網(wǎng)絡(luò)攻擊瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施
如今網(wǎng)絡(luò)威脅已經(jīng)滲透到人們生活的方方面面。不僅勒索軟件和網(wǎng)絡(luò)釣魚攻擊日益泛濫,近年來還出現(xiàn)了越來越多針對(duì)關(guān)鍵基礎(chǔ)設(shè)施的攻擊。那些曾經(jīng)將OT和IT分離甚至采用物理隔離的環(huán)境,現(xiàn)在很大程度上已經(jīng)融合。這為破壞運(yùn)營等進(jìn)一步升級(jí)的攻擊行為提供了可乘之機(jī)。
類似的例子有很多。例如,燃油管道運(yùn)營商科洛尼爾管道運(yùn)輸公司(Colonial Pipeline)遭遇勒索軟件攻擊導(dǎo)致管道暫時(shí)關(guān)閉,引發(fā)社會(huì)對(duì)資源供應(yīng)的擔(dān)憂,這是過去幾年里影響最為深遠(yuǎn)的關(guān)鍵基礎(chǔ)設(shè)施攻擊。因一家關(guān)鍵供應(yīng)商遭遇網(wǎng)絡(luò)攻擊,汽車制造商豐田公司被迫短暫停工;全球最大的肉食品加工商JBS公司因勒索軟件攻擊導(dǎo)致整條食品供應(yīng)鏈?zhǔn)艿接绊懀幻绹鹆_里達(dá)州的Oldsmar水處理廠也成為網(wǎng)絡(luò)攻擊的受害者,這次攻擊可能已經(jīng)污染了供水系統(tǒng)。
運(yùn)營彈性成為關(guān)注焦點(diǎn)
面對(duì)日益嚴(yán)峻的網(wǎng)絡(luò)威脅,關(guān)鍵基礎(chǔ)設(shè)施行業(yè)愈發(fā)關(guān)注運(yùn)營彈性。水、電力、食品……關(guān)鍵基礎(chǔ)設(shè)施一旦中斷運(yùn)營,很可能直接影響人們的健康甚至生命安全,因此不容任何差錯(cuò)。在一個(gè)威脅不斷增加、工作習(xí)慣不斷變化的時(shí)代,保持運(yùn)營彈性是許多企業(yè)面臨的持續(xù)挑戰(zhàn)。對(duì)于負(fù)責(zé)我們關(guān)鍵基礎(chǔ)設(shè)施的組織、機(jī)構(gòu)和企業(yè)而言更是如此。
數(shù)字化轉(zhuǎn)型正從根本上改變?cè)撔袠I(yè)保護(hù)網(wǎng)絡(luò)安全的方式。隨著混合辦公的常態(tài)化和云遷移的加速,應(yīng)用與用戶無處不在,并且用戶希望能從任何地點(diǎn)通過任何設(shè)備進(jìn)行訪問。過去在辦公室辦公 時(shí)對(duì)用戶身份真實(shí)性的隱含信任已經(jīng)不復(fù)存在。為了應(yīng)對(duì)這種復(fù)雜情況,所有環(huán)境和交互需要達(dá)到更高的安全級(jí)別。
克服關(guān)鍵基礎(chǔ)設(shè)施中的安全挑戰(zhàn)
要想獲得彈性,就要克服關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中一些會(huì)對(duì)安全結(jié)果產(chǎn)生負(fù)面影響的常見挑戰(zhàn),例如:
停止支持系統(tǒng):關(guān)鍵基礎(chǔ)設(shè)施往往仍在使用停止支持系統(tǒng),這會(huì)導(dǎo)致其由于操作、合規(guī)性和保修方面的因素而無法順利安裝補(bǔ)丁和升級(jí)。
IT/OT融合:隨著IT和OT系統(tǒng)的融合,之前被隔離的OT系統(tǒng)已經(jīng)可以訪問,但攻擊風(fēng)險(xiǎn)也隨之而來。
專業(yè)人才不足:關(guān)鍵基礎(chǔ)設(shè)施行業(yè)普遍缺乏專業(yè)的安全人才和技能,近年來因?yàn)橄蜻h(yuǎn)程操作轉(zhuǎn)變而雪上加霜。
監(jiān)管合規(guī):許多關(guān)鍵基礎(chǔ)設(shè)施的垂直領(lǐng)域都需要遵守各種法規(guī)和規(guī)定,使辨別合規(guī)性變得更加復(fù)雜。
