评论
最新产品 有关伏特台风的头条新闻是一个由国家支持的中国威胁行为者,针对美国关键基础设施,已对攻击者的停留时间发出警报,并将 关键基础设施安全 在聚光灯下。该组织以网络基础设施设备为目标,获取对关键基础设施组织的访问权限,然后使用离地技术潜伏在受害者的环境中,为未来的攻击做好准备。众所周知,伏特台风的目标是通信、能源、水和交通部门。
毫无疑问,关键基础设施的威胁(例如我们从伏特台风中看到的威胁)令人担忧,需要认真对待。对关键行业的攻击有可能造成大规模的破坏和破坏,甚至可能使人们的生命处于危险之中——例如,受损的水源、天然气管道、公用设施和医疗设备可能会产生危及生命的影响。鉴于风险较高,关键基础设施组织需要加强安全,以确保人员安全和全球经济正常运转。
然而,作为工作在关键基础设施安全第一线的人,我认为,我们不应该对 Volt Typhoon 及其所带来的威胁感到恐慌,而应该关注以下几个积极因素:
-
针对关键基础设施的恶意软件活动是定制的且具有挑战性。建立一个有效的一揽子计划需要很多人的努力。我们知道这一点是因为我们不幸地发现了复杂的构建。然而,积极的一面是我们现在正在寻找恶意软件活动。
-
许多 16个CISA定义的关键基础设施行业 与几年前相比,他们的安全防御已经成熟,并且能够更好地防御高级威胁。实现“安全”还有很长的路要走,但我们的预防和检测能力比 2020 年更好。
-
恶意软件在攻击时机成熟之前潜伏多年的情况并不罕见。认识到这一点,安全运营中心 (SOC) 团队专注于威胁检测,改进吸收关键基础设施、工业控制系统 (ICS) 和运营技术 (OT) 警报的方法,从而缩短了恶意软件的驻留时间并提高了整体安全性。
关键基础设施部门的重点领域
最大的收获之一 伏台风 活动的重点是,对于关键基础设施组织来说,经常进行风险评估以了解针对其公司的威胁如何变化,然后利用该情报相应地调整其网络安全和网络弹性策略至关重要。
如果您不知道存在威胁,就无法防御它。并非所有组织都面临相同的威胁。此外,今天最大的威胁可能不是明天最大的风险来源。出于所有这些原因,经常识别和量化组织的独特风险是保持安全和网络弹性的第一步。
风险评估完成后,您可以相应地制定或完善您的安全计划。由于威胁和业务需求一直在变化,因此这应该是一个可行的策略。也就是说,有一些安全基本原则应始终优先考虑,包括:
-
网络分割: 将网络划分为不同的区域,以适应不同类型的用户和服务。这种方法有助于遏制攻击并限制威胁在网络内的横向移动。
-
入侵检测系统(IDS): 监控网络流量是否存在可疑活动。这很重要,因为传统的端点安全工具无法安装在所有网络基础设施设备上。
-
身份安全: 最佳组合是安全远程访问与特权访问管理 (PAM)。前者允许用户安全地连接到网络并防止未经授权的访问。后者保护对关键站点中的各个控制器具有高级访问权限的特权用户帐户,因此网络攻击者无法利用它们在受害者的环境中移动。
从过去到现在
五年前,人们对关键基础设施安全的认识非常有限,有关 Volt Typhoon 等威胁行为者活动的头条新闻将令人震惊。不过,自那时以来,我们已经取得了长足的进步,不仅在认识到这些部门的风险方面,而且还建立了网络安全基准以确保关键基础设施组织的安全。
因此,虽然对关键基础设施的攻击确实在增加,但组织现在也确实拥有防御这些攻击所需的知识和工具。组织不再需要措手不及。通过针对业务独特威胁的风险评估、安全基础知识和高级安全策略,关键基础设施组织可以构建强大的安全计划,能够抵御任何类型的攻击并保持组织的网络弹性。
