一年后，殖民管道网络攻击仍然挥之不去

• 2025-11-13 18:35:53

一周年：殖民地管道网络攻击的反思

关键要点

一年前，殖民地管道遭遇了一次严重的网络攻击，随后各大政府机构迅速做出反应，包括对管道公司实施了一系列严格的新网络安全要求，其中之一来自运输安全管理局TSA。许多官员表示，这只是防止殖民地管道勒索软件攻击再次发生的多方努力中的第一步。

我们需要反思这样的周年纪念，以帮助避免历史重演。考虑到此次泄露的影响及由此产生的指令，让我们深入探讨一些经验教训，并思考组织应当在网络威胁不断扩展的背景下集中在哪些方面。

所有公司都脆弱

通过对殖民地管道网络攻击的反思，我们了解到，所有公司都面临勒索软件的威胁。许多勒索软件组织采用加盟模式，并有一套针对可以和不可以攻击目标的规则。负责殖民地管道攻击的DarkSide虽然设有此类规则，但一名不合规的加盟者仍然对殖民地管道发起了攻击。

此后，像Hive这样的其他团体(https//wwwnetskopecom/blog/hiveransomwareactivelytargetinghospitals)也开始频繁攻击医院和其他过去被勒索软件运营者避开的组织。实际上，自DarkSide及殖民地管道攻击以来，我们看到许多新的勒索软件运营者出现，包括BlackMatter、NightSky、LokiLocker和BlackCat。只要攻击者能够从愿意支付赎金的相对易攻击目标中获得投资回报，我们就必须继续面临勒索软件的威胁。

网络犯罪分子已经意识到，攻击高价值目标可以让他们获得高曝光率。在殖民地管道事件中，美国司法部从该组织扣押了价值230万美元的加密货币，并悬赏1000万美元寻求信息。在俄罗斯，FSB逮捕了部分负责该攻击的人员。DarkSide自己在不久之后关闭了运营。换句话说，网络犯罪分子逐渐掌握了如何在继续赚钱的同时避免当局的注意。

备份至关重要

不幸的是，我们也了解到，支付赎金并不总能保证积极的结果。在殖民地管道的攻击案例中，加密的数据量庞大，因此恢复过程非常缓慢。与其使用解密工具，大量恢复工作还是通过备份完成的。因此，为此投资备份是非常重要的，尤其是确保公司能够快速而轻松地从备份中恢复关键系统，并且备份不受到攻击者的干扰或破坏。

一个良好的备份策略不仅能帮助加快从勒索软件和其他数据丢失事件中的恢复。在组织层面上，我们可以像今天许多公司一样，在网络安全和备份上进行投资。但在政府和执法层面，我们需要国际合作，以干扰其他勒索软件运营者，提高他们的运营成本，正如我们在DarkSide的案例中看到的那样。

关注未来

很高兴看到拜登政府将网络安全提升为国家优先事项，从过去12个月宣布的行政命令和[额外指令](https//wwwwhitehousegov/briefingroom/presidentialactions/2021/10/29/aproclamationon