发生在2月5日对美国佛罗里达州小城奥兹马(Oldsmar)的供水系统的网络攻击，成为本周网络安全的新闻头条，网络安全圈热议，美国政府机构极度紧张，加之SolarWinds事件的极度不确定性影响，使得这起水务行业的网络安全事件变得非同寻常。网络安全，特别是SolarWinds事件的响应，是拜登新政府的头等大事之一，白宫近日明确了负责网络和应急技术的副国家安全顾问安妮·纽伯格(Anne Neuberger)负责领导SolarWinds黑客攻击的调查和响应。水厂网络攻击事件也会成为议员们攻击新政府反应迟钝的筹码。

  工业网络安全行业关注点集中在以下几个方面：一是黑客成功地远程访问水厂的SCADA系统，并试图将氢氧化钠的含量提高到足以使公众面临中毒风险的程度。这是由互联网发起的拟造成物理空间难以处理的后果的企图。二是与动辄就是APT，高级、复杂、精巧的攻击相比，本次的攻击者并没用什么高级先进的TTPs，就是一组TeamViewer的登录凭据。攻击者通过TeamViewer入侵了工厂，员工们一直在使用TeamViewer远程监控系统，并对与水处理过程相关的问题做出处理。该工厂的电脑运行的是Windows 7，所有设备都使用相同的口令进行远程访问。电脑能够最终靠互联网远程访问，而且没有防火墙保护，这使得黑客更容易访问电脑。三是幕后黑手是谁，目前还没有归因。但在众议院国土安全听证会上报道了前CISA局长克里斯·克雷布斯(Chris Krebs)的证词，克雷布斯暗示可能是一位心怀不满的内部人士。“佛罗里达的黑客‘很可能’是‘一名心怀不满的员工’。’也有可能是外国威胁行为体，不能草率地下结论。（这里暗指中、俄、伊、朝均有可能。）四是此次攻击未遂是因为一位负责任的员工，他及时发现了鼠标在屏幕上移动。这种异常检测与发现与操作员的责任心强关联，实属侥幸！

  所幸攻击未遂。安全行业普遍认为，关键基础设施的网络安全问题和风险正在由数字空间逼近物理空间，处于爆发的前夜！

  2021年2月5日，不明身份的网络威胁行为者未经授权访问了美国一家饮用水处理厂的监督控制和数据采集(SCADA)系统。这些身份不明的行为者操作SCADA系统的软件以增加水处理过程中氢氧化钠(碱液)的含量。氢氧化钠是一种腐蚀性化学物质。水处理厂的工作人员立即注意到剂量的变化，并在SCADA系统的软件检测到操纵并因未经授权的变化而报警之前纠正了问题。最终，水处理过程没有受到影响，并继续正常运行。网络行为者可能是利用网络安全漏洞(包括糟糕的口令安全性和过时的操作系统)进入该系统的。早期信息表明，桌面共享软件(如TeamViewer)可能被用于获得对系统的未经授权访问。现场反应包括皮内拉斯县警长办公室(PCSO)、美国特勤局(USSS)和联邦调查局(FBI)。

  联邦调查局,网络安全和基础设施安全机构(CISA),美国环境保护署(EPA),和多州信息共享和分析中心(MS-ISAC)网络罪犯的目标和利用桌面共享软件和计算机网络运行的操作系统与终端的运行状态获得未授权访问系统。桌面共享软件有多种合法用途——例如远程工作、远程技术支持和文件传输——也可以通过恶意参与者使用社会工程策略和其他非法措施加以利用。由于缺乏安全更新和新漏洞的发现，Windows 7将变得更容易被利用。微软和其他行业专业人士强烈建议将计算机系统升级到积极支持的操作系统。在企业生命结束后继续使用任何操作系统可能会使网络犯罪分子进入计算机系统。

  对Oldsmar水处理系统网络破坏的调查仍在继续。目前还没有具体的归因，而且这种入侵看起来比以往任何时候都更基本不具有太多的复杂性。CNN援引皮内拉斯县警长的话说，攻击者是通过TeamViewer进入的。该工具已经有六个月没有使用了，但该软件留在了网络上。正如所指出的，显然每个员工都共享相同的TeamViewer登录口令。

