公用事業行業的網路安全
對關鍵基礎設施的攻擊對國家安全構成威脅。以下是加強防禦的方法。
今年,美國最大的電力公用事業監督機構之一,釋出了一份令人不安的評估。北美電力可靠性公司(NERC)在其年度可靠性狀況報告中警告說,「地緣政治事件、新的漏洞、技術變化,以及日益大膽的罪犯和駭客」在2021年對該行業構成了嚴峻挑戰。
這些網路安全挑戰並沒有減弱。 在最近一篇關於俄羅斯網路戰爭目標的文章中,一家能源公司表示,其惡意網路活動增加了 40%。 其他公用事業公司現在花費寶貴的錢,不是升級他們的技術,而是償還勒索軟體攻擊者。同一篇報導指出,從 2019 年到 2020 年,針對電力公司的勒索軟體活動增加了170%,攻擊繼續上升。
但網路犯罪分子並不總是追求金錢。民族國家支援的威脅行為者,越來越希望造成社會損害。 這些駭客,無論是總部位於俄羅斯、中國、朝鮮、伊朗還是其他地方,都希望讓對手的公民感到脆弱。他們希望普通人生活在恐懼中,擔心有一天他們當地的電力、天然氣或水務公司可能會使他們沒有關鍵服務。
出於更具策略性的原因,民族國家也可能針對小型公用事業。去年,追蹤到香港的襲擊者選擇了小型公用事業目標,因為它們靠近主要的聯邦大壩和輸電線路,對鋼鐵廠進口非常重要的導航閘,以及電網規模的能源分配樞紐。
受監管機構的約束
儘管對一個國家最大的公用事業公司的潛在攻擊,引起了最多的關注,但即使是對最小公用事業的攻擊,顯然也對美國國家安全構成了嚴重威脅。拜登政府在 2021 年 4 月釋出目的在確保關鍵基礎設施,免受這些破壞穩定的網路攻擊的行政命令時也,認識到了這一點。
但小型公用事業處於困境。一方面,他們清楚地看到需要進行重大的 IT 改進,以防止漏洞。另一方面,作為公用事業,它們受到嚴格監管,特別是在向公眾收取服務費率方面。
保護任何組織免受駭客攻擊都要花錢。但小型公用事業公司往往缺乏預算來保護自己和客戶 —— 家庭、學校、醫院、市政服務和企業 —— 他們所服務。
因此,這些公用事業必須經常與對現代網路工具來說,太舊的技術作對手,持續缺乏訓練有素的網路安全專業人員,以及必須戴許多帽子的 IT 員工。
市政公用事業和農村合作社處於另一個劣勢,因為它們與大型公用事業不同,它們在 NERC 的監督和保護之外運作,NERC 監控散裝電力系統所有者、營運商和使用者,並為他們提供重要資源和資訊的訪問許可權。
儘管所有卡片都堆積在一起,但許多較小的公用事業公司正在尋找將其營運數位化的方法,使用智慧計量、線上支付門戶和雲端運算平台等技術,來保護其營運免受網路威脅,同時滿足 21 世紀客戶的需求。
向前兩步會導致後退一步
關於這種現代化的壞消息是,它也引起了威脅行為者的注意。一旦實用程式開始實施更複雜的系統,它也更有可能吸引駭客的注意力。一旦實用程式讓員工和客戶上線,就會出現網路釣魚、勒索軟體和拒絕服務攻擊的事件。
專注於小型公用事業的網路犯罪分子,知道該市場的複雜性,包括員工和客戶行為模式,並利用這些知識滲透到安全系統中。他們對該行業的公司營運方式瞭解得越多,就越能橫向穿越被破壞的網路。
橫向移動允許首先訪問單個端點的攻擊者,也許當公用事業員工墜入網路釣魚攻擊時,可以移動到實用程式環境中的新目標。一旦駭客訪問一台電腦,他們就可以掃描它,以查詢可用於訪問其他應用程式和端點的憑據。然後,他們使用不斷成長的憑據列表,從一個裝置移動到另一個裝置,從一個端點移動到另一個端點。很快,他們就可以自由植入惡意軟體,如勒索軟體來竊取客戶資訊。它們甚至可以穿透數位感測器,對機器造成實際實體損壞。
一磚一瓦地建造防禦工事
小型公用事業公司可以採取一些措施,來防止或儘量減少橫向移動。首先,由於該技術取決於使用者和組訪問許可權,最佳實踐之一是透過只向用戶提供完成工作所需的許可權來限制這些批准。限制對其他使用者、組和端點的訪問使駭客更難移動。這些可能是小步驟,但大多數公用事業公司都觸手可及。
更雄心勃勃的措施包括安裝新伺服器和安全軟體、培訓員工,或建立安全營運中心。當然,這些步驟可能要花費數百萬美元,如果你是一個為社群提供負擔不起更昂貴能源賬單的農村公用事業,那麼它們將是一個沈重的負擔。一些國家資助的機構,以低成本或免費提供網路安全培訓,但大多數專家一致認為,需要更多的聯邦援助來加快小型業務。
在更多的聯邦支援下,小型公用事業公司可以開始建立多條防線,從共享應用程式和網路的基本身份和訪問管理,以及多因素身份驗證工具開始。
就我個人而言,我非常相信網路訪問的零信任模式。零信任只是意味著端點或使用者在被驗證之前,被視為不值得信賴。它還要求根據誰請求訪問、請求的上下關聯和環境的風險程度,授予最不優先的訪問許可權。
一般來說,小型公用事業公司將得到很好的服務,以實踐良好的 IT 和網路安全衛生的基本知識。這首先要辨識、清點和監控網路上的所有內容:雲端的膝上型電腦、PC、平板電腦、伺服器和虛擬機器。透過定期即時監控這些端點,即使是最小的小型公用事業公司,也能大大有助於快速檢測,和阻止潛在漏洞和主動威脅。
沒有留言:
張貼留言