2021年5月8日美多家机构报道称，美国最大的输油管道公司之一，Colonial Pipeline遭受名为“DarkSide”攻击团伙勒索攻击之后被迫关闭，管道从德克萨斯州出发，沿东海岸向纽约输送精炼汽油和航空燃料，承载着美国东海岸45%的燃料供应，该公司七日晚间在一份声明中说为了控制泄露已经关闭8851公里长的输油管道。本事件造成美国原油飙涨4%，原油飙升1%，并对社会产生了很多不利因素。由于事态紧急白宫在当地时间9号宣布17州和华盛顿特区进入紧急状态！

　　一  勒索病毒攻击流程

　　1. 远程访问

　　根据DarkSide历来的攻击手段分析，此次攻击极有可能是收集了远程桌面软件的帐户登录详细信息，并以此为突破口建立初始访问权限，进行后续入侵。反观工业现场一些工程师为了方便运维，通过TeamViewer这类的远程连接工具进行远程操作，在一定程度上提升了远程账号泄漏的可能性。

　　2. 命令控制

　　在入侵的目标服务器上安装Tor客户端或者浏览器，并使用Tor进行RDP会话连接（RDP Over Tor），并且在远程控制方面会使用CobaltStrike进行后续操作。

　　3. 横向渗透

　　以最初的失陷主机为跳板，通过侦查工具收集信息，攻击者获得管理员凭证后进行横向渗透，进行DCSync攻击，攻击者假装是合法的域控制器，并利用目录复制服务复制AD信息，从而获得了整个域（包括KRBTGT HASH）的密码数据的访问权限。工业环境里面工控主机被作为跳板机进行渗透攻击的案例屡见不鲜，比如广为人知的“震网事件”。

　　4. 加密勒索

　　在建立命令控制后门（Cobalt  Strike）后，勒索软件会采取PowerShell脚本或者动态链接库DLL进行下发。其中涉及到的Payload会在域控制器的共享文件夹中进行暂时存储，并通过组策略调度任务指示主机获取并执行勒索软件。

　　二  勒索攻击矛头直指关键基础设施

　　关键信息基础设施是指面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统，且这些系统一旦发生网络安全事故，会影响重要行业正常运行，对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失。

　　关键基础设施的网络安全形势日趋严重，我国针对关键基础设施安全也陆续出台了多项办法和要求。其中网络安全法中指出，国家实行网络安全等级保护制度，对于关基行业在网络安全等级保护制度的基础上，实行重点保护。

　　关键基础设施相关政策：

　　2017年7月11日，《关键信息基础设施安全保护条例（征求意见稿）》-国家互联网信息办公室

　　2019年12月3日《信息安全技术关键信息基础设施网络安全保护基本要求》（报批稿）试点工作启动会-全国信息安全标准化技术委员会秘书处

　　2020年4月27日，《网络安全审查办法》-国家互联网信息办公室、发展改革委、工业和信息化部等十二部门

　　2020年9月3日，《信息安全技术关键信息基础设施网络安全保护基本要求》（报批稿）发布-全国信息安全标准化技术委员会秘书处

　　三  从攻击视角进行工业互联网内生安全建设

　　病毒入侵方式

　　1、通过移动存储介质入侵

　　2、通过办公网和生产网等边界入侵

　　3、通过工控机等为跳板在内部网络传播

　　工业互联网内生安全防御体系

　　奇安信创造性地提出安全产品的乐高化，将安全能力拆分成136个信息化组件，79类网络安全组件，29个安全域场景，将安全能力深入融合进客户的业务系统。在进工业互联网内生安全建设过程中，做到同步规划、同步建设、同步运营，为客户建设一套自适应自成长，针对IT与OT融合场景的纵深防御体系。

　　在工业互联网的架构下进行内生安全建设，笔者认为可以从以下几方面进行：

　　1、工业情景的安全建设需要打造全方位的白环境，采用白名单机制对工业现场进行边界防护以及终端防护；

　　2、防护策略的有效性以及日志的可追溯性需要更落地，工业安全设备需要支持工业点表信息，让用户真正看得懂日志和策略信息，实现面向业务的安全防护可视化；

　　3、工业设备需要与现场实际业务更具关联性，对现场的资产、漏洞、威胁进行一体化展示以及防护，对工业协议进行深度解析，对各业务点的访问关系进行细颗粒审计及管控；

　　4、提供单点登录以及安全态势感知的方案，对工控核心区域以及安全态势进行统一运维管理。