美國一家關鍵燃料管道運營商近日宣佈,其遭受了勒索軟體攻擊。這是一種網路攻擊,駭客會將重要資料加密,使其所有者無法訪問,除非所有者向犯罪分子支付贖金以解鎖資訊。殖民管道公司是一傢俬營公司,負責運輸美國東海岸近一半的汽油和其他燃料。該公司不得不關閉其5500英里的燃料管道。聯邦調查局指責一個名為“黑暗面”的犯罪團伙發動了這次襲擊。
與用於綁架個人電腦檔案、鎖定大學網路或敲詐勒索醫院的勒索軟體不同,針對殖民管道公司燃料管道等主要基礎設施的攻擊可能會對整個國家地區產生巨大影響。“黑暗面”的勒索軟體“對東海岸的燃料供應造成了相當嚴重的破壞,並引發了[喬·拜登總統]政府的一些政策干預和反應,試圖使燃料運輸更容易,並減輕其影響,”塔夫茨大學網路安全政策助理教授約瑟芬·沃爾夫說。大眾科學與沃爾夫談論了勒索軟體構成的威脅、美國關鍵基礎設施的真實脆弱性,以及可以採取哪些措施來保護它。
[以下是採訪的編輯稿。]
關於支援科學新聞
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道: 訂閱。透過購買訂閱,您將有助於確保關於塑造我們當今世界的發現和想法的具有影響力的故事的未來。
勒索軟體攻擊是否變得越來越頻繁?
很難確定真正好的數字,因為[有]很多勒索軟體攻擊我們沒有公開聽說。大多數時候,沒有報告要求。但我們聽說的那些顯然不僅變得更加頻繁,而且影響也更加重大。如果我們回顧幾年前,我們有亞特蘭大市、巴爾的摩市,以及許多針對公共政府的攻擊,這些攻擊都使用了勒索軟體。最近,人們更加關注針對醫院和醫療保健提供商的攻擊。而在幕後,儘管我們看到的例子較少,但一直存在著像這次這樣的攻擊威脅:針對關鍵基礎設施,這將嚴重擾亂運營和日常生活。
除了管道,還有哪些型別的基礎設施面臨風險?
人們通常使用的例子是電網。如果有人能夠阻止在全國某些地區供電,會發生什麼?殖民管道公司的關閉雖然不完全是那樣,但符合“如果我們失去對電力基礎設施的控制,我們該怎麼辦?”的噩夢情景。但這在許多關鍵基礎設施部門都是如此。如果銀行基礎設施的大部分被關閉或無法訪問,會發生什麼?如果一個主要城市的地鐵系統被破壞,無法安排火車或運營交通,會發生什麼?到目前為止,大多數情況下,我們只是在想象這些情景。已經有一些電力部門成為攻擊目標的高調例子,但這仍然是一個相當罕見的事件——因此,非常引人注目。
這些系統是否得到了充分的保護?
一般的答案可能是,我們能源部門的任何東西都沒有得到充分的保護。這是一個擁有大量遺留系統和複雜基礎設施的部門,而且它必須始終保持執行。因此,很難說,“我們將花費一週、一個月或一年時間,徹底改造一切並更新所有系統。”
這些潛在目標如何更好地保護自己?
首先,他們應該真正努力鎖定他們的外圍防禦——也就是說,他們用來嘗試防止惡意軟體首先傳遞到他們計算機的所有安全控制。這可能包括雙因素身份驗證、外部郵件的電子郵件警告,以及篩選插入系統的新的USB驅動器或其他裝置。我認為應該有很多控制措施(尤其是在目前許多人都在家工作的時候)圍繞遠端訪問——從辦公室外部連線到您系統的計算機。
一個大的[防禦]是我們所說的網路分段:確保如果公司基礎設施的一部分被破壞和攻擊,那麼將惡意軟體傳播到更大的網路非常非常困難。關於這個故事,一個非常引人注目的事情是,殖民管道公司已經關閉了超過5000英里的管道。對我來說,這表明要麼是其系統的很大一部分已被破壞,要麼是[該公司]擔心它很容易被破壞。理想情況下,您不希望一個初始的破壞產生如此大的影響。
另一個方面是考慮如何快速恢復系統執行,因為當您處理關鍵基礎設施時,您沒有太多時間讓一切都離線。需要進行大量的快速決策。有很多理由說明應該嘗試進行一些測試演習,並確保針對這種情況制定一個非常明確的計劃。我也認為這是阻止勒索的一部分——讓人們感覺“我們為此進行了培訓;我們知道該怎麼做”,而不是“我們從未見過這樣的事情。我想我們必須付款。”
除了個別系統,政府應該做些什麼來提供幫助?
我希望看到更強有力的禁止支付大多數贖金的措施。這是我的觀點;這不是每個人的觀點。但美國政府可以單方面做些什麼呢?從長遠來看,努力使這成為一項利潤較低的活動是我們可能嘗試實施的最有效措施之一。[打擊]如何輕易地支付這些贖金,如何輕易地被保險公司承保,我認為,可能會在這些罪犯能夠賺多少錢方面產生重大影響——從而影響有多少人進入這個行業並將其作為一種盈利方式。
我們對這些罪犯了解多少?勒索軟體行業究竟有多賺錢?
我們知道它是有利可圖的,因為我們知道人們會繼續這樣做,而這實際上是我們擁有的最強烈的跡象,表明人們正在繼續賺錢。但他們究竟賺了多少錢很難有意義地估計。殖民管道公司勒索軟體被歸咎於一個犯罪組織,該組織非常關注勒索軟體即服務——向客戶提供勒索軟體工具和程式碼,以指導他們自己的攻擊。這很重要,因為這個組織“黑暗面”正在建立這項業務,不僅是為了攻擊公司,也是為了讓其他罪犯更容易得手。這——同樣,在沒有硬資料的情況下——在一定程度上說明了這個問題有多大。
如果受害者被要求報告勒索軟體攻擊,我們會不會有更多硬資料?
擁有報告要求至少將幫助我們更好地掌握問題的規模和範圍。當我們做出諸如“勒索軟體正在上升”或“2021年是勒索軟體最糟糕的一年”之類的宣告時,我們實際上將擁有一些更硬的資料來支援這些概括。但我也認為,這將使我們更深入地瞭解:罪犯的利潤率是多少?是誰在向他們付款?支付了多少錢?我們如何使勒索軟體成為一項利潤較低的活動?