8月12日,作为美国最大的转辙和枢纽铁路,芝加哥贝尔特铁路公司正在调查勒索软件组织窃取数据的事件。据悉,该公司由美国和加拿大的六家铁路公司共同拥有,每家铁路公司都使用该公司的转运和换乘设施。
贝尔特铁路公司历史悠久,是美国最大的中间换乘终点站铁路,拥有约450名员工,28英里的主线路线和超过300英里的转轨,使其能够与服务于芝加哥铁路枢纽的每条铁路互换,他们还为100多家在北美运送产品的当地制造公司提供服务。
当地时间周四(8月10日)晚上,Akira勒索软件团伙将该公司添加到其泄露网站,声称窃取了85GB的数据。贝尔特铁路总法律顾问克里斯托弗·施坦威告诉Recorded Future News,一个威胁组织在其网站上发布消息称其已获得某些公司信息。
斯坦威强调,“该事件没有影响我们的运营。我们已聘请一家领先的网络安全公司来调查这一事件,并正在与联邦执法部门合作。”
Akira勒索软件于2023年3月被发现,其攻击载荷暂未发现大规模传播,攻击者入侵至受害系统后通过远程桌面协议(RDP)工具或其他工具实现内网传播,勒索软件载荷采用AES+RSA算法对文件进行加密,暂未发现公开的解密工具。
Akira勒索软件采用“双重勒索”即“窃取数据+加密文件”的模式运营,自4月21日起,其背后的攻击组织在Tor网站陆续发布受害者信息和窃取到的数据,目标主要包括了建筑、金融、教育和房地产等多个行业。
Akira勒索软件团伙于2023年3月出现,此后已危害至少63名受害者,其中包括德克萨斯州政府;布卢菲尔德大学;南非某国有银行;主要外汇经纪商伦敦资本集团;雅马哈的加拿大音乐部门。
我国拥有全球规模最大的高铁和地铁线路网,而车站枢纽作为其中不可或缺的重要节点,轨道交通的稳定、安全和高效运行,离不开对车站枢纽进行智慧设计和安全防护建设。智慧车站运营管控平台包括车站既有综合监控系统、智能视频分析系统、客流分析预测系统、实时定位系统、站务巡视系统、站务单兵系统、智慧消防系统等,并对车站既有系统进行升级,六方云依托实际案例,对智慧车站运营管控平台可能面临的安全风险进行研究,并针对性的提出切实落地的智慧车站运营管控平台安全防护方案,全力保障铁路安全运行。
智慧车站网络出口是在管理网,站务巡检系统手持终端数据等需要通过公网传输。管理网与外部互联网连接,与运管平台产生数据交互,存在互联网边界安全风险。一旦攻击者通过管理网侵入生产网,传播蠕虫病毒或恶意代码,将可能影响运管系统服务器或工作站正常工作。
运管平台服务器、工作站主机操作系统难以支持频繁更新,系统漏洞较多。部分新版操作系统或数据库对软件应用系统不兼容,无法做到安全运行,极易受到外部攻击。
运管平台视频分析系统从电视信号调取视频,通过ISCS监控BAS系统部分设备,并通过PIS系统发布电子乘务信息、电子广告。运管平台承载了自动化、信息化数据,流向比较复杂,攻击者可能通过ISCS/BAS自动化数据流、PIS/CCTV信息化数据流侵入生产内网,从而影响自控设备运行状态数据采集及指令下发,存在横向病毒感染和传播风险。
在方案设计过程中,采用主动防御的安全理念,参考网络攻击步骤 (侦查跟踪>武器构建>载荷投递>漏洞利用>安装植入>命令控制>目标达成) ,将攻击过程划分为事前、事中、事后三重维度并针对性进行网络安全防护建设。
建立一份健全的资产清单以及管理权限,应用系统漏洞检测、风险评估等技术手段对运营环境的风险特征进行描述整理,针对现有风险点可以预先采取技术加固等措施主动维护关键资产,从而最大程度地降低生命周期安全风险。
通过入侵检测/入侵防御、行为基线检查等技术手段对运营环境进行实时的持续监控和检测,为及时察觉正在发生的事件,所应用的防火墙等安全产品均具备一定的运营可见性,一旦发现异常事件将第一时间进行告警推送,并能够快速阻断风险事件的进一步扩散传播。
在管理层面建立应急响应和恢复程序,在技术层面能够针对已经发生的安全事件进行日志留存、攻击取证,进而展开攻击行为分析,从而判断本次安全事件所利用的漏洞及攻击路径,并能够提供专业的处置建议,预防攻击的再次来袭。
通过建立事前、事中、事后多层次的立体防御体系,实现对车站的安全预警和防护,保证车站运营安全。
从边界、终端、管理等多维度出发进行网络安全建设,可以实现针对智慧车站运营管控平台安全建设的复制推广。
方案为智慧车站运营管控平台提供信息安全保障的同时,使运营管控平台的信息安全满足政策合规性,达到等保三级防护水平。
