策划人:李仲轲
你好,这里是《邵恒头条》,我是邵恒。
这个月,美国发生的一件大事在国际上引起了不少关注:5月7号,美国Colonial Pipeline石油公司的系统遭到了黑客攻击。公司发表声明称,一个叫做Darkside的网络犯罪团伙黑进了Colonial Pipeline的系统,取走了近100GB的数据并提出赎金要求。公司为了预防更大的损失,在缴纳赎金之前,被迫关闭了输油管道。
这件事之所以受到关注,是因为Colonial Pipeline承载着美国东部45%的石油运输,石油管道长度足足有5500英里。我把这家公司的石油管线示意图放在文稿里了。从图片里你可以看到,这家公司的石油系统是美国东部的一条能源大动脉。
在黑客袭击发生之后,美国东部数千个加油站的库存被消耗殆尽,同时有几百个加油站开始了限售,17个州进入了紧急状态。拜登政府不得不在一些事情上亮绿灯,比如允许很多受影响的州临时使用一些不合规、污染更大的燃料。而就在上周四,Colonial Pipeline向黑客支付了近500万美元的赎金,公司的输油管线开始逐渐恢复。
虽然这场危机暂时告一段落,但是关于这件事的讨论却在持续发酵。
我在美国科技媒体The Verge上看到一篇报道说,能源系统的网络安全一直是一个隐忧。根据美国国土安全部的统计,从2013年到2015年两年间,美国三分之一的黑客攻击都发生在能源领域。而在未来,这种面向能源的黑客攻击只会越来越频繁。
问题来了,能源系统为什么会这么容易“拉仇恨”呢?
你可能会觉得,这还用问吗?当然是因为能源系统重要呀。在网络恐怖分子眼里,能源系统是妥妥的“高价值目标”,是用来吸引眼球,攫取政治资本的好工具。
但是,能源系统容易受攻击,还不仅仅在于价值高。
我一直都在关注一个叫做《暗网日记》的播客,这个播客主要探讨各式各样的互联网犯罪是怎么发生的,其中就包括针对能源和其他大型基础设施的网络犯罪。主播本人Jack Rhysider曾经在一家世界500强公司负责网络安全。
我在这个播客中听到过一期节目,主持人请了一位亲历者,讲述了黑客在2012年针对沙特阿美石油公司的一次袭击。从沙特阿美遇袭的例子中能看到,能源系统之所以会频频遭受攻击,和这个行业的另一个特点有很大关系,那就是能源行业往往连最基础的网络安全措施都没有做到。对于黑客来说,在这样的系统里找到可乘之机并不是特别难的事情。
今天咱们就从沙特阿美的案例里一起看看,能源系统为什么容易遇到网络安全问题。
首先,我先和你简单介绍一下,沙特阿美公司遇袭的来龙去脉。
沙特阿美公司是世界上最大的石油和天然气生产商,拥有全球最大的陆上和海上油田,生产着全球四分之一的石油,并且负责把这些石油运往各地。
在2012年的8月15号,黑客对沙特阿美公司发动了攻击。那一天刚好是伊斯兰教一年中最重要的假期,在那天,沙特阿美几乎所有的员工都没有上班。
也就在那天上午11点08分,黑客控制了沙特阿美系统中一台拥有高级权限的电脑,然后释放了一种电脑病毒。这种病毒后来被叫做“沙蒙”,它会删除电脑上的所有文件、数据,让电脑屏幕上只有一面燃烧的美国国旗。
沙蒙病毒彻底摧毁了沙特阿美的系统,在病毒释放的一瞬间,沙特阿美系统中将近九成的电脑被感染,75%的数据被删除,负责备份文件的服务器也被清空了。而且,因为沙特阿美实现了无纸化办公,在袭击发生的时候,值班的员工也没法访问通讯录,连打电话向别人求助都做不到。在之后,沙特阿美花了三个月的时间和大量的金钱,才彻底清除沙蒙病毒带来的影响。
那为什么沙特阿美会因为黑客袭击而损失如此惨重呢?