  网络安全业内专业人士已经就该事件纷纷发表评论，包括可能的后果影响和组织应该采取的措施，以防止此类事件的发生。

  Lee警告称，不要过早地猜测这一问题的来源，也不要认为这样的挑战可以用任何单一、简单的解决方案来解决。这是一个有许多相互依赖的方面的系统性问题。“招聘、人力发展、文化转变、在国家优先事项和法规、州和地方法规下工作、为组织面临挑战的其他领域提供资源、在“网络”之外实现基础设施现代化等。”技术问题并不是一个简单的答案。”

  举例来说，一想到在这种情况下，供水的安全取决于一个旁观者偶然注意到他的屏幕上有一些不寻常的东西，这就令人不安。Dragos发布了一组其他实用程序可能需要考虑的考虑事项和建议。

  “自去年以来，Mandiant威胁情报部门观察到，低技术水平的参与者试图访问和了解远程可访问的工业系统，从而导致网络案例事件有所增加。许多受害者似乎是被任意选择的，如小型关键基础设施资产所有者和服务于有限人群的运营商。通过与这些系统的远程交互，威胁行为者参与了有限影响的操作，通常包括操纵物理过程中的变量。考虑到工业过程通常是由专业工程师设计和监控的，并结合安全机制来防止意外更改，这些案例都没有造成人员或基础设施的损害。我们相信，工业控制系统中低复杂度行为者的兴趣增加是工具和资源增加的结果，这些工具和资源允许恶意行为者学习并与这些系统进行交互。

  虽然这起事故看起来并不特别复杂，但它凸显了加强整个水和废水行业的网络安全能力的必要性，类似于其他关键基础设施部门。”

  “(Stuxnet、Triton、industryyer和2015年乌克兰电网攻击强调了)对手成功的一个关键障碍：能够规避、影响或完全拒绝运营商对ICS环境的可见性和控制。在这四个例子中，攻击都需要某种机制来躲避操作人员，或者降低他们纠正或减轻操作参数变化的能力。

  在Oldsmar水处理厂安全事件中，入侵者未能根据目前可用的信息尝试任何此类行动。如果未知的实体欺骗或以其他方式干扰HMI显示参数或传感器数据，值班操作员就不太可能注意到事故发生时，导致攻击转移到工程和过程控制，以缓解或检测潜在的威胁。入侵者不仅不能限制或操作环境中的过程视图，他们还在工作日的主要工作时间执行这种操作，几乎确保了这样的活动将被迅速注意到(并阻止)。

  基于这些观察和考虑到过去的ICS事件，我们因此可以根据现有的证据做出合理自信的声明，这不是一个特别复杂或精明的“攻击”。如多个来源所述，入侵者似乎只是利用薄弱的安全、可访问的远程访问机制连接到工厂设备控制，然后是有意或无意地操纵环境。这种企图的发生确实令人担忧，但鉴于事件的时间和执行情况，绝对确定的证据表明，该事件产生重大损害或伤害的可能性很小。”

  “对于任何被抓的人来说，这将是一个非常有趣的审判，但管理该设施的人可能也在挣扎&/或可能存在疏忽，因为他们可能已经意识到该基础设施的重要性，需要额外的网络安全。我怀疑，如果发生了灾难，保险尽职调查就会出现问题;现在它甚至可能被撤销……

  这已经不是第一次对水或公用事业的攻击了，幸运的是有人在控制中阻止了灾难的发生。警钟应该敲响了，但CCIO(或那些负责人)是幸运的，因为他们处于一个非常容易防御的位置。事实上，我认为这是在号召企业在网络安全基础上加倍努力，评估他们的资产和基础设施，并验证对“皇冠”资产的控制。有一些有效和可行的策略可以帮助市政当局控制一个失控的局面，这个局面会慢慢加速。

  政府是否应该介入并提供帮助，或者以什么方式介入还有待商榷。市政当局需要帮助，但他们也需要持续的支持和承诺——而不是可能没有后续行动的一次性行为。

  水务和公用事业的数字化提出了一个我们正在越来越频繁地看到的问题。新的互联系统正在增加，这放大/倍增了以前可能不适用的风险。安全性总是会降低，远程连接或任何新技术也会降低。”

