石油天然氣產業的網路資安威脅

威脅

• 造成破壞
  對石油與天然氣產業來說，歹徒可能造成的破壞包括：變更軟體行為、刪除或清空某些內容使企業無法運作、盡可能刪除或清空每一台電腦的內容。
  
  這樣的破壞案例過去已有很多報導，其中最知名的就是 Stuxnet 案例。Stuxnet 是一個會自我複製的蠕蟲，擁有非常明確的攻擊目標和破壞行為。此蠕蟲的感染案例絕大多數位於伊朗境內，而且根據研究指出，它是專為攻擊該國納坦茲核電廠 (Natanz Nuclear Plant) 鈾濃縮設備的離心機而設計。 
   
• 內賊威脅
  在大多數情況下，內賊通常是心生怨恨的員工為了報復或希望賺外快而將公司的機密資料賣給競爭對手。此外，內賊也可能破壞企業的營運，例如篡改資料來製造問題、刪除或損毀企業伺服器或共用專案資料夾內的資料、竊取智慧財產、將機敏文件洩漏給第三方等等。
  
  內賊的威脅非常難防，因為他們通常擁有許多資料的存取權限。此外，內賊也不需花費數個月的時間來熟悉企業的內部網路，他們可能早就對企業內部運作瞭若指掌。 
   
• 間諜與資料竊賊 
  資料竊賊與間諜有可能是更大規模破壞的前兆，因為駭客通常要先拿到某些資訊才能採取進一步行動。取得機敏資料，如：鑽油技術、石油天然氣存量資訊、特殊油品配方等等，都能為駭客帶來獲利。
   
• DNS 挾持
  DNS 挾持是進階駭客竊取資料的一種手段，其目的是要駭入企業 VPN 網路或存取政府機關或企業機構的電子郵件。我們已看過多家石油公司遭到進階駭客攻擊，而這些駭客很可能帶有某些地緣政治目的。
  
  所謂 DNS 挾持攻擊就是駭客篡改企業網域名稱伺服器的 DNS 設定。歹徒可能在網域的 DNS 區域設定檔案 (zone file) 當中插入一筆資料，或修改其中某個或多個現有主機名稱的對應位址。駭客最簡單能做的就是：置換網頁、在被挾持的網站上留言、讓網站無法存取。不過這些通常很快就會被發現，所以效果頂多就是稍微打擊一下企業的商譽。
   
• 針對網頁郵件 (webmail) 與企業 VPN 伺服器的攻擊 
  儘管網頁郵件和檔案共用服務已經是一種讓員工在外也能讀取郵件和重要檔案的必要工具，但這類工具卻會增加企業的受攻擊面。
  
  比方說，網頁郵件的主機有可能因網頁郵件軟體本身的漏洞而發生 DNS 遭到挾持或遭駭客入侵的情況。網頁郵件、檔案共用及協同合作平台可能因登入憑證網路釣魚攻擊而遭到入侵。
  
  一些計畫周詳的網路釣魚攻擊，有時候非常難以分辨，尤其當駭客註冊了一個跟原本網頁郵件服務非常相似的網域名稱，或者駭客使用了一個合法的 SSL 憑證並審慎挑選其瞄準的企業員工時。採用雙重認證 (最好能使用實體金鑰) 並搭配企業 VPN 來存取網頁郵件與第三方檔案共用服務，可以大幅降低這方面的風險。
   
• 資料外洩
  資料外洩是企業永遠的痛，但石油天然氣產業尤其容易遇到這類威脅，因為外洩的資訊對競爭對手非常有利。此外，資料外洩還可能對企業商譽造成嚴重損害。
  
  我們在研究過程當中很輕易地就在網路上找到數十份有關石油產業的敏感文件。一個搜尋這類文件的方法是使用一種稱為「Google Dorks」的特殊 Google 查詢。
  
  另一種搜尋這類內容的方式是到 Pastebin 這類公開的網路服務上搜尋相關資料，這類網路服務可讓任何人複製貼上任何文字內容，貼上的內容會以私密或公開方式保存在該服務上。另一個資料來源是一些用來分析可疑檔案的公共沙盒模擬環境。使用者有可能會不小心將一些機密檔案送交給這類沙盒模擬環境分析，檔案一旦上傳之後，就可能被第三方人士解讀或下載。
   
• 外部郵件
  一般來說，企業內的電子郵件是相當安全的，但外部郵件就無法控管。而員工經常會發送郵件到外部地址，因此有些敏感的內部資料很可能因而跑到公司外部。更糟的是，企業若未制定一套資安作業準則，機敏資訊很可能會被複製到缺乏防護的備份系統，或者保存在本地端個人電腦上，這樣會讓駭客更容易取得這些資訊。電腦一旦遭駭客入侵，駭客就能取得電子郵件並用於各種對企業不利的活動，例如駭客可能將資料公開在公共伺服器或 Pastebin 這類的網路服務上。