美國總統拜登簽署多個行政令，宣布進入緊急狀態，多個州油品短缺，部分地區油價升至7年新高……最近一個多星期，美國能源行業可謂神經緊繃，問題不斷。導致這一切的，僅僅是因為一條燃油管道，一個勒索軟件，一個黑客組織。

　　全美最大的成品油管道運營商美國科洛尼爾管道運輸公司在5月7日遭到黑客勒索軟件入侵后，采用支付贖金、備份數據等方式尋求“解鎖”，最終于13日全面恢復了燃油運輸系統運營。盡管科洛尼爾掏出近500萬美元息事寧人，但是信息安全給能源等行業帶來的恐慌可能會持續很長一陣子。

　　勒索軟件入侵引發能源危機

　　5月7日，一個自稱“陰暗面(DarkSide)”的黑客組織入侵科洛尼爾，導致連接美國南部和東部的一條燃油運輸大動脈——科洛尼爾管道系統被迫關閉。

　　據消息人士透露，遭到黑客攻擊的數小時后，科洛尼爾以無法追蹤交易往來的加密貨幣支付了贖金，黑客收到付款后提供了解密工具幫助恢復其計算機網絡。但因該解密工具運行速度過慢，科洛尼爾最后還是使用自己的備份數據來恢復系統。

　　5月13日下午，科洛尼爾宣布，已經重啟了該公司的整個燃油運輸系統并全面恢復運營。但是要將供應鏈恢復至完全正常的水平還需要幾天時間。

　　這是美國關鍵基礎設施迄今遭遇的較為嚴重的網絡攻擊。在科洛尼爾油管系統出現問題之后，美國包括北卡羅來納州、佐治亞州以及馬里蘭州在內的諸多地區，有至少一萬家的加油站陷入了沒有汽油可以供應的窘迫處境。全美平均汽油價格已突破3美元每加侖(1加侖約合3.8升)，創下2014年10月以來的新高。美國宣布進入緊急狀態，交通部放寬17個州和首都華盛頓的石油產品公路運輸限制，避免因管道關閉導致燃油短缺。

　　綠盟科技集團首席行業專家張智南在接受中國化工報記者專訪時表示，勒索軟件一般常用三種入侵方式：一是通過郵件，入侵者將郵件標題偽裝成內部敏感信息，誘使工作人員打開，使得勒索病毒在工作終端被激活；二是通過網絡釣魚，攻擊者將勒索軟件植入到網站，當公司員工使用工作終端訪問該網站時，勒索軟件就被激活；三是通過利用漏洞，攻擊者通過遠程掃描發現目標公司網絡和業務系統中可以被利用的漏洞，并獲取權限，從而遠程植入并激活勒索軟件。科洛尼爾被勒索軟件入侵也大概率是由于這三種方式之一。

　　據綠盟科技研究員分析，“陰暗面”使用的勒索軟件可能應用了各種強加密模式，通過這種模式加密后的業務數據在沒有解密密鑰的情況下很難被恢復出來。最終公司被迫選擇花錢消災。

　　網絡安全問題屢見不鮮

　　科洛尼爾遭遇的這次黑客攻擊，可以說是美國關鍵性基礎設備以及能源部門所遭遇到的最惡劣的網絡入侵事件，在美國歷史上尚屬首次。美國對于此次事件明顯準備不足，不僅沒有做好網絡安全保衛和緊急補救措施，也沒有一套合理的應急性預案。

　　網絡攻擊被曝光后，多家美國媒體批評稱，美國能源系統暴露出嚴重的網絡安全防御隱患，基礎設施網絡脆弱無力，極為容易因攻擊而崩潰。就在4月下旬，拜登政府剛剛出臺一項提振能源供應體系網絡安全的“百日計劃”。結果話音未落，美國的能源系統就因為黑客攻擊而陷入亂局，這令美國政府十分尷尬。

　　對此，美國總統拜登立即發布了多項命令，加固國家網絡安全。拜登表示，美國政府正在密切追蹤這起攻擊，并將與民間石油和天然氣領域以及其他領域一起推進網絡安全倡議。為了加強安全，美國將進一步規范商業軟件的網絡安全標準，確保軟件及時更新;所有美國聯邦政府正在使用的軟件，都必須在未來九個月內通過更新達到最新標準。拜登還要求，所有與政府存在業務往來的軟件，其開發人員必須公開其安全數據。美國政府還會更重視加密驗證，并建立新的網絡安全審查委員會，以更專業地應對網絡攻擊的事件，降低各種損失，避免同樣的問題再度出現。