  水和废水是当今最危险的关键基础设施行业之一。影响行业的工业控制系统(ICS)漏洞披露数量逐年显著增加。正如我们几天前发布的半年度ICS风险和漏洞报告所指出的，Claroty研究团队发现，在水和废水中，2020年下半年(2H)披露的ICS漏洞比2019年2H增加了54%，比2018年2H增加了63%。

  在关键基础设施环境中，由于设备折旧周期长，技术陈旧，安全隐患频发。此外，许多水务公司都是小型实体，而且资源不足，这使得开发一个强大的安全程序的挑战变得更具挑战性。

  解决方案并不像消除对此类高风险环境的远程访问那么简单。我们日益数字化的世界的本质，特别是由于新冠疫情导致远程工作的转变，使得远程访问成为一项要求——即使在关键的基础设施中也是如此。这不是一个“我们应该还是不应该”的讨论——它正在向我们袭来。关键是如何安全地实现远程访问，这样我们才能在攻击发生之前阻止这些攻击——它们将不可避免地继续发生。”

  “根据目前掌握的信息，这次攻击似乎缺乏任何可能引发更深刻反应的复杂手段。事实上，攻击者没有向监测水处理行动的人员隐瞒他的直观存在，这是表明攻击相对较低复杂性的第一个信号。此外，根据事件的报告，攻击者修改配置拟增加氢氧化钠的浓度水平，通常由自动系统监控，这也可能表明威胁行为者不具备水处理过程的特定背景知识。

  “然而，这一事件很重要，因为它反映了太多的工业控制系统(ICS)设施的状况，特别是那些预算较少、规模较小的设施，而这些设施的安全往往被忽视。远程访问，特别是在设计时不考虑安全性，通常是远程攻击者用来渗透ICS网络的滩头。在这种情况下，Oldsmar水处理厂一直在使用Teamviewer实例，显然可以从互联网问。虽然目前还不清楚攻击者是如何获得所需的凭据的，但这一事件，就像我们近年来记录的许多事件一样，似乎并不依赖复杂的零日漏洞来执行它。”

  “正如这一网络攻击所证明的，典型的网络安全活动可能没有减轻这一风险，包括脆弱性管理、网络分割、系统硬化、身份和访问管理、火警等。在许多情况下，特别是在这一大流行病期间，远程管理解决方案被抛出混合，有时是随意的。在某些情况下，尽职调查和补偿性安全控制尚未得到承认。在其他情况下也是如此。无论哪种方式，设施都应该停止思考，就像它们会防止网络攻击一样，开始思考它们已经发生了一样。他们可能看不到，所以他们应该处于持续的恢复状态。

  “尽管如此，零信任等概念开始有意义。一旦操作员意识到没有什么是值得信任的，他们就会转向监控过程本身，以及从控制室的所有设备发送到设备的参数。如果奥尔兹马尔的水设施有这样的网络安全水平，当数值被设置为异常数字时，警报就会消失。

  “在这种情况下，如果攻击者来自社区的IP地址，典型的网络安全监控是没有帮助的。如果袭击者不是在国内。防火墙可能对这种奇怪的外部连接感到震惊。然而，今天它的TeamViewer，明天它是一个Android手机，第二天它的太阳风或VMware。有太多的生命危在旦夕，无法全面信任所有供应商，使其产品安全可靠，再加上网络安全产品被攻击者滥用和滥用，显然需要进行广泛和深入的监测。

  “不幸的是，今天的大多数设施只是通过广泛的监控来保护一点，而这些监控本身并没有深入到工业控制协议中。任何有生命危险的设施，特别是如此多的设施，都应该使用人工智能和异常检测来监测工业控制过程，以监测、警报和停止不属于常规操作的过程中的异常。通过这样做，该设施将减轻许多风险，包括恶意或疏忽的内部人员，可能意外地键入几个数字太多，以及外部攻击者希望阻止行为。

  “通过对异常过程的深层监控，如果攻击者接管控制室用来发送命令的人机界面（人机界面），就不会有什么不同，攻击者只允许他们发送以前使用的安全值而不会提高标志。“

  与能源生产和制造业一样，供水设施也是美国关键基础设施的一部分，长期以来一直是犯罪分子和政府支持实体网络攻击的目标。供水设施依靠系统控制和数据采集(SCADA)系统来管理自动化过程或水的分配和处理。许多这些工业控制系统(ICS)已经过时，没有更新系统和修复补丁，并且可以在互联网上进行连接评估，这使得它们难以置信地容易受到攻击。此外，许多ICS解决方案是为非Internet环境设计的，因此没有包含某些基本的安全控制——随着越来越多的操作技术（OT）环境允许从Internet访问其ICS系统，这提供了更多的漏洞。

