保护偏远地区的石油和天然气作业免受网络攻击：当数字世界崩溃时，物理世界就会崩溃

在偏远的广阔区域------从海上平台到沙漠中的管道压缩站------一场无声的、高风险的战斗正在进行。这些设施是能源基础设施的核心，但它们的孤立性、对物联网等连接技术的日益依赖，以及对国民经济的重要性，使其成为主要攻击目标。尽管最早针对石油和天然气运营商的网络攻击发生在近40年前，但在实地网络安全措施方面并没有太大改变，而与石油和天然气作业相关的网络风险却已呈指数级增长。

信息技术（IT）和运营技术（OT）的融合已经或多或少地消解了曾经保护关键工业控制的所谓"空气间隙"（物理隔离）。今天，威胁行为者可以在半个地球之外破坏管道或损坏钻井平台。国家支持的参与者正将针对关键基础设施的网络攻击作为其混合战争战略和心理战的一部分，这一事实让我们了解到其中的利害关系。

图片

对于石油和天然气（O&G）行业来说，运营技术------监控和控制钻井压力、管道流量和紧急停机等物理过程的硬件和软件------是网络风险转化为物理风险的地方。这里的泄露不仅仅是数据问题；而是关乎安全、环境完整性以及经济和国家安全的问题。

新兴威胁在深度和广度上都在扩展

偏远石油和天然气设施的威胁态势正在迅速演变。攻击者不再是机会主义黑客或无聊的地下室居民。相反，他们是老练的、资金充足的、通常有国家支持的组织，具有特定的破坏性目标。在过去5年中，我们甚至看到威胁行为者与商品投机者密切合作，以影响油价。请想一想，一个提前知道类似Colonial Pipeline（殖民管道）规模事件的投机者可以相应地规划其头寸，在公民遭受油泵空转或价格膨胀之苦时（通常是两者兼有）大赚一笔。

那么我们具体在谈论哪些威胁呢？

• 高驻留/潜伏时间的恶意软件：这类恶意软件帮助威胁行为者（虚拟地）潜伏在目标石油和天然气网络中。随着入侵在长时间内未被发现，该载体开始瞄准更多资产和数据，同时等待处理者的信号以发动更大的破坏。是的，驳船可以从内部被倾斜，钻井平台可以被颠覆。

• 高影响勒索软件：这是头号威胁。组织现在专门瞄准关键基础设施（包括备份），因为他们知道运营停机是灾难性的。近期报告显示，针对关键部门的勒索软件攻击激增。对于偏远设施来说，这可能意味着完全失去对运营的控制，迫使全面关闭。

• 国家支持的活动：像Volt Typhoon（伏特台风）这样的组织正使用"就地取材"（living off the land）战术将自己嵌入关键网络，包括石油和天然气领域。他们通过使用系统自身工具来达到恶意目的，从而绕过传统安全。他们的目标不是快速获利，而是长期间谍活动或在其选择的时间造成破坏的能力。我们甚至还没有考虑这些组织的附属机构，他们可能更具破坏性。此类附属机构可以在受影响的石油和天然气运营商更改密码或修改网络配置之前，将窃取的数据在全球范围内传递5次。

• 远程访问利用：正是使用VPN、RDP等实现高效异地管理的远程访问，成为攻击者的主要入口点。弱凭证或被盗凭证就足以获得立足点。

• 供应链和云入侵：没有一个设施是孤岛。来自第三方供应商的受损传感器或基于云的维护平台中的漏洞，都可能为最安全网络提供"后门"。

• 内部威胁：在偏远、高压力现场拥有控制系统特权访问权限的不满员工或承包商，代表着一个重大且不可预测的风险。

当数字崩溃时，物理世界就会崩溃

OT网络攻击的后果是严重且有形的，远远超出财务损失。

• 运营中断：Colonial Pipeline（殖民管道）事件仍然是最鲜明的例子。对IT系统的勒索软件攻击迫使该公司主动关闭其整个运营管道------美国最大的管道------引发东海岸的燃料短缺。

• 安全和环境灾难：这是最可怕的场景。攻击者可以操纵安全仪表系统（SIS），覆盖压力或温度警告，并引发火灾、爆炸或灾难性石油泄漏。造成人员生命损失和不可逆转环境破坏的可能性是真实存在的。还记得90年代的墨西哥湾石油泄漏吗？

图片

• 知识产权盗窃：攻击者可以窃取敏感的油藏数据、专有钻井技术或炼制工艺配方，侵蚀公司的竞争优势。此外，石油生产数据有现成的买家愿意花大价钱获取可以通过商品交易在现实世界中货币化的早期数据。一旦交易者大赚一笔，数据可能会被传递给链条中的其他角色。这些人最终可能都在热带天堂度假，而威胁行为者则在计划他或她的下一步行动。

