2021 年 5 月�����,美國最大的成品油管道系統(tǒng) Colonial Pipeline 遭受了破壞性的網(wǎng)絡(luò)攻擊��。該漏洞是由于 VPN 密碼易受攻擊導(dǎo)致的���,導(dǎo)致該公司關(guān)閉運營數(shù)日����,導(dǎo)致東海岸石油短缺����。這只是對關(guān)鍵行業(yè)的破壞性攻擊的一個例子���。
關(guān)鍵基礎(chǔ)設(shè)施對于人們的日常生活至關(guān)重要�,例如英國政府表示���,有 13 個部門屬于“關(guān)鍵基礎(chǔ)設(shè)施”的范疇�,包括化工、民用核能���、通信�����、國防�����、緊急服務(wù)���、能源、金融���、食品�、政府��、衛(wèi)生�、空間、運輸和水�。所有這些提供對社會日常運作至關(guān)重要的服務(wù)都是最敏感和機密數(shù)據(jù)的蜂巢,威脅者可以很容易地在暗網(wǎng)上將這些數(shù)據(jù)貨幣化,進一步推動網(wǎng)絡(luò)犯罪和破壞�����。
不幸的是�,網(wǎng)絡(luò)犯罪分子并沒有忽視廣泛破壞的可能性。事實上�����,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 已敦促英國迅速采取行動����,警告其政府可能成為 9-11 式網(wǎng)絡(luò)攻擊的受害者。今年���,澳大利亞���、加拿大、新西蘭���、美國和英國的網(wǎng)絡(luò)安全當局還呼吁關(guān)鍵基礎(chǔ)設(shè)施的捍衛(wèi)者為俄烏沖突后網(wǎng)絡(luò)攻擊的升級做好準備。
世界各地已經(jīng)感受到這種增加的風險����,從古巴和秘魯政府到南斯塔福德郡水務(wù)公司等水務(wù)公司以及丹麥最大的火車運營商和受供應(yīng)影響的 NHS���,各種國家和公共機構(gòu)都成為攻擊目標連鎖攻擊。隨著全球政治緊張局勢加劇����,我們的關(guān)鍵基礎(chǔ)設(shè)施再次受到攻擊的可能性不僅令人擔憂,而且極有可能發(fā)生�����。那么����,讓我們來看看當前的威脅形勢是什么樣的,以及企業(yè)和政府機構(gòu)如何更好地保護自己����。
為什么關(guān)鍵行業(yè)的風險更大?
這種對關(guān)鍵基礎(chǔ)設(shè)施的關(guān)注是有意為之的�。網(wǎng)絡(luò)犯罪分子充分意識到任何中斷對重要服務(wù)的影響,不僅是財務(wù)方面的影響����,還有公眾信心方面的影響���。例如,在公用事業(yè)中����,你不能期望人們沒有電或水,這意味著企業(yè)更有可能在勒索軟件攻擊的情況下支付費用�����。黑客也非常敏銳�,會在動蕩時期發(fā)動攻擊,例如利用持續(xù)的能源危機作為網(wǎng)絡(luò)釣魚或中間人攻擊的切入點�����。
關(guān)鍵基礎(chǔ)設(shè)施組織的另一個常見風險因素是它們都擁有高水平的相互連接的傳統(tǒng)技術(shù)�。這可能包括可能不會每天使用但仍處于活動狀態(tài)的舊設(shè)備,或者對業(yè)務(wù)流程至關(guān)重要但只能在無法修補的舊軟件上運行的機器���。盡管這些遺留物存在于我們的托管網(wǎng)絡(luò)中��,但大部分遺留物并不屬于我們的數(shù)字和安全團隊的所有權(quán)�����。誠然����,某些行業(yè)比其他行業(yè)更依賴于其他行業(yè)��,例如公用事業(yè)����,但每個人都有自己的戰(zhàn)斗需要克服。
由于對其技術(shù)資產(chǎn)缺乏統(tǒng)一的理解����,這些行業(yè)更難實施整體安全策略,同時也為黑客提供了更多訪問更廣泛網(wǎng)絡(luò)的途徑��。
連接性增加是問題所在嗎��?
