2021年5月,美国最大的成品油管道系统ColonialPipeline遭受了毁灭性的网络攻击。由易受攻击的VPN密码引起的漏洞导致公司关闭数天,并导致东海岸石油短缺。这只是对关键行业的毁灭性攻击的一个例子。关键基础设施对人们的日常生活至关重要。例如,英国政府表示,有13个行业属于“关键基础设施”范畴,包括化工、民用核能、通信、国防、应急服务、能源、金融、食品、政府、卫生、航天、运输和水。所有这些提供对社会日常运作至关重要的服务都是最敏感和机密数据的蜂巢,威胁行为者可以轻松地在暗网上获利,从而进一步加剧网络犯罪和破坏。不幸的是,网络罪犯并没有忽视广泛破坏的可能性。事实上,美国网络安全和基础设施安全局(CISA)已敦促英国迅速采取行动,警告其政府可能成为9-11式网络攻击的受害者。今年,澳大利亚、加拿大、新西兰、美国和英国的网络安全当局还呼吁关键基础设施的捍卫者为俄乌冲突后网络攻击的升级做好准备。世界各地已经感受到这种增加的风险,各个国家和公共机构,从古巴和秘鲁政府到南斯塔福德郡水务公司等水务公司,以及丹麦最大的火车运营商和受供应影响的NHS。攻击目标连锁攻击。随着世界各地的政治紧张局势加剧,我们的关键基础设施再次受到攻击的可能性不仅令人担忧,而且极有可能发生。那么,让我们来看看当前的威胁形势是什么样的,以及企业和政府机构如何才能更好地保护自己。为什么关键行业的风险更大?这种对关键基础设施的关注是有意为之的。网络犯罪分子很清楚任何中断都会对重要服务产生影响,不仅在财务上,而且在公众信心方面。例如,在公用事业中,你不能指望人们没有电或水,这意味着企业更有可能在勒索软件攻击时支付费用。黑客也非常敏锐,在动荡时期发动攻击,例如利用持续的能源危机作为网络钓鱼或中间人攻击的切入点。关键基础设施组织的另一个常见风险因素是它们都拥有高度互连的遗留技术。这可能包括可能不会每天使用但仍处于活动状态的旧设备,或者对业务流程至关重要但仅运行无法修补的旧软件的机器。虽然这些遗物存在于我们的托管网络中,但其中大部分不在我们的数字和安全团队的所有权之下。诚然,有些行业比其他行业更依赖于其他行业,例如公用事业,但每个人都有自己的战斗需要克服。缺乏对其技术资产的统一理解使得这些行业更难实施整体安全策略,同时也为黑客提供了更多途径来访问更广泛的网络。连接性增加是问题所在吗?物联网设备的引入加剧了这种情况,这些设备管理起来极其复杂,而且很少在构建时考虑到安全性。随着企业收集更多数据并扩展其网络基础设施,它们对黑客的吸引力越来越大,也越来越难以抵御威胁。重要的是不要忘记过去的经验,例如殖民管道,而是要用它来推动下一步。虽然增加的连接性确实扩大了攻击面并使其更难管理,但有一些技术可以帮助保护物联网设备免受新威胁并使这一过渡期更加顺畅。重要的是我们不要阻碍技术进步。如果我们看看运输行业,当我们登机时,我们不知道飞行员是处于控制状态还是处于自动驾驶状态。但我们仍然觉得去度假和旅行很舒服。尽管自动驾驶汽车的连接性和对IT的依赖程度有所提高,但仍有可能对自动驾驶汽车的发展建立同样程度的信任。为实现这一目标,制造商需要在这些产品中内置安全功能。如果设计时考虑到安全性,它们就不太可能被破坏。这是一个可交付的信息,需要支持每个部门的每一个新决策,尤其是关键基础设施。保护我们的未来许多组织擅长风险管理,但缺乏从员工参与和BYOD(自带设备)安全到防火墙管理和反恶意软件保护的端到端网络战略。任何一个要素的缺失都可能造成具有毁灭性后果的脆弱性。有什么要点?我们认为有四个关键要素:沟通是关键:企业的实力取决于其最薄弱的环节,因此在企业内部(从管理到IT)进行公开对话至关重要。如果管理不当,任何可以访问公司网络的设备都可能让黑客获得访问权限。向家庭和混合工作的转变使问题成倍增加,因此组织应该与员工交谈并教育他们如何保持安全。可见性和网络分段:如果不了解其中的资产,就不可能成功保护网络。进行全面的盘点,包括云资产和数据存储,将暴露任何弱点,例如未修补的安全更新或固件过时的设备。一旦绘制出网络地图,组织就可以实施网络分段等策略,以创建一个虚拟的内部屏障,阻止黑客横向移动并造成广泛破坏。CISO需要尽自己的一份力量:CISO(首席信息安全官)的作用是确保管理层更好地了解企业面临的风险。CISO的工作是影响他们并用他们理解的语言向他们表达意见。这意味着详细说明安全性薄弱的业务后果。CISO与更广泛的企业之间普遍缺乏沟通,这需要改变以更好地保护我们的关键服务。需要一个总体权威:当我们审视关键基础设施面临的挑战时,很明显所有行业的企业都需要提升他们的网络安全计划。但他们自己做不到。我们需要一个统一的监管机构来帮助这些部门实施标准做法。这将减少网络安全支出的缺口,例如能源和水资源。今天,我们的关键基础设施是一个明亮的灯塔,吸引着来自四面八方的网络犯罪分子。威胁级别继续增加,后果只会变得更糟。现在是采取行动的时候了,预防应该是他们为更好地保护自己而采取的每一步的核心。