  2013年，联邦调查局(FBI)调查了纽约州赖伊布鲁克(Rye Brook)鲍曼大道(Bowman Avenue)大坝的一起攻击事件，发现伊朗革命卫队(Iranian Revolutionary Guard)的成员利用互联网进入该大坝。尽管大坝当时没有运行，而且很可能不是伊朗人的主要目标，但它表明了某些关键基础设施的脆弱性，因为他们的ICS系统被允许暴露在互联网上，而不是被孤立。”

  上周针对佛罗里达州奥兹马(Oldsmar)供水系统的网络攻击应该是一个警钟。网络安全专业人士多年来一直在谈论基础设施的漏洞，详细描述可能发生的此类攻击，这是我们一直警告的一个近乎完美的例子。尽管这次攻击没有成功，但毫无疑问，熟练的攻击者可以执行具有更大破坏性的类似基础设施攻击。负责运营和保护关键公共基础设施的组织必须做最坏的打算，并采取更严厉的措施来保护环境。”

  “我们需要了解的是，你不必是一个高度熟练的攻击者，能够成功攻破这样的系统。虽然警报器会在有害水进入水龙头之前就被触发，但这家工厂非常幸运，因为工作人员注意到他的鼠标在移动，所以能够迅速解决问题。水厂的安全资源并不多，由于预算削减和COVID-19导致人们远程工作，它们更容易受到攻击。对于几乎没有任何经验的人来说，访问这样的系统变得越来越容易。

  在目前的疫情大流行过程中，对许多（可能是大多数）组织来说，实现远程访问已经变得至关重要。在风险管理中必须适当考虑到这一机会：

  “媒体和网络安全界对一名黑客潜入佛罗里达的水处理设施并改变配置以增加危险化学品（碱液）数量的消息表示关切。网络对关键基础设施的威胁一直在稳步增加，因为黑客，无论是国家行为者、犯罪企业还是孤独的个人，都更好地理解除了IT系统之外如何利用操作技术-OT。尽管迄今为止对关键基础设施的网络风险的大部分报道都集中在许多工业控制系统的时代，以及它们的设计和部署没有考虑到安全问题，但在这种情况下，攻击向量似乎是佛罗里达县启用的远程访问的增加。

  “在全球大流行病期间，为了支持远程作业，很可能有许多组织增加了远程进入工业工程工作站和操作员控制台的机会。幸运的是，在这种情况下，有一个警惕的操作员注意到化学物质的111倍增加(从100ppm增加到11,100ppm)，并能够采取快速纠正措施，将配置设置恢复到先前的水平。虽然工业间谍活动仍然是一个重大威胁（并非所有的网络攻击都集中在破坏上），但OT网络安全社区中的许多人最担心的是在这一事件中实现的；即改变配置设置以损害该设施所服务的社区。这是一个重大的警示，有效的OT网络安全的最佳基础是一个详细和广泛的资产清单，其中包括OT系统之间的关系和依赖关系以及配置设置的基线。随着这一点的落实，风险评估更加知情，使各组织能够更有效地分配和限制系统和账户两级的远程访问。事实上，结合最新的资产库存和基于风险的远程访问管理政策现在比以往任何时候都更加关键，因为它既能降低风险，又能在没有经过授权的情况下更快地恢复。

  “关键的基础设施，如水处理厂，需要这样处理。通常，关键系统，如这种水处理系统，不允许远程访问。风险是一种影响，如果一些不好的事情发生的可能性倍。在这种情况下，使用该设施的水对人口的影响（中毒、可能死亡）相当严重。总体风险通常是可控的，因为控制措施，如不允许远程访问，是为了使不好的事情发生的可能性非常小。我们面临的挑战是，大多数组织不了解网络安全风险。事实上，方便往往是网络安全决策的主要驱动因素，只是事后考虑。“提醒我们，事故的后果是经营者管理风险应使用的因素之一。