　　近年來，全球能源設施多次暴露出信息安全問題，其中不少是黑客組織有目的性的網絡攻擊。2012年沙特阿美石油供應商遭遇網絡攻擊，針對能源部門的神秘惡意軟件Shamoon刪除了該公司3.5萬余臺計算機系統的數據。2015年圣誕節前夕，烏克蘭首都基輔等地區電網遭遇黑客攻擊，140萬名居民家中停電。2017年，兩款勒索軟件在全球范圍內肆意傳播，造成慘重損失。2018年11月，中國化工集團旗下橡塑機械企業KM集團IT管理系統遭黑客入侵，備份服務器數據也被清除。2019年6月，比利時航空航天供應商ASCO工業公司再次遭到勒索軟件攻擊，四家工廠生產線被迫關閉。據統計，僅此次對科洛尼爾下手的黑客組織“陰暗面”過去3年就多次發動網絡攻擊，給西方國家造成數百億美元損失。

　　另據日本NHK報道，“陰暗面”近日建立了一個暗網網站并發表聲明表示，已入侵了東芝法國分公司的系統，并竊取了超740GB的管理信息、新業務以及個人數據等信息。

　　破題還需提升認識強化管理

　　看似固若金湯的能源網絡體系，為什么總是漏洞不斷，讓黑客勒索屢試不爽?

　　張智南坦言，網絡安全在很多企業看來是一個“只投入、不產出”的成本部門。只有企業的管理者網絡安全意識比較強，注重加強網絡和業務系統的防護，才能形成較好的防御能力。而有些企業的管理者網絡安全意識相對淡薄，在網絡安全方面很少投入或干脆不投入，網絡和業務系統基本沒有防護，就容易被攻擊者所利用。

　　“我們常說，做好網絡安全需要‘三分技術，七分管理’。勒索軟件的傳播往往是由于安全管理沒有做到位。一是員工的網絡安全意識不足，對釣魚郵件、釣魚網站沒有足夠重視，為勒索攻擊的發生提供了入口。二是部分企業沒有對重要業務系統的網絡、主機和終端及時安裝補丁文件消除漏洞，也會被攻擊者所利用。三是在業務運行過程中，重要數據沒有及時備份，當勒索軟件加密業務數據后，無法及時恢復數據，導致業務被迫中斷。”張智南告訴記者。

　　隨著網絡技術日新月異，新技術新應用層出不窮，各種信息安全行為也會不斷進化。當網絡安全事件造成能源危機等公共問題的時候，其安全問題就會變得更加尖銳和突出。

　　數據治理公司Veritas發布的2020年勒索軟件恢復力報告顯示，企業IT系統越復雜，越易遭受勒索攻擊。根據Veritas調研，在過去一年，64%的全球企業數據安全策略未能跟上數字轉型項目的步伐；61%遭受勒索攻擊的公共事業企業支付過贖金。

　　張智南認為，通過此次事件，能源企業的管理者應該進一步認識到網絡安全的重要性，特別是安全管理的重要性，將安全防護策略、安全管理制度落在實處，構建起切實運行的網絡安全縱深防御技術體系和管理體系。

　　具體到防范勒索軟件攻擊層面，綠盟科技研究員給出如下建議：加強企業員工安全意識培訓，不輕易打開陌生郵件或運行來歷不明的程序;盡量避免危險端口對外開放，利用IPS、防火墻等設備對危險端口進行防護；開啟Windows系統防火墻，通過ACL等方式，對RDP及SMB服務訪問進行加固；通過Windows組策略配置賬戶鎖定策略，對短時間內連續登陸失敗的賬戶進行鎖定；加強主機賬戶口令復雜度及修改周期管理，并盡量避免出現通用或規律口令的情況；修改系統管理員默認用戶名，避免使用常見用戶名；安裝具備自保護的防病毒軟件，防止被黑客退出或結束進程，并及時更新病毒庫；及時更新操作系統及其他應用的高危漏洞安全補丁；定時對重要業務數據進行備份，防止數據破壞或丟失。