首先,沙特阿美其实是有两套数字系统的,一套负责油田生产的工业系统,另一套就是公司内部的IT系统。沙特阿美觉得油田的生产运作能带来真金白银,于是花了大价钱加固工业系统,对于公司内部的IT系统就不怎么上心。
在这个基础上,沙特阿美的IT工程师还犯了一个错误,那就是把公司的内部系统设置成了“扁平的”。
咱们如果把一家公司的内部系统比喻为城堡。一般来说,一家公司会把整个城堡分割成很多小房间,互相上锁。这样一来,就算一个黑客进入了一个房间,也只能造成有限的破坏。在网络安全专家看来,把系统进行分离化的设计,是最基础的网络安全措施之一。
但是沙特阿美的系统,恰恰没有采取这种模式——他们的油田生产工业系统,和公司内部的IT系统之间,底层架构是打通的。这就导致黑客一旦从相对脆弱的IT系统侵入,就有可能威胁到公司最核心的油田运作。这种扁平的系统,大大增加了沙特阿美的脆弱性。
这是沙特阿美在网络安全上犯的第一个低级错误。
除此之外,沙特阿美也没有刻意控制它向外界暴露的节点,让它被攻击的概率大大增加。什么意思呢?沙特阿美这家公司有5万多名员工,涉及各种部门,从石油的开采、研发、运输、储存到人力资源、市场、工程师、公共关系等等。在那一年,一共有4万台电脑连入了这家公司的内部系统中。那你想一想,接入系统的电脑越多,黑客可以趁虚而入的机会是不是就越多呢?
除了电脑多以外,沙特阿美对自己员工的互联网安全培训也远远不够。
刚才和你说了,沙特阿美有5万名员工,分布在世界各地。他们没有受过统一的互联网安全培训。比如有人从来不会更新系统、修复安全漏洞,也有人会用办公电脑点开一些钓鱼网站或者邮件。根据事后调查来看,沙特阿美的系统在攻击发生前的5个月就被入侵了,原因很可能是一位员工把被病毒感染的U盘带入了办公室,插入了办公用的电脑中。
也正是因为沙特阿美在网络安全问题上的种种疏忽,才导致黑客可以长驱直入,给这家公司造成重大损失。
不过,沙特阿美对于网络安全的疏忽,不仅仅体现在系统的设计上,还体现在它对于网络袭击的准备不足上。
在沙特阿美遇袭的第一时间,它对黑客可以说是束手无措。在2012年的时候,沙特阿拉伯并不重视网络安全,没有专门负责网络防御的政府部门。沙特阿美尝试在国内寻找网络安全专家,但是因为沙特阿拉伯的安全产业根本不发达,这家公司根本找不到几个人。
为此,沙特阿美不得不花大价钱,从国外聘请网络专家。
播客中采访的亲历者叫克里斯·库北卡,她就是当时沙特阿美重金请来解决黑客袭击问题的网络专家之一。克里斯曾经服务于美国空军和航天部门,后来在荷兰一家金融公司当安全顾问。克里斯回忆道,她当时刚刚度完假,正在回家转机的途中。在那个时候她接到了沙特阿美的求助电话,她开了一个很高的价格,想让对方知难而退,但没想到一个星期后,沙特阿美又给她打电话说,董事会同意了她的出价,还愿意额外再加20%。
在克里斯进入沙特阿美工作之后,公司给了她无限多的预算,允许她从世界各个角落招募顶尖的互联网安全人才。重赏之下必有勇夫,克里斯也是靠着无限多的资源,从0到1建立了一支网络安全团队“梦之队”。同样的事情不仅仅发生在克里斯身上,实际上,沙特阿美在当时联系了世界上各个国家的网络安全专家,请他们一起来救火。
所以你看,沙特阿美能够从袭击中恢复过来,是不惜一切代价的金钱的胜利。但是在这些补救措施中,也暴露出了整个公司在网络安全上的脆弱性:他们的IT系统设计扁平化,人员的网络安全培训不足甚至完全缺失,而且没有足够的网络安全人才储备。按理说,这些都是一家大型能源公司应该有的网络安全基础设施。
好了,沙特阿美的故事我就为你分享完了。当然,这是一个有点久远,也很极端的例子,我相信目前的能源行业对网络安全的重视肯定远超过去。
不过我觉得从这个案例当中,我们可以看到一个常见的思维误区:对于能源这种复杂系统,人们往往会天然觉得,它们很高端、很复杂,就会很安全,会对其放松警惕。但其实,复杂性和脆弱性就像是一个硬币的两面一样。越是复杂的东西,反而越脆弱。
好了,这就是今天的《邵恒头条》。我是邵恒,我们明天见。