超过300,000人通常依赖某种形式的能源,我们的目标是到2030年普及现代服务,以促进电力、管道、热力、电信和互联网的发展。此外,数以万计的人将驾驶自己的汽车、使用公共交通工具或乘坐飞机。预计国家基础设施将继续运营,因为它在我们的大部分日常生活中发挥着基础性作用。不幸的是,它也是网络攻击的诱人目标。随着交通枢纽、电网和通信网络变得越来越数字化,攻击的可能性呈指数级增长。在某些情况下,攻击者这样做只是为了看看他们是否可以扰乱某人的生活或危及人身安全。不出所料,这个话题引起了公众的广泛关注,促使美国政府去年成立了网络安全和基础设施安全局(CISA)。虽然认识到这个问题是朝着正确方向迈出的一步,但随着能源和交通等行业的快速数??字化,保护网络安全的任务随着新的攻击面的出现和被攻击者利用而变得更加复杂。随着智能电网、交通管理系统等的广泛部署,它们增加了安全专业人员必须应对的攻击面。由于此类系统通常具有有限的内置安全性,因此攻击者正在寻找更多方法来渗透或规避边界防御。提供可见性和早期检测的网络内安全解决方案已成为基础设施安全控制堆栈中越来越重要的部分。鉴于无法运行防病毒软件、收集典型日志以识别异常或停止管理员登录,组织已转向欺骗技术作为有效检测和破坏对能源设施和关键基础设施的攻击的手段。广泛的潜在威胁一个国家的基础设施面临多种类型的威胁,从常见的信用卡盗窃到电网或空中交通管理系统的中断,使得基于基础设施的网络攻击的潜在后果非常严重。从表面上看,访问设计用于各种监视程序的电视系统似乎没什么大不了的,但它会对个人或儿童的隐私或人身安全产生重大影响。许多OT设备也可用于妥协,然后统一用于更广泛的拒绝服务攻击。无论动机如何,受到伤害的可能性都会迅速上升,并带来可怕的后果。这些潜在的攻击者不仅包括小规模的黑客活动分子或网络犯罪分子,在某些情况下还包括恐怖分子和敌对国家。尽管俄罗斯选举黑客在过去几年中屡屡登上新闻头条,但他们并不是唯一有动机或手段以民用或其他方式为目标的基础设施的黑客。2015年破坏乌克兰电网的攻击是此类攻击中的首例,但其他攻击在世界各地造成了不同程度的破坏,包括在美国。就在今年,一场“网络事件”影响了加州、犹他州和怀俄明州的电网,虽然没有停电记录,但它提醒人们,美国的基础设施也不能免受攻击,传统的安全方法不一定足够或有效在当今的互联世界中。战场已转移到网络内部安全专家一致认为,拥有强大的外围防御至关重要,但制定早期发现设法绕过敌人的对手的计划也同样重要。假设攻击者已经破坏了网络,并采取控制措施来检测和响应网络已成为必要的安全策略,尤其是在涉及大型基础设施系统时。一旦攻击者在网络中站稳脚跟,他们通常可以自由地进行侦察、收集凭据并收集网络“蓝图”以升级他们的攻击。欺骗技术旨在检测所有形式的横向移动尝试,本质上是锁定端点以立即揭示攻击者的任何移动。这是通过在端点和整个网络上放置诱人的诱饵、凭据、驱动器共享、服务和其他形式的诱饵来诱骗攻击者参与来完成的。与任何流氓资产的最小接触会立即导致高保真警报并提供大量攻击者信息。因此,采用欺骗技术的组织已报告其驻留时间减少了90%以上,即攻击者在未被发现的网络上花费的时间。随着对关键基础设施的攻击造成破坏的可能性不断增加,收集详细的敌方情报的能力变得更加重要。事实证明,欺骗技术特别擅长收集和关联威胁与对手情报,这在生成经过验证的警报和定制情报方面非常宝贵,可以帮助防御者缩短对经过验证的威胁的响应时间。安全专家通常根据每个警报的准确性,通过其“信噪比”保真度来识别欺骗。本机集成可用,因此可以自动进行阻止、隔离和威胁搜寻,以缩短响应时间。欺骗技术通过进一步自动化和加速检测和补救过程,增加了现有安全控制的价值,并降低了成功攻击作业控制和业务基础设施的风险。欺骗技术代表着前进的方向美国政府采取了非凡的步骤,将美国核心基础设施的某些方面“数字化”,用模拟系统取代连接系统,以保护它们免受潜在攻击。尽管这种方法有其优点,但它是一种倒退,并且与全球相互关联的经济和基础设施的发展方向背道而驰。“政府不应试图隔离这些系统,而应将重点放在网络内保护上,这些保护可以在入侵者实现其目标之前及早发现入侵者并提醒防御者。与NIST相关的更先进的措施之一。标准组发布草案版本在6月19日发布的新指南中,承包商提出了31条新建议,以加强承包商的防御并保护其网络上的非机密(但仍然敏感)的政府数据免受高级持续威胁(APT)的受害者或政府资助的攻击者的侵害。此类数据的范围可以从社会安全号码和其他个人身份信息到重要的防御计划详细信息。这些建议包括诸如对关键或敏感操作实施双重授权访问控制、在适当情况下采用网络分段、部署欺骗技术、建立或雇用威胁搜寻团队以及运营安全运营中心以持续监控系统和网络活动等流程。欺骗技术显然是安全堆栈不可或缺的一部分。将其添加到上游和下游安全控制可降低与安全设计和操作漏洞相关的风险,并提高安全团队对攻击者如何获得访问权限的可见性。那些正在攻击的人可以跟随他们。无需中断操作,无需代理或监控。
