在过去，当发生大规模入侵时，受影响的用户会收到密码更改通知，并且需要在接下来的12-18个月查看他们的银行账户变动。然而，Colonial遭到破坏导致了燃料管线服务范围内的燃料短缺，对整个国民经济生产活动造成具体的影响。

　　那么

　　为什么管道一开始就被关闭了呢？

　　当消息首次传出时，人们做了很多假设，认为勒索软件感染了物理管道系统——操作技术（OT）。现实情况是，Colonial主动关闭了他们的OT系统，以避免受到被入侵的内部系统影响。对Colonial来说，这可能是他们最好的选择，因为整个OT网络的感染可能会导致输油管道的停机时间大大延长，并造成更大规模的燃料短缺。

　　OT 基础设施与传统 IT 网络截然不同。 虽然已经大力推动现代化，但控制系统运行过时的操作系统的情况依然很常见。 Windows NT 和 XP 仍然大量存在于 OT 网络中。部分原因是系统可能已经使用了 20 年，并且由于 24/7 全天候运行的需求或更换成本过高而导致无法轻松升级。但控制系统无法再针对漏洞打补丁，而且通常无法使用现代化安全工具。因此，在Colonial的案例中，如果他们的管道系统受到影响，则需要进行大规模的重启和恢复操作。而对于一条从德克萨斯州延伸到新泽西州的管道，手动重启将需要付出巨大的代价。

　

　　整个OT网络的感染可能会导致管道的停机时间大大延长，并造成更大规模的燃料短缺，对于Colonial公司来说，关闭管道可能是他们最好的选择。

　　人们似乎把大量的注意力集中在了实际的关停和支付赎金问题上。然而，在Colonial公司走到这一步之前，有很多方面问题。到目前为止，围绕Colonial漏洞的细节还没有公布，但如果我们看一下DarkSide过去是如何运作的，就会发现存在多个漏洞导致勒索软件入侵。

　　首先，攻击者必须进入Colonial的网络。在以前DarkSide的攻击事件中，我们曾经发现攻击中通过一个脆弱的VPN集中器入侵网络，但这次入侵可能是通过一个容易猜到的密码或某人在公司的笔记本电脑上点击了一个恶意的链接所致。

　　一旦进入网络，攻击者就会在网络中设置多个着陆点，以防发现并修复初始入口点。以前，Darkside威胁参与者只需下载TeamViewer等合法工具，即可轻松远程访问内部系统。更有甚者，利用这个机会禁用备份软件或删除能找到的任何备份。

　　一种越来越流行的战术是 "双重勒索"，即攻击首先将数据（客户数据、金融信息、知识产权等）复制到一个由攻击者操作的远程位置，再加密原始数据，之后他们通过收取赎金来删除被盗数据，以及解锁被加密的原始数据。以前的一项取证调查显示攻击者下载了开源工具 "rclone"，将数据转移（并加密）到云存储服务中。

　　一旦组织的网络系统被渗透进来，攻击者就会部署一个工具来加密文件，并在醒目的位置加以解密说明，注明如何支付赎金和恢复数据。

　　从董事会到前台…

　　每个人都应该定期接受安全意识培训，

　　以协力预防常见的恶意行为。

　　建议

　　Advice

　　企业或组织可以采取一些措施来帮助抵御攻击（如DarkSide）。

　　IT和OT安全有很多不同，但不能将它们分开来看。IT和OT团队必须协同工作，形成一个完整的安全框架，该框架为每个环境使用正确的工具，并将安全信息汇总到一起。IT和OT团队之间的“冷淡”关系并不少见，因此引入一个公正的第三方可以帮助突破合作障碍。

　　安全必须成为企业文化的一部分。从董事会到前台的每个人都应该有定期的安全意识培训，以帮助防止常见的恶意行为，如容易被猜中的密码问题等。

　　Colonial公司似乎已经做出了正确的选择，选择关闭业务，以防止勒索软件从IT到OT的传播。如果使用适当工具，在被感染的IT网络中，提前介入并强制隔离恶意软件，避免其进一步传播，情况会大不相同，可能不需要关闭OT系统。

　　近年来，针对关键基础设施和OT资产的攻击不断增加。OT的现代化可以显着提高生产效率并节约成本，然而，增加的连通性也可能带来风险。通过适当的计划以及现代化安全工具的应用，可以实现OT的正常运行、安全性和可靠性。

　　NTT Ltd.以IT和OT完整的安全生命周期服务框架，以及针对业务视角、架构视角、设计视角不同层次组件的审视，结合客户当前现实环境，遵循企业的价值主张，为不同行业的客户提供IT和OT相关的咨询、评估、设计、实施、托管、优化等全方位安全服务。帮助企业客户从人员与流程、解决方案、成熟度量化的不同纬度提升整体安全能力，降低安全风险。