美国一家关键燃料管道运营商近日宣布,其遭受了勒索软件攻击。这是一种网络攻击,黑客会将重要数据加密,使其所有者无法访问,除非所有者向犯罪分子支付赎金以解锁信息。殖民管道公司是一家私营公司,负责运输美国东海岸近一半的汽油和其他燃料。该公司不得不关闭其5500英里的燃料管道。联邦调查局指责一个名为“黑暗面”的犯罪团伙发动了这次袭击。
与用于绑架个人电脑文件、锁定大学网络或敲诈勒索医院的勒索软件不同,针对殖民管道公司燃料管道等主要基础设施的攻击可能会对整个国家地区产生巨大影响。“黑暗面”的勒索软件“对东海岸的燃料供应造成了相当严重的破坏,并引发了[乔·拜登总统]政府的一些政策干预和反应,试图使燃料运输更容易,并减轻其影响,”塔夫茨大学网络安全政策助理教授约瑟芬·沃尔夫说。大众科学与沃尔夫谈论了勒索软件构成的威胁、美国关键基础设施的真实脆弱性,以及可以采取哪些措施来保护它。
[以下是采访的编辑稿。]
关于支持科学新闻
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道: 订阅。通过购买订阅,您将有助于确保关于塑造我们当今世界的发现和想法的具有影响力的故事的未来。
勒索软件攻击是否变得越来越频繁?
很难确定真正好的数字,因为[有]很多勒索软件攻击我们没有公开听说。大多数时候,没有报告要求。但我们听说的那些显然不仅变得更加频繁,而且影响也更加重大。如果我们回顾几年前,我们有亚特兰大市、巴尔的摩市,以及许多针对公共政府的攻击,这些攻击都使用了勒索软件。最近,人们更加关注针对医院和医疗保健提供商的攻击。而在幕后,尽管我们看到的例子较少,但一直存在着像这次这样的攻击威胁:针对关键基础设施,这将严重扰乱运营和日常生活。
除了管道,还有哪些类型的基础设施面临风险?
人们通常使用的例子是电网。如果有人能够阻止在全国某些地区供电,会发生什么?殖民管道公司的关闭虽然不完全是那样,但符合“如果我们失去对电力基础设施的控制,我们该怎么办?”的噩梦情景。但这在许多关键基础设施部门都是如此。如果银行基础设施的大部分被关闭或无法访问,会发生什么?如果一个主要城市的地铁系统被破坏,无法安排火车或运营交通,会发生什么?到目前为止,大多数情况下,我们只是在想象这些情景。已经有一些电力部门成为攻击目标的高调例子,但这仍然是一个相当罕见的事件——因此,非常引人注目。
这些系统是否得到了充分的保护?
一般的答案可能是,我们能源部门的任何东西都没有得到充分的保护。这是一个拥有大量遗留系统和复杂基础设施的部门,而且它必须始终保持运行。因此,很难说,“我们将花费一周、一个月或一年时间,彻底改造一切并更新所有系统。”
这些潜在目标如何更好地保护自己?
首先,他们应该真正努力锁定他们的外围防御——也就是说,他们用来尝试防止恶意软件首先传递到他们计算机的所有安全控制。这可能包括双因素身份验证、外部邮件的电子邮件警告,以及筛选插入系统的新的USB驱动器或其他设备。我认为应该有很多控制措施(尤其是在目前许多人都在家工作的时候)围绕远程访问——从办公室外部连接到您系统的计算机。
一个大的[防御]是我们所说的网络分段:确保如果公司基础设施的一部分被破坏和攻击,那么将恶意软件传播到更大的网络非常非常困难。关于这个故事,一个非常引人注目的事情是,殖民管道公司已经关闭了超过5000英里的管道。对我来说,这表明要么是其系统的很大一部分已被破坏,要么是[该公司]担心它很容易被破坏。理想情况下,您不希望一个初始的破坏产生如此大的影响。
另一个方面是考虑如何快速恢复系统运行,因为当您处理关键基础设施时,您没有太多时间让一切都离线。需要进行大量的快速决策。有很多理由说明应该尝试进行一些测试演习,并确保针对这种情况制定一个非常明确的计划。我也认为这是阻止勒索的一部分——让人们感觉“我们为此进行了培训;我们知道该怎么做”,而不是“我们从未见过这样的事情。我想我们必须付款。”
除了个别系统,政府应该做些什么来提供帮助?
我希望看到更强有力的禁止支付大多数赎金的措施。这是我的观点;这不是每个人的观点。但美国政府可以单方面做些什么呢?从长远来看,努力使这成为一项利润较低的活动是我们可能尝试实施的最有效措施之一。[打击]如何轻易地支付这些赎金,如何轻易地被保险公司承保,我认为,可能会在这些罪犯能够赚多少钱方面产生重大影响——从而影响有多少人进入这个行业并将其作为一种盈利方式。
我们对这些罪犯了解多少?勒索软件行业究竟有多赚钱?
我们知道它是有利可图的,因为我们知道人们会继续这样做,而这实际上是我们拥有的最强烈的迹象,表明人们正在继续赚钱。但他们究竟赚了多少钱很难有意义地估计。殖民管道公司勒索软件被归咎于一个犯罪组织,该组织非常关注勒索软件即服务——向客户提供勒索软件工具和代码,以指导他们自己的攻击。这很重要,因为这个组织“黑暗面”正在建立这项业务,不仅是为了攻击公司,也是为了让其他罪犯更容易得手。这——同样,在没有硬数据的情况下——在一定程度上说明了这个问题有多大。
如果受害者被要求报告勒索软件攻击,我们会不会有更多硬数据?
拥有报告要求至少将帮助我们更好地掌握问题的规模和范围。当我们做出诸如“勒索软件正在上升”或“2021年是勒索软件最糟糕的一年”之类的声明时,我们实际上将拥有一些更硬的数据来支持这些概括。但我也认为,这将使我们更深入地了解:罪犯的利润率是多少?是谁在向他们付款?支付了多少钱?我们如何使勒索软件成为一项利润较低的活动?