物聯(lián)網(wǎng)設(shè)備的引入加劇了這個問題�,這些設(shè)備管理起來極其復(fù)雜,而且很少在構(gòu)建時考慮到安全性�����。隨著企業(yè)收集更多數(shù)據(jù)并擴展其網(wǎng)絡(luò)基礎(chǔ)設(shè)施��,它們對黑客的吸引力就越大,防御威脅的難度就越大���。
重要的是不要忘記過去的經(jīng)驗��,例如殖民地管道����,而是用來推動下一步��。雖然增加的連接性確實擴大了攻擊面并使其更難管理���,但有一些技術(shù)可以幫助保護物聯(lián)網(wǎng)設(shè)備免受新威脅���,并使這一過渡期更加順暢。
重要的是我們不要阻礙技術(shù)進步��。如果我們看看運輸行業(yè)���,當我們登上飛機時�,我們不知道飛行員是處于控制之中還是處于自動駕駛狀態(tài)���。但我們?nèi)匀环判牡厝ザ燃俸吐眯?���。盡管無人駕駛汽車的連接性和對 IT 的依賴程度有所提高,但在無人駕駛汽車的進步方面���,有可能建立相同水平的信任。為實現(xiàn)這一目標���,制造商需要在這些產(chǎn)品中構(gòu)建安全性��。如果事物在設(shè)計時考慮到了安全性��,它們就不太可能被破壞��。這是一個可傳遞的信息����,需要支持每個部門的每一個新決策��,尤其是關(guān)鍵基礎(chǔ)設(shè)施��。
保護我們的未來
許多組織擅長風險管理�,但缺少涵蓋從員工參與和 BYOD(Bring Your Own Device,指攜帶自己的設(shè)備辦公)安全到防火墻管理和反惡意軟件保護的端到端網(wǎng)絡(luò)戰(zhàn)略���。缺少任何一個元素都可能產(chǎn)生具有破壞性后果的漏洞���。
這有什么收獲��?我們認為有四個關(guān)鍵要素:
溝通是關(guān)鍵:企業(yè)的力量取決于最薄弱的環(huán)節(jié)�,因此在企業(yè)內(nèi)部從管理層到 IT 部門進行公開對話至關(guān)重要��。如果管理不當��,任何可以訪問公司網(wǎng)絡(luò)的設(shè)備都可能允許黑客獲得訪問權(quán)限�。向家庭和混合工作的轉(zhuǎn)變使問題成倍增加,因此組織應(yīng)該與員工交談并教育他們?nèi)绾伪3职踩?/p>
可見性和網(wǎng)絡(luò)分段:如果不了解其中的資產(chǎn)��,就不可能成功保護網(wǎng)絡(luò)�。進行全面盤點,包括云資產(chǎn)和數(shù)據(jù)存儲�,將暴露任何弱點,例如未修補的安全更新或固件過時的設(shè)備���。繪制網(wǎng)絡(luò)圖后�,企業(yè)就可以實施網(wǎng)絡(luò)分段等策略�����,創(chuàng)建虛擬的內(nèi)部屏障,阻止黑客橫向移動并造成廣泛破壞�。
CISO 需要盡自己的一份力量:CISO(首席信息安全官)的作用是確保管理層對企業(yè)面臨的風險有更深入的了解。CISO的工作是影響他們并用他們理解的語言向他們表達清楚��。這意味著要詳細說明安全性薄弱的業(yè)務(wù)后果���。CISO 與更廣泛的企業(yè)之間普遍缺乏溝通,這需要改變�����,以更好地保護我們的關(guān)鍵服務(wù)���。
需要一個總體權(quán)威:當我們審視關(guān)鍵基礎(chǔ)設(shè)施面臨的挑戰(zhàn)時�����,很明顯�����,所有行業(yè)的企業(yè)都需要提升他們的網(wǎng)絡(luò)安全計劃�����。但是他們不能自己做��。我們需要一個統(tǒng)一的監(jiān)管機構(gòu)來幫助這些部門實施標準做法�����。這將減少網(wǎng)絡(luò)安全支出的差距�,例如在能源和水資源方面的差距。
如今�����,我們的關(guān)鍵基礎(chǔ)設(shè)施是一盞明亮的燈塔���,吸引著四面八方的網(wǎng)絡(luò)犯罪分子����。威脅級別繼續(xù)增長�,后果只會變得更加嚴重。現(xiàn)在是采取行動的時候了�����,預(yù)防應(yīng)該成為他們?yōu)楦玫乇Wo自己而采取的每一步的核心。
