paint-brush
您的供水受到网络攻击经过@zacamos
2,105 讀數
2,105 讀數

您的供水受到网络攻击

经过 Zac Amos4m2023/04/24
Read on Terminal Reader

太長; 讀書

近年来,水袭击事件越来越普遍。示例包括勒索软件攻击、篡改消毒剂水平的黑客攻击以及通过远程访问程序进行的攻击。由于勒索软件即服务的兴起、供水的关键性质以及水厂松懈的安全系统,这些攻击变得更加容易。在美国,EPA 正在对公共供水设施实施最低安全要求,但问题可能会继续恶化。
featured image - 您的供水受到网络攻击
Zac Amos HackerNoon profile picture
0-item

近年来,在网络犯罪增加的推动下,水务部门的网络攻击变得越来越普遍。自来水行业是黑客特别容易攻击的目标,该行业拥有宝贵的关键基础设施,但缺乏先进的网络安全措施。对近年来关键攻击的分析显示了一些重要趋势。是什么导致水务部门的网络攻击越来越多,正在采取哪些措施来解决这个问题?

水务部门的主要网络攻击

网络犯罪的全球成本已经结束2022 年增长九倍与 2018 年相比,估计为 8.44 万亿美元。如今,每个人都面临越来越大的网络攻击风险,包括供水和处理公司等公用事业提供商。近年来,美国水务部门多次遭受重大网络攻击,对公众健康和安全构成严重威胁。


例如,在 2018 年,北卡罗来纳州的 Onslow 供水和下水道活动管理局在连续两次勒索软件攻击后不得不关闭其 IT 网络。杰克逊维尔的组织向超过 100,000 名北卡罗来纳州居民配水。幸运的是,勒索软件攻击并没有中断对这些居民的服务,但它们确实危及了公用事业数据和基础设施的安全。


2019 年,一名 22 岁的男子远程入侵了堪萨斯州埃尔斯沃思县农村水域的网络。黑客试图篡改消毒剂水平在水处理设施中,但袭击在造成伤害之前就被制止了。官员后来查明并起诉了肇事者,肇事者被发现是埃尔斯沃思县工厂的前雇员。


同样,在 2021 年, 两次网络攻击袭击了水务部门的设施在加利福尼亚州旧金山和佛罗里达州奥兹马尔。两次攻击都涉及使用名为 TeamViewer 的远程访问程序。此应用程序常用于公用事业行业,用于执行远程监控水处理和供应数据等任务。然而,黑客滥用它来非法操纵水务公司的系统。幸运的是,这两次攻击在造成任何伤害之前就被阻止了。

黑客的策略和动机

是什么促使所有这些对水部门的攻击?有几个因素导致黑客转向不太传统的目标,如水务部门组织。


勒索软件即服务使不良行为者比以往任何时候都更容易进行黑客攻击。业余黑客可以通过向恶意软件的创建者支付少量费用来访问复杂的勒索软件程序。因此,与 5 年或 10 年前相比,如今有更多的黑客积极参与犯罪活动。


越来越多的黑客导致许多人考虑新型目标。对于黑客来说,一个理想的组织是一个几乎没有安全资源以及某种关键基础设施的组织。水行业需要一种集中的安全方法,许多处理和分配设施需要更重要的网络意识。他们通常几乎没有针对未经授权的网络访问的保护措施,从而暴露了宝贵的基础设施。


例如,上述四次水务部门网络攻击中的三次涉及利用远程访问程序和员工凭据。专家估计,至少25% 的数据泄露是由凭证被盗造成的,例如 2021 年两次水务部门网络攻击中使用的凭证。


在旧金山和 Oldsmar 攻击中,黑客使用了在暗网上交易的被盗凭据。据报道,Oldsmar 的所有员工都使用相同的密码访问 TeamViewer 应用程序。在 2019 年堪萨斯州埃尔斯沃思县的攻击中,黑客滥用了前水务部门工作的员工特权。在这些情况下,更严格的身份和访问控制措施可能会阻止黑客访问敏感系统和数据。


许多水务部门网络攻击的动机似乎是基于破坏或恐惧。黑客在多次攻击中试图通过各种方法毒化公共供水系统。例如,他们可能会使用远程访问工具将水处理化学品的数量更改为有毒水平。


经济利益也可能是一个主要诱因,例如 2018 年北卡罗来纳州杰克逊维尔设施发生的两次勒索软件攻击。水务部门的专业人士和行业领导者应该牢记,联邦调查局建议组织永远不要支付赎金在勒索软件攻击中。付费会鼓励黑客继续进行犯罪活动,并且无法保证一旦付费他们就会真正恢复受害者的数据。

美国如何加紧保卫水务部门

美国联邦政府正在加紧提高安全性,以应对针对水务部门的日益严重的网络威胁。例如,2018 年,国会通过了《美国水利基础设施法案》。它建立风险评估要求为 3,300 人或更多人提供服务的供水设施。该法案还概述了 EPA 有望为水务部门组织提供的指导和技术支持。


2023 年,美国环保署发布更新的最低网络安全要求用于公共供水设施。新要求包括强制性网络安全审计,以确保全国范围内的设施实施弹性防御。更新后的要求遵循政府问责办公室建议的六项 2021 年倡议,包括国家网络安全教育倡议的支持。


EPA 还采取措施帮助水务部门组织改进其安全措施。例如,EPA 提供的供水和废水公用事业全危害训练营培训计划包括有关网络意识和应急响应的员工培训。员工培训是任何组织提高网络安全的重要组成部分。水务公司可以使用游戏化和模拟等策略最大限度地发挥此类计划的影响。


此外,水资源信息共享和分析中心的成员数量也在增长。该组织为全国水务部门设施提供安全数据和指导。通过这样的组织联系水务部门的专业人士可以提高网络意识和行业特定安全解决方案的开发。

保护水资源

每个人的健康、安全和食品都依赖水行业,因此保护它免受数字威胁至关重要。水务部门组织必须采取积极措施保护其系统和数据免受攻击,主要是因为黑客越来越多地瞄准该行业。美国环保署和行业组织提供指导和帮助,以支持水务公司适应更高级的安全需求。