評論
最近 有關伏特颱風的頭條新聞是一個由國家支持的中國威脅行為者,針對美國關鍵基礎設施,已對攻擊者的停留時間發出警報,並將 關鍵基礎設施安全 在聚光燈下。該組織以網路基礎設施設備為目標,取得對關鍵基礎設施組織的存取權限,然後使用離地技術潛伏在受害者的環境中,為未來的攻擊做好準備。眾所周知,伏特颱風的目標是通訊、能源、水和交通部門。
毫無疑問,關鍵基礎設施的威脅(例如我們從伏特颱風中看到的威脅)令人擔憂,需要認真對待。對關鍵產業的攻擊有可能造成大規模的破壞和破壞,甚至可能使人們的生命處於危險之中——例如,受損的水源、天然氣管道、公用設施和醫療設備可能會產生危及生命的影響。鑑於風險較高,關鍵基礎設施組織需要加強安全,以確保人員安全和全球經濟正常運作。
然而,作為工作在關鍵基礎設施安全第一線的人,我認為,我們不應該對 Volt Typhoon 及其所帶來的威脅感到恐慌,而應該關注以下幾個積極方面:
-
針對關鍵基礎設施的惡意軟體活動是客製化的且具有挑戰性。建立一個有效的一攬子計劃需要很多人的努力。我們知道這一點是因為我們不幸地發現了複雜的構建。然而,積極的一面是我們現在正在尋找惡意軟體活動。
-
許多 16個CISA定義的關鍵基礎設施產業 與幾年前相比,他們的安全防禦已經成熟,並且能夠更好地防禦高階威脅。實現「安全」還有很長的路要走,但我們的預防和檢測能力比 2020 年更好。
-
惡意軟體在攻擊時機成熟之前潛伏多年的情況並不罕見。認識到這一點,安全營運中心(SOC) 團隊專注於威脅檢測,改進吸收關鍵基礎設施、工業控制系統(ICS) 和營運技術(OT) 警報的方法,從而縮短了惡意軟體的駐留時間並提高了整體安全性。
關鍵基礎設施部門的重點領域
最大的收穫之一 伏颱風 活動的重點是,對於關鍵基礎設施組織來說,經常進行風險評估以了解針對其公司的威脅如何變化,然後利用該情報相應地調整其網路安全和網路彈性策略至關重要。
如果您不知道有威脅,就無法防禦它。並非所有組織都面臨相同的威脅。此外,今天最大的威脅可能不是明天最大的風險來源。基於所有這些原因,經常識別和量化組織的獨特風險是保持安全和網路彈性的第一步。
風險評估完成後,您可以相應地制定或完善您的安全計劃。由於威脅和業務需求一直在變化,因此這應該是一個可行的策略。也就是說,有一些安全基本原則應始終優先考慮,包括:
-
網絡分割: 將網路劃分為不同的區域,以適應不同類型的使用者和服務。這種方法有助於遏制攻擊並限制威脅在網路內的橫向移動。
-
入侵偵測系統(IDS): 監控網路流量是否有可疑活動。這很重要,因為傳統的端點安全工具無法安裝在所有網路基礎架構設備上。
-
身分安全: 最佳組合是安全遠端存取與特權存取管理 (PAM)。前者允許使用者安全地連接到網路並防止未經授權的存取。後者保護對關鍵站點中的各個控制器具有高級存取權的特權使用者帳戶,因此網路攻擊者無法利用它們在受害者的環境中移動。
從過去到現在
五年前,人們對關鍵基礎設施安全的認識非常有限,而有關 Volt Typhoon 等威脅行為者活動的頭條新聞將令人震驚。不過,自那時以來,我們已經取得了長足的進步,不僅在認識到這些部門的風險方面,而且還建立了網路安全基準以確保關鍵基礎設施組織的安全。
因此,雖然對關鍵基礎設施的攻擊確實在增加,但組織現在也確實擁有防禦這些攻擊所需的知識和工具。組織不再需要措手不及。透過針對業務獨特威脅的風險評估、安全基礎知識和進階安全策略,關鍵基礎設施組織可以建立強大的安全計劃,能夠抵禦任何類型的攻擊並保持組織的網路彈性。
