勒索软件：地平线上的 IT 危险

©箭头/AdobeStock

进入 21 世纪的二十年，我们看到了对全球信息安全的日益严重的威胁：勒索软件。即使是非技术人员也大致听说过它，但更广泛的含义尚未渗透到公众意识中。在不同的行业，普遍缺乏意识可能是一个大问题——海事部门就是一个很好的例子。

勒索软件攻击了现代技术中两个关键趋势的交汇点：IT 系统越来越多地融入日常生活，以及这些 IT 系统的互连性。趋势科技在其 2019 年报告“规避威胁，普遍影响”中记录到，从 2018 年下半年到 2019 年上半年，勒索软件攻击增加了 77%，而且很明显，这种威胁只会变得更糟。
那么这对航运业有何影响？一个全球业务网络如何应对全面的技术集成来应对这种激进的攻击模式？

在过去 10 年中，海事环境中的运营技术 (OT) 和信息技术 (IT) 系统的集成速度急剧加快。在船上，现代网络技术允许更好地控制和监测工程和机械系统，从而提高船舶运营商的可靠性和效率。对于港口和其他基础设施枢纽，许多关键工业系统现在通过与基于 IT 的内部控制系统集成，实现了与外界的物理连接。自动起重机和无人驾驶平板车现在是世界上最大港口的关键要素。

然而，最受关注的威胁并不总是构成最紧迫威胁的威胁。可能导致安全关键故障的攻击在理论上是可能的——事实上，NCC Group 已经为客户模拟了此类攻击。然而，这种意外事件所需的物理和技术级联故障仍然极不可能发生。这种破坏需要特定于系统且范围广泛的恶意软件来覆盖手动安全检查。在野外发生此类攻击的仅有的两个已确认实例是 Stuxnet 和“Crash Override”，这两种攻击都是针对性很强的国家级攻击。

真正的风险是中断：对圣地亚哥港、中远海运和马士基的攻击凸显了对 IT 系统的严重依赖以及巨大的停电成本使这成为该行业的一个严重问题。在圣诞节假期期间勒索软件攻击的消息传出后，不同的海事设施处于高度戒备状态。标记为“Ryuk”的病毒显然通过电子邮件网络钓鱼攻击侵入了 MTSA 设施，然后可能允许访问重要的网络文件并中断港口设施运营 30 多个小时。

全国和世界各地的港口都在从这种新型攻击中吸取教训，目标可能是随机的，而不是有意的。对于世界上大多数港口运营商而言，防止网络攻击，尤其是勒索软件，是董事会层面最关心的问题，许多人正在合作制定防御策略。去年 12 月在核桃溪举行了以港口和船舶安全为重点的首届泛美海事网络安全会议，来自各个行业的专家齐聚一堂，以加强对这些威胁的了解。

这是此时的要点：勒索软件攻击是不可避免的，港口或船舶运营商需要做出相应的计划。建立防御措施很重要，但制定强有力的、经过演练的响应和恢复计划以帮助减轻损失也很重要。

对于勒索软件的预防，必须始终从人做起。勒索软件通常依靠用户错误来获得访问权限；企业用户必须接受培训以识别恶意电子邮件或欺骗性网站，从而防止勒索软件控制网络。强大的邮件过滤系统增加了另一道防线。帮助用户和管理员识别系统中的危害迹象，并就最佳响应向他们提供建议，这也是避免勒索软件在网络中广泛传播的关键。

强大的网络分段和强大的事件响应流程提供了针对灾难性中断的最佳保护，并使从管理良好的备份流程中恢复更加有效。

同样，海事部门面临着与大多数其他部门相同的威胁。关键运营对 IT 系统的依赖以及 IT 系统与运营技术堆栈的集成在很短的时间内大幅增加：即使在 10 年前，大多数船舶都无法访问互联网。如今，许多分支机构实际上是浮动分支机构，它们需要同样快速地提升保护级别。

关于作者

Brendan Saunders 是全球网络安全和风险缓解专家 NCC Group (https://www.nccgroup.trust/us/) 运输保证实践的技术总监和海事主管。 2016 年，他协助制定了 BIMCO 船上网络安全指南，该指南现在已成为船舶运营商事实上的网络安全标准，并且他继续就这些指南的制定提供建议。他还担任国际航海电子公司协会 CIRM（国际海事无线电委员会）的董事会成员和 CIRM 网络风险工作组主席，该工作组负责促进所有与航海电子辅助设备有关的组织之间的关系导航、通信和信息系统。工作之余，桑德斯在皇家海军预备队担任军官，领导团队应对具有挑战性的情况，并向高级指挥人员介绍复杂的技术问题。