能源行业的网络安全现状及黑暗网络活动的影响

关键要点

27的能源行业首席信息安全官(CISO)表示黑暗网络活动对他们的公司没有影响，尽管网络威胁已普遍存在。72的石油和天然气公司正在收集黑暗网络情报以防范网络攻击，但这一比例低于金融服务和制造等其他行业。网络犯罪分子正在越来越多地针对能源行业，而不仅仅是传统的银行和保险公司。能源行业的首席信息安全官需要更好地认识到黑暗网络活动的威胁，以保护重要的基础设施免受攻击。

根据Searchlight Cyber于5月16日发布的新研究，27的石油和天然气公司的首席信息安全官表示，黑暗网络活动对他们的公司没有影响。在这样的背景下，网络威胁行为者在黑暗网络上举行拍卖，出售被入侵的能源公司VPN的访问权限。

梯子npv加速

尽管72的石油和天然气公司已经在收集黑暗网络情报以保护自己免受网络攻击，Searchlight Cyber的研究者指出，他们在这一领域仍落后于很多其他行业，如金融服务85、制造83和运输81。

研究人员表示，能源公司可能过去并没有将自己视为黑暗网络经济中以财务动机发起的网络攻击的主要目标，但在过去几年中，网络安全的格局发生了巨大变化。现在，网络犯罪分子不仅仅关注银行和保险公司，他们还越来越多地针对医疗、石油和天然气比如Colonial Pipeline和制造等行业。

这些趋势使得黑暗网络情报显得比以往任何时候都更加重要。以下是报告中的一些主要发现：

发现在黑暗网络上观察到的针对能源行业的主要活动是对能源公司初始访问的拍卖。网络威胁行为者通常使用“start”、“step”和“blitz”等术语，分别表示起始价格、出价增量以及“立即购买”或“暴击”价格。Searchlight Cyber发现活动遍布全球，包括美国、加拿大、英国、法国、意大利和印尼。尽管黑暗网络论坛Exploit是这些活动最受欢迎的地方，研究人员还发现RaidForums和BreachForums上也有这些活动。报告中的一个例子显示，出价从1500开始，出价以500的增量进行。如果有人想立即购买访问权限，可以以2500的“暴击”价格购买。被入侵VPN的销售尤其普遍，研究人员表示这表明安全团队需要将精力放在保护上。

Searchlight Cyber的威胁情报分析师Ian Garratt表示：“一些读者可能会注意到，遭到入侵的VPN正是勒索软件团伙DarkSide在2021年恶名昭著的攻击中用来攻破Colonial Pipeline的确切技术。那次攻击导致油管被迫关闭数天，以降低勒索软件攻击扩散到操作网络的风险，这促使美国总统宣布进入紧急状态。”

勒索软件威胁行为者正在针对任何能带来显著利润的行业，而能源公司无疑属于这一类别，CardinalOps的网络防御策略副总裁Phil Neray称。他表示，这些公司倾向于因为大量的远程访问连接而拥有较弱的安全控制，这些连接容易通过弱密码或盗窃的凭证或VPN漏洞被利用。

通过被入侵的VPN进行的Colonial Pipeline攻击导致了440万美元的勒索付款，以及来自联邦监管机构近100万美元的罚款提议。

Neray表示：“防止入侵的第一步是确保SOC拥有正确的检测措施，并且正如报告中所述，组织应使用MITRE ATTampCK框架建立基于对针对其行业的对手常用战术、技术和程序TTP进行检测的威胁知情防御。”

Dasera的首席执行官Ani Chaudhuri补充道，尽管报告重点关注了一个重要行业，但令人担忧的是，27能源行业的CISO未能认识到黑暗网络活动对其组织可能产生的影响。Chaudhuri指出，网络犯罪分子并不挑剔目标：无论行业多么小众或专业，都无法逃脱他们的触及。

“在黑暗