  “虽然这一事件会引起合理的关注，但由于保险柜失灵，实际危害的可能性似乎很小。有真正的影响需要担心，并采取行动，但这似乎不是一个复杂或新颖的攻击。

  “从网络安全的角度来看，我们应该特别关注攻击者如何能够对远程访问软件进行身份验证。这个入口点应该得到很好的保护，因为它提供了对这种明显敏感能力的访问。对任何工业环境来说，保护远程进入工业系统，在这些系统中可以进行这些类型的改变，应该是一个高度优先事项。“

  同样值得注意的是，关键基础设施可以通过各种方式受到攻击。矛盾的是，现代化进程使它们面临新的风险。历史悠久的遗留系统在其过去对网络攻击产生了一定程度的抵抗，许多控制仍然是手动的，许多自动化系统本质上是缺失的。这种情况正在改变，风险也相应增加。

  “昨天对佛罗里达州奥德斯马(Oldsmar)水处理厂的黑客攻击再次凸显了保持关键基础设施的重要性，即必须在远程访问时使用虚拟气隙/隔离(不能上网）。这些系统不应该被没有经过授权的攻击者接触，因为现代渗透工具的复杂性和这些系统的复杂性，使它们不可能完全没有漏洞。传统的防火墙和其他远程访问或VPN解决方案被证明不足以应对这些威胁。我们需要阻止任何没有经过授权的访问从未到达这些关键和生命维护系统，同时仍然允许授权的、完全识别的用户通过使用军事级加密的安全隧道远程访问。我们有许多这样的水域使用我们的解决方案，只是这些类型的场景。”

  美国众议院国土安全委员会网络安全和基础设施保护小组委员会成员、罗德岛第二区众议员吉姆·朗格万(Jim Langevin)在推特上表示，这起事件再次提醒人们，互联网的创建并非出于安全考虑。美国参议员马尔科·卢比奥(佛罗里达州共和党人)在推特上表示，这起事件应该被视为“国家安全问题”，他已要求联邦调查局进行调查，调查肯定已经在进行中。

  5)对使用RDP的系统进行审核，关闭未使用的RDP端口；尽可能应用双因素身份验证，并记录RDP登录尝试；

  联邦调查局的建议是对健全的网络卫生的有益提醒，也没有迹象表明奥尔斯玛水系统受到了该局清单所列所有故障的影响。FBI还引用Dragos公司的关于使用远程管理软件的建议，手动识别安装在主机上的软件，特别是那些对工业环境至关重要的软件，如操作员工作站，如TeamViewer或VNC。在主机基础问这一点可能不实际，但它是全面的。除了主机数据外，还有各种网络流量来源来帮助识别TeamViewer。大多数环境没有配置在集中日志记录发生的地方，并且可以是手动过程。

  CISA在警报中描述了事件概况、技术细节，如桌面软件、Windows7操作系统的使用。给出了缓解措施建议，包括通用安全建议，专门针对水务和废水处理行业的安全建议和TeamViewer软件的使用建议。

  马萨诸塞州环境保护部(Massachusetts Department of Environmental Protection)为公共供水商提供的网络安全咨询，不仅为该州的消费者提供了保障，而且对公用事业公司如何降低网络破坏的风险进行了有益的建议:

  1)限制所有到SCADA系统的远程连接，特别是那些允许对SCADA网络内的设备进行物理控制和操作的连接。推荐使用单向监控设备对SCADA系统进行远程监控。

  2)安装带有日志记录的防火墙软件/硬件设备，并确保它是打开的。防火墙应该被隔离，不允许与未经授权的源通信。

  3)保持计算机，设备和应用程序，包括SCADA/工业控制管理系统(ICS)软件，打补丁和更新。

  6)实现更新和补丁管理周期。为所有系统的关键漏洞打补丁，为已知的漏洞和处理互联网数据的软件(如网页浏览器、浏览器插件和文档阅读器)及时打补丁。

  新泽西州的网络安全和通信综合部门（NJCCIC,New Jersey Cybersecurity & Communications Integration Cell）于当地时间2月11日发出警报，建议关键基础设施应用网络安全最佳实践，包括将OT系统和网络与internet隔离，实现IP白名单和远程访问IT网络的VPN使用，保持硬件和软件最新，并为系统和网络访问启用多因素认证。工业控制管理系统(ICS)的最佳实践可以在CISA网络安全实践出版物中找到。