• 设备破坏：可以向物理设备发送恶意命令，将其推至操作极限之外。这可能导致涡轮机、钻机和压缩机的永久性损坏，造成数百万美元的更换成本和长时间的停机。即使只是延迟一天生产，也可能导致一系列连锁反应。

合规和治理

为应对此类风险，监管机构不再将网络安全视为可选项。对于石油和天然气运营商，特别是在美国和欧盟，遵守越来越多的强制性规定是法律和运营上的必要要求。以下是石油和天然气公司必须遵守的一些规定：

• TSA安全指令：继Colonial Pipeline攻击之后，美国运输安全管理局（TSA）发布了针对管道所有者和运营商的强制性安全指令。关键要求包括：

• 报告：要求在24小时内向CISA（网络安全和基础设施安全局）报告重大网络安全事件。

• 协调员：任命24/7网络安全协调员。

• 评估：进行年度网络安全漏洞评估。

• 响应计划：制定和维护全面的网络安全事件响应计划。

• 缓解：实施特定控制措施，包括IT和OT系统之间的网络隔离以及强大的访问控制。

• ISA/IEC 62443：这是保护工业自动化和控制系统（IACS）的国际黄金标准。它为资产所有者提供了一个基于风险的框架，以：

• 网络分段：实施"区域"（将具有共同安全需求的资产分组，如钻井平台上的所有PLC）和"管道"（保护区域之间的通信通道）。

• 定义安全等级（SL）：确定所需的安全等级（从SL 1到SL 4），以防范特定威胁行为者能力，从临时黑客到国家行为者。

• NIST网络安全框架（CSF）：NIST CSF提供了一个战略性、高层次的框架（治理、识别、保护、检测、响应、恢复），帮助组织管理网络风险。它通常由NIST SP 800-82（OT安全指南）补充，后者为工业控制系统提供具体的技术指导。

• NIS2：适用于在欧盟境内运营的一系列石油和天然气公司。

石油和天然气行业韧性安全路线图

保护偏远设施需要专门的、深度防御策略。安全路线图应该是一个持续的生命周期，而不是一次性项目。

第一阶段：治理和识别

• 这是什么：你无法保护你不知道拥有的东西。这一阶段是关于建立治理和获得完整可见性。

• 行动项：

• 治理：任命TSA要求的网络安全协调员，并建立ISA/IEC 62443定义的网络安全管理系统（CSMS）。

• 完整资产清单：部署技术被动扫描OT网络，识别每一个设备、每一个PLC、HMI、传感器和交换机，包括遗留系统。

• 风险评估：进行正式的网络安全漏洞评估。这不仅仅是IT扫描；还必须分析网络攻击对每个流程的*物理后果*。

第二阶段：安全/保护

• 这是什么：加固防御，使入侵尽可能困难。

• 行动项：

• 网络隔离：这是最关键的防护步骤。使用ISA/IEC 62443的"区域和管道"模型，将OT网络与IT网络隔离，并在OT网络内部创建微隔离。业务网络中的泄露永远不能跨越到控制网络。

• 安全远程访问：消除共享VPN。为每个远程用户（包括第三方供应商）实施细粒度的、基于角色的访问控制和多因素认证（MFA）。

• 补丁管理：遗留OT系统很难打补丁。实施基于风险的计划，优先处理关键补丁，并在无法离线的系统上使用"虚拟补丁"（使用网络安全规则阻止漏洞利用）。

第三阶段：检测

• 这是什么：承认入侵是可能的，并专注于在造成破坏之前发现它。

• 行动项：

• 持续OT监控：部署专为OT构建的威胁检测解决方案或NDR（网络检测与响应），如Shieldworkz。它必须理解工业协议（如Modbus、DNP3），并基线化正常操作行为，以立即标记异常，如未经授权的PLC命令或异常网络流量。

• CISA集成：建立清晰的流程，与CISA和相关的行业信息共享和分析中心（ISAC）共享威胁情报并接收警报。

第四阶段：保持韧性：响应和恢复

• 这关乎什么：执行计划以控制事件并安全快速地恢复运营。

• 行动项：

• 事件响应计划（IRP）：该计划必须符合TSA指令。必须包括针对不同攻击场景（如勒索软件、安全系统入侵）的清晰操作手册。

• 测试计划：定期进行桌面演练，包括CISA提供的场景，模拟"网络-物理"攻击。偏远现场和公司总部的关键人员必须知道他们的角色。

• 弹性备份：维护所有关键OT系统配置和软件的安全、离线且经过测试的备份。这是从破坏性勒索软件攻击中恢复的生命线。

保护偏远石油和天然气作业是全球石油行业参与者和政府面临的最复杂的网络安全挑战之一。它需要思维的根本转变，网络安全不再是IT问题，而是运营安全和风险管理的核心组成部分。保护此类资产的盾牌可能不可见，但它从未如此重要。