從數(shù)據(jù)中獲得洞察:隨著設(shè)備數(shù)量增加,企業(yè)往往難以從使用數(shù)據(jù)中獲得幫助指導(dǎo)業(yè)務(wù)和運(yùn)營結(jié)果的洞察和分析。
零信任是安全防御的關(guān)鍵
零信任可以幫助解決關(guān)鍵基礎(chǔ)設(shè)施環(huán)境面臨的諸多安全問題,還能提供它們所需的網(wǎng)絡(luò)彈性。其最基本的理念是通過消除隱含信任降低風(fēng)險(xiǎn)——每個(gè)用戶和訪問請(qǐng)求都要經(jīng)過驗(yàn)證,所有活動(dòng)都會(huì)受到持續(xù)監(jiān)控。
除了提供防御,零信任還能為處于不同地點(diǎn)的用戶提供一致的安全性和體驗(yàn)感。無論在家里還是辦公室,用戶在安全和風(fēng)險(xiǎn)方面都會(huì)被一視同仁,即使在辦公室也不會(huì)自動(dòng)獲得訪問權(quán)限。
零信任不止針對(duì)用戶,對(duì)云工作負(fù)載以及OT設(shè)備和網(wǎng)絡(luò)節(jié)點(diǎn)等基礎(chǔ)設(shè)施組件亦是如此。只有經(jīng)過驗(yàn)證,零信任模型才會(huì)授予設(shè)備和訪問相關(guān)權(quán)限,并提供控制手段。
以上這些要素可以強(qiáng)化關(guān)鍵基礎(chǔ)設(shè)施所需的安全態(tài)勢(shì)。
零信任是一項(xiàng)通過消除網(wǎng)絡(luò)架構(gòu)中的隱含信任來幫助防御數(shù)據(jù)泄露的戰(zhàn)略舉措。關(guān)鍵基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全方面最重要的目標(biāo)包括:防止網(wǎng)絡(luò)對(duì)資產(chǎn)造成破壞性的物理影響、預(yù)防關(guān)鍵服務(wù)中斷、保護(hù)人們的健康和安全。鑒于關(guān)鍵基礎(chǔ)設(shè)施的專用特性,以及相應(yīng)的網(wǎng)絡(luò)流量和補(bǔ)丁安裝挑戰(zhàn),零信任成為其理想的解決方案。
恰當(dāng)?shù)牧阈湃尾呗灾ι鐣?huì)正常運(yùn)轉(zhuǎn)
需要明確的是,零信任不是一款產(chǎn)品,而是一個(gè)需要落實(shí)的過程。從傳統(tǒng)網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型零信任無法一蹴而就,尤其是在關(guān)鍵基礎(chǔ)設(shè)施中。建議的做法是采用分段模式,將整個(gè)過程拆分成多個(gè)關(guān)鍵步驟。
1. 首先確定哪些關(guān)鍵基礎(chǔ)設(shè)施的IT和OT資產(chǎn)已經(jīng)落實(shí)到位。
2. 實(shí)現(xiàn)對(duì)全部資產(chǎn)的可見性和風(fēng)險(xiǎn)評(píng)估。可見是保護(hù)的前提,包括了解行為和交易流程在內(nèi)的廣泛的可見性,既有助于風(fēng)險(xiǎn)評(píng)估,還能為零信任策略的構(gòu)建提供參考。
3. 分離IT與OT網(wǎng)絡(luò),以達(dá)到控制風(fēng)險(xiǎn)和最小化攻擊面的目的。
4. 零信任策略的應(yīng)用包括:
» 最小權(quán)限訪問和持續(xù)信任驗(yàn)證是大幅降低安全事件影響的關(guān)鍵控制措施。
» 在不影響用戶生產(chǎn)力的情況下,持續(xù)安全檢查通過阻止包括零日攻擊在內(nèi)的已知和未知威脅來保障安全。
顧名思義,關(guān)鍵基礎(chǔ)設(shè)施十分“關(guān)鍵”,這就要求它們具備運(yùn)營彈性、減小潛在攻擊面,并將數(shù)字化轉(zhuǎn)型帶來的風(fēng)險(xiǎn)降到最低。采用恰當(dāng)?shù)牧阈湃尾呗钥梢栽诰W(wǎng)絡(luò)安全防御方面發(fā)揮核心作用,確保關(guān)鍵基礎(chǔ)設(shè)施的彈性和可用性,為社會(huì)正常運(yùn)轉(zhuǎn)提供有力保障。
