè)已成為“軟柿子”
近年來�����,針對(duì)供水設(shè)施的網(wǎng)絡(luò)攻擊不斷增加,專家認(rèn)為水務(wù)部門存在漏洞���。白宮花了數(shù)月時(shí)間警告美國(guó) 170,000多個(gè)供水系統(tǒng)的漏洞��,包括在2024年3月份向各州州長(zhǎng)發(fā)送了一封信��。
與此同時(shí)����,美國(guó)環(huán)境保護(hù)署因該行業(yè)的脆弱性而受到嚴(yán)厲批評(píng)��,因?yàn)樵撔袠I(yè)面臨著針對(duì)水利設(shè)施的大量黑客攻擊�。與此同時(shí),該行業(yè)在網(wǎng)絡(luò)安全方面仍然在很大程度上是自愿的�����,批評(píng)人士稱這取決于國(guó)會(huì)對(duì)環(huán)境保護(hù)署權(quán)力的改革���。政府問責(zé)局最近在2024年8月還指出,環(huán)境保護(hù)署尚未確定或優(yōu)先考慮該行業(yè)的最大風(fēng)險(xiǎn)����。
此次事件是兩周前堪薩斯州發(fā)生類似襲擊事件之后發(fā)生的�����。
Cyble的研究人員最近向客戶發(fā)出警告�,稱水務(wù)公司面臨的網(wǎng)絡(luò)威脅日益嚴(yán)重�����,這些威脅來自與俄羅斯有關(guān)的人民網(wǎng)絡(luò)軍等黑客組織����,以及大量暴露在互聯(lián)網(wǎng)上的SCADAView CSX監(jiān)控和控制系統(tǒng)。
Cyble研究人員寫道:“考慮到美國(guó)各地暴露在互聯(lián)網(wǎng)上的水務(wù)設(shè)施資產(chǎn)數(shù)量不斷增加�����、過時(shí)系統(tǒng)的持續(xù)使用以及此類關(guān)鍵設(shè)施的安全協(xié)議不足�,迫切需要實(shí)施強(qiáng)有力的安全措施。”“環(huán)境保護(hù)署(EPA)也表達(dá)了同樣的擔(dān)憂��,并指出��,接受檢查的水務(wù)設(shè)施中有70%不符合基本的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)�����。”
Cyble的報(bào)告總結(jié)道:“水務(wù)公司的這些弱點(diǎn)不僅會(huì)造成運(yùn)營(yíng)中斷的威脅,還會(huì)污染飲用水供應(yīng)�����,對(duì)公眾健康構(gòu)成重大風(fēng)險(xiǎn)��。”
Cyble報(bào)告還列出了一些加強(qiáng)水務(wù)公用事業(yè)安全的建議��,包括網(wǎng)絡(luò)分段和強(qiáng)化用于監(jiān)控和控制中央遙測(cè)單元(CTU)的人機(jī)界面(HMI)���。
警示及建議
該事件目前看雖然未影響到OT系統(tǒng)���,但這種幸運(yùn)不會(huì)持續(xù)發(fā)生。類似這種國(guó)計(jì)民生的系統(tǒng)一旦發(fā)生運(yùn)營(yíng)中斷����,其經(jīng)濟(jì)影響、社會(huì)影響將難以估量���。關(guān)基運(yùn)營(yíng)者應(yīng)引以為戒�,警鐘常鳴���。為此�����,對(duì)OT網(wǎng)絡(luò)的基本安全控制措施仍然非常必要���。
強(qiáng)化資產(chǎn)可見性:使用自動(dòng)化資產(chǎn)發(fā)現(xiàn)工具監(jiān)控所有連接設(shè)備并維護(hù)最新的硬件和軟件清單。網(wǎng)絡(luò)流量分析有助于檢測(cè)異常����,而被動(dòng)掃描可避免中斷操作。
落實(shí)網(wǎng)絡(luò)隔離:使用防火墻和DMZ隔離IT和OT網(wǎng)絡(luò)�����,以限制暴露����。使用VLAN隔離關(guān)鍵系統(tǒng)并應(yīng)用嚴(yán)格的訪問控制,以最大限度地減少網(wǎng)絡(luò)段之間不必要的通信����。
禁用默認(rèn)口令并使用MFA:用強(qiáng)大、獨(dú)特的口令替換默認(rèn)憑據(jù)����,并強(qiáng)制定期更改口令����。對(duì)所有帳戶(尤其是具有特權(quán)訪問權(quán)限的帳戶)實(shí)施MFA�,并刪除未使用的帳戶以減少攻擊面。
強(qiáng)化遠(yuǎn)程訪問:使用VPN加密數(shù)據(jù)����,確保對(duì)HMI進(jìn)行安全遠(yuǎn)程訪問,并要求使用多重身份驗(yàn)證(MFA)進(jìn)行用戶驗(yàn)證�。通過白名單IP地址和地理圍欄限制訪問,并定期審核日志以檢測(cè)未經(jīng)授權(quán)的活動(dòng)���。
持續(xù)安全監(jiān)測(cè):定期進(jìn)行漏洞評(píng)估和滲透測(cè)試以發(fā)現(xiàn)弱點(diǎn)�。使用SIEM工具和入侵檢測(cè)系統(tǒng)(IDS)進(jìn)行持續(xù)監(jiān)控��,并在關(guān)鍵資產(chǎn)上部署端點(diǎn)保護(hù)��。確保及時(shí)更新軟件和固件���。
事件響應(yīng)計(jì)劃:制定并完善事件響應(yīng)計(jì)劃�����,定義網(wǎng)絡(luò)事件的角色和行動(dòng)�����。包括遏制��、根除和恢復(fù)的步驟��,同時(shí)確保內(nèi)部利益相關(guān)者和外部各方的溝通協(xié)議清晰�。
加強(qiáng)員工培訓(xùn)和意識(shí)教育:為所有員工(尤其是有權(quán)訪問OT系統(tǒng)的員工)開展持續(xù)的網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃��。這包括教育員工識(shí)別網(wǎng)絡(luò)釣魚企圖���、正確使用身份驗(yàn)證機(jī)制以及遵守安全協(xié)議以防止意外安全漏洞的重要性�。
參考資源
1�、https://thecyberexpress.com/american-water-works-cyberattack/
2、https://www.bleepingcomputer.com/news/security/american-water-shuts-down-online-services-after-cyberattack/
3��、https://www.amwater.com/corp/security-faq
4���、https://cyble.com/blog/deluge-of-threats-to-water-utilities-plugging-the-leaks-in-operational-technology-security/
5����、https://cyberscoop.com/american-water-works-cyber-ransomware/
來源:網(wǎng)空閑話plus
在線咨詢
在線咨詢
0371-63319761
