白宫发布的一份关于来自伊朗和中国的威胁组织针对美国供水和废水处理系统的新公告再次将人们的注意力集中在该行业持续遭受破坏性网络攻击的脆弱性上。
该警告由美国环保局局长迈克尔·里根和拜登总统的国家安全顾问杰克·沙利文联合签署,呼吁水和水处理设施的运营商紧急审查其网络安全实践。它主张利益相关者需要在需要时部署网络风险缓解控制措施,并实施计划来准备攻击、响应攻击并从中恢复。
呼吁采取行动
白宫警告称:“在许多情况下,即使是基本的网络安全预防措施——例如重置默认密码或更新软件以解决已知漏洞——也没有到位,这可能意味着一切照旧和破坏性网络攻击之间的区别。”
该备忘录源于对去年 11 月发生的袭击事件的担忧 宾夕法尼亚州阿利基帕市政水务局 由伊朗国家资助的名为 CyberAv3ngers 的组织发起。在那次袭击中, 威胁行为者获得了控制权并被关闭 Unitronics 可编程逻辑控制器 (PLC),用于监测和调节两个乡镇的水压。尽管这次袭击最终没有对两个社区的饮用水和供水造成任何风险,但它还是对对手针对供水系统可能造成潜在损害的警告。
本周的白宫备忘录警告称,此类攻击对全国各地的供水和废水处理系统构成持续威胁。它将这些攻击具体归咎于与伊朗政府伊斯兰革命卫队 (IRGC) 相关的网络威胁行为者以及中国支持的威胁行为者 Volt Typhoon,该行为者最近与美国关键基础设施遭受的多次攻击有关。
里根和沙利文描述了伊朗威胁行为者发起的攻击,其目的是破坏和降低美国供水设施的关键操作技术(OT)。他们将伏特台风的袭击描述为更多地试图为未来的破坏活动做好准备,以应对中美之间任何潜在的军事冲突或日益加剧的地缘政治紧张局势。
美国网络安全和基础设施局 (CISA)、FBI、NSA 以及安全供应商和研究人员最近针对针对关键基础设施目标的 Volt Typhoon 攻击发出了一系列警告。这些警告包括有关威胁行为者袭击的警告 多家美国电力公司,利用 易受攻击的思科路由器 建立其攻击网络,以及 预先定位自己 未来可能对美国关键基础设施造成严重破坏的攻击。
一个有吸引力的目标
白宫在本周的备忘录中表示:“饮用水和废水系统是网络攻击的一个有吸引力的目标,因为它们是生命线关键基础设施部门,但往往缺乏采取严格网络安全做法的资源和技术能力。”
Swimlane 首席安全自动化架构师 Nick Tausek 表示,与发电等行业相比,从网络安全角度来看,水基础设施受到的关注要少得多。 “不难想象,在未来的冲突中,一个民族国家行为者会利用这个历史上容易实现的目标,同时降低该国多个地区的水安全,”他说。此类攻击可能“削弱对机构的信任,伤害民众,并耗尽资源来应对水危机。”
Bugcrowd 创始人兼首席战略官 Casey Ellis 表示,水利基础设施中的许多系统(就像 OT 和 ICS 环境中的其他系统一样)都依赖于旧的软件和操作系统,而这些系统中通常存在已知的漏洞。 “对于这些类型的系统,传统的‘应用补丁、实施 MFA、使用强密码’指导不一定有效,因为它们已经存在了,”他说。埃利斯说,总的来说,运营商应该确保控制系统与企业系统和互联网的适当分割,并且应该与中间件提供商交谈以获得特定于产品的指导。
埃利斯与其他安全专家一样,指出了一个特定事件作为威胁行为者对供水系统感兴趣的原因:据报道,2021 年佛罗里达州奥德马尔的一家水处理设施遭到攻击,据称导致 碱液液位上升 举个例子,在被发现之前就已经达到了有毒水平。 “在 Oldsmar 攻击中,[攻击者] 需要的只是 TeamViewer 帐户的网络钓鱼用户名和密码。我亲自在开放的互联网上看到过这些类型的系统,”埃利斯解释道。
防御措施
2023 年农村水系统网络安全法案的部分目的是防止此类攻击 拨款 7.5 万美元用于资助安全 农村供水系统是最容易受到破坏性攻击的系统之一。这笔资金将用于资助未来几年的“巡回骑手计划”,网络安全专家将前往小型农村供水设施,帮助他们实施更强大的网络安全。
Critical Start 的 CIRT 经理查德·格雷厄姆 (Chad Graham) 表示,在许多情况下,运营商本身已经开始实施变革。 “供水和废水处理系统正在采用的一种有前途的方法是将其信息技术 (IT) 和运营技术 (OT) 环境明确分开,”他说。该方法对于遏制环境损害至关重要,因为成功的攻击可能会中断安全饮用水的供应或损害废水处理过程。 “这些基本服务的中断可能会导致直接的公共卫生危机和长期的环境破坏。”
- :具有
- :是
- :不是
- :在哪里
- $UP
- 2021
- 2023
- 7
- a
- 关于
- 账号管理
- 法案
- 操作
- 活动
- 演员
- 地址
- 采用
- 采用
- 顾问
- advisory
- 倡导者
- 再次
- 驳
- 年龄
- 机构
- 所有类型
- 其中
- an
- 和
- 和基础设施
- 任何
- 使用
- 的途径
- 保健
- 地区
- 围绕
- AS
- 相关
- At
- 攻击
- 攻击者
- 攻击
- 尝试
- 关注我们
- 吸引力
- 权威
- 自动化和干细胞工程
- 远离
- 基本包
- BE
- 因为
- before
- 开始
- 作为
- 之间
- 拜登
- 建立
- 商业
- 但是
- by
- 呼叫
- 被称为
- 呼叫
- CAN
- 容量
- 例
- 原因
- 更改
- 特征
- 首席
- 中国
- 思科
- 地区
- 相比
- 关注
- 冲突
- 继续
- 控制
- 调节器
- 控制
- 公司
- 兵团
- 可以
- 国家
- 残废
- 危机
- 危机
- 危急
- 关键基础设施
- 网络
- 网络攻击
- 网络攻击
- 网络安全
- 损伤
- 处理
- 默认
- 国防
- 部署
- 描述
- 设计
- 检测
- 差异
- 破坏
- 瓦解
- 破坏性
- 明显地
- 不会
- 两
- ,我们将参加
- 易
- 电动
- 别处
- 截至
- 保证
- 环境
- 环境的
- 环境中
- 环保局
- 必要
- 基本服务
- 甚至
- 例子
- 专家
- 介绍
- 利用
- 设备
- 诊所
- 联邦调查局
- 联邦调查局
- 佛罗里达
- 慌张
- 重点
- 针对
- 创办人
- 止
- 基金
- 资金
- 未来
- 获得
- 其他咨询
- 代
- 地缘政治
- 得到
- 政府
- 格雷厄姆
- 团队
- 组的
- 守卫
- 指导
- 硬
- 伤害
- 有
- he
- 健康管理
- 帮助
- 历史
- 打
- 别墅
- HTTPS
- i
- 想像
- 即时
- 实施
- 实施
- in
- 事件
- 包括
- 信息
- 信息技术
- 基础设施
- 机构
- 兴趣
- 网络
- 涉及
- 伊朗
- 伊朗的
- 伊斯兰
- 发行
- IT
- 它的
- JPG
- 已知
- 缺乏
- 名:
- 铅
- 减
- Level
- 各级
- 喜欢
- 逻辑
- 长期
- 经理
- 许多
- 意味着
- 措施
- 备忘录
- 外交部
- Michael (中国)
- 军工
- 百万
- 减轻
- 钱
- 监控
- 更多
- 最先进的
- 许多
- 多
- National
- 国家安全
- 一定
- 需求
- 打印车票
- 网络
- 全新
- 下页
- 十一月
- 国家安全局
- 众多
- of
- 官
- 经常
- 老
- on
- 一旦
- 一
- 正在进行
- 打开
- 操作
- 操作系统
- 操作
- 运营商
- or
- ot
- 其他名称
- 超过
- 部分
- 密码
- 密码
- 补丁
- 亲自
- 地方
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- PLC的
- 点
- 位置
- 潜力
- 可能
- 功率
- 做法
- Prepare
- 总统
- 比登总统
- 压力
- 防止
- 过程
- 曲目
- 可编程
- 有希望
- 正确
- 供应商
- 国家
- 公众健康
- 原因
- 接收
- 最近
- 最近
- 恢复
- 调节
- 依靠
- 报道
- 必须
- 研究人员
- 资源
- 回应
- 响应
- 检讨
- 革命的
- 严格
- 上升
- 风险
- 乡村
- s
- 安全
- 实现安全
- 说
- 说
- 扇形
- 行业
- 保安
- 看到
- 分割
- 分离
- 已服务
- 特色服务
- 几个
- 应该
- 关闭
- 签
- 同时
- 坐在
- 小
- 软件
- 发言
- 具体的
- 特别是
- 利益相关者
- 立场
- 开始
- 茎
- 策略
- 强烈
- 强
- 成功
- 这样
- 沙利文
- 供应
- 产品
- 目标
- 瞄准
- 目标
- 文案
- 专业技术
- 紧张局势
- 这
- 其
- 他们
- 他们自己
- 博曼
- 他们
- Free Introduction
- 本星期
- 虽然?
- 威胁
- 威胁者
- 绑
- 至
- 传统
- 旅行
- 治疗
- 信任
- 二
- 类型
- 更新
- us
- 使用
- 运用
- 通常
- Ve
- 厂商
- 伏
- 漏洞
- 漏洞
- 脆弱
- 警告
- 警告
- 是
- 水
- 周
- 井
- 什么是
- 什么是
- 白色
- 白宫
- 将
- 中
- 工作
- 年
- 和风网