保护关键基础设施企业
使用 IT 网络安全,防止运营中断
关键基础设施运营商为现代社会的中坚力量提供支持,这使其成为网络安全攻击的主要目标。与其它行业不同,针对这些企业发起攻击的网络犯罪分子和民族国家行为者很少是为了窃取数据。相反,他们的目的是制造运营中断,造成经济损失,以及对数百万人产生严重的影响。
针对关键基础设施运营商的攻击日益增多。2023 年,美国运输安全管理局 (TSA) 首席信息官表示,针对美国基础设施的网络攻击数量不断增加,以及外国威胁行为者的网络能力不断增强,意味着我们已经卷入了一场网络战争。事实上,针对美国交通运输、供水和能源运营商的攻击均与国家支持的网络犯罪分子息息相关。
2024 年,美国环境保护署 (EPA) 呼应了 TSA 的观点,指出“近期供水系统中发生的引人注目的事件表明,解决网络安全漏洞和物理攻击隐患迫在眉睫。”同一年,非营利性国际监管机构北美电力可靠性公司 (NERC) 警告称,美国电网越来越容易遭受攻击,且电力网络中易受攻击点的数量每天增加约 60 个。
过去几年发生的攻击事件表明,即使是针对看似独立的 IT 系统,最初相对较小规模的入侵事件也可能对运营产生巨大的影响:
Colonial Pipeline:2021 年针对 Colonial Pipeline 的攻击相对简单:攻击者使用泄露的 VPN 凭证,窃取数据并在 IT 系统(包括计费和会计系统)中部署勒索软件。为了防止攻击蔓延或避免账单问题导致的燃油分配问题,因此 Colonial Pipeline 关闭了运营。这引发了人们的恐慌,因为大家都因新闻报道而警觉,争先恐后地购买汽油。
佛罗里达州奥尔兹马水处理:2021 年早些时候,有人远程访问了佛罗里达州奥尔兹马小镇一家水厂的关键系统,并短暂地更改了饮用水中碱液的含量。尽管工厂操作员迅速撤回了更改且没有造成人员伤亡,但这起事件凸显了网络安全攻击对社群成员健康和幸福的影响。
这些类型的攻击要求 IT 网络安全团队改变其为运营提供支持的方式。过去,许多 IT 安全和运营技术 (OT) 团队相互独立,各自为政。IT 安全团队专注于低于网络安全威胁,OT 团队侧重于维护系统的正常运行。
现代网络安全威胁要求 IT 安全团队拓展其职责范围。他们必须将全面的网络安全功能应用于 OT,以防止毁灭性的运营中断。
为什么要将运营技术应用于 IT 安全?
早在十多年前,IT 系统与 OT 系统��已经开始融合。工业物联网 (IoT) 传感器、远程监控系统,以及云分析技术的实施,已经将 IT 环境与 OT 环境连接了起来。
这种连接不仅提高了运营效率,而且也为威胁攻击者开辟了新的攻击途径。正如 Colonial Pipeline 攻击事件所示,攻击者不再需要入侵工业控制系统,就可以引发严重的运行中断。现在,一台遭到入侵的笔记本电脑,就是入侵该工业控制系统的一条途径。配置错误的云服务可能会暴露监控和数据采集 (SCADA) 网络。
将 IT 安全功能应用于 OT,是阻断攻击者的攻击路径的关键。然而,极少数关键基础设施已实施了统一的安全方法,利用网络安全功能同时保护 IT 和 OT 系统。
几天的运营中断可能会造成数千万美元的损失,因此,这为立即实施统一的安全方法提供了坚实的经济依据。假如安全平台只能防止一天的意外宕机,通常在第一次发生此类事件时便收回成本。
“关键基础设施运营商应该将 IT 安全视为运营保障,而不仅仅只是为了保护数据。”
将 IT 安全应用于运营技术的三步策略
为了利用 IT 安全措施保护运营,大多数关键基础设施企业需要采用三步策略。首先是满足紧迫的需求,然后采用最佳实践和基于风险的框架,这有助于企业应对当前和未来的威胁。
化解高优先级风险
阻断网络钓鱼攻击应该成为企业的首要优先事项之一。许多针对关键基础设施运营商和其他企业的网络攻击,都始于网络钓鱼。攻击者试图诱骗用户提供企业系统的登录凭证或单击链接,从而通过公司网络下载和传播恶意软件。应对网络钓鱼通常需要多种集成式解决方案。例如,部署电子邮件安全解决方案,可以阻止网络钓鱼电子邮件进入用户的收件箱。采用安全 Web 网关 (SWG) 解决方案,可以阻止用户访问恶意网站,即使用户被诱骗单击电子邮件或消息中的恶意链接。实施基本的网络安全最佳实践
在满足了最紧迫的需求之后,可以实施更全面的方法,让企业能够识别和缓解漏洞、保护系统和数据、检测威胁,以及快速响应攻击。
识别:IT 安全团队应及时发现并解决所有可能让攻击者能够扰乱企业运营的安全漏洞。
例如,工程工作站经常成为攻击者的目标,因为这些工作站可以访问企业应用和工业控制站。这些工作站通常运行专门的工程软件,拥有提升的访问权限和宽松的安全控制措施。IT 安全团队可以采用微分段技术保护工程工作站,以此来打破攻击链。企业应该使用一个可以监测每个连接、验证每次通信并立即隔离可疑活动的安全�平台,而不是默认将工作站视为网络之间的可信桥梁。安全团队还需要解决面向公众的应用中的潜在漏洞,这些漏洞通常是攻击shija的初始切入点。实施 Web 应用防火墙 (WAF) 有助于实时阻止威胁,同时维持运营的连续性。
保护:增强访问控制和改善数据保护,对于避免严重的运营中断至关重要。
过渡到 Zero Trust 安全模型,让企业能够阻止未经授权的 IT 系统访问,从而避免导致运营中断。采用 Zero Trust 网络访问解决方案,企业可以确保只有拥有适当授权的适当用户才能访问特定应用。这有助于防止攻击者在企业环境中进行横向移动来扫描网络。
检测:IT 安全团队必须预测新兴威胁,以便采取适当的预防措施。
采用先进的网络安全平台,企业可以分析全球网络中的攻击模式,并发现针对特定产业部门或控制系统供应商的攻击活动。这些些威胁情报可能在实际攻击发生前的数小时或数天,发送给企业安全团队。然后,IT 安全平台可能会主动阻止基础设施攻击、为易受攻击的系统应用补丁,或实施补偿性控制措施,所有这些都是在运营系统面临风险之前完成。
这种方法是从被动安全到预测性运营保护的根本转变。IT 安全将成为运营可靠性威胁的早期预警系统。
响应:实时响应威胁需要自动化功能。
使用机器学习的 WAF 服务,可以实时识别并自主阻止威胁。对于一些关键基础设施企业而言,采用安全运营中心 (SOC) 即服务解决方案将成为对 WAF、DDoS 以及其它安全解决方案的重要补充。SOC 服务能够快速响应攻击,同时进行根本原因分析,提供详尽的事件报告,并帮助制定未来的应对之策。采用风险指引框架
许多关键基础设施运营商将受益于按照美国国家标准与技术研究院 (NIST) 的网络安全框架 (CSF) 来管理网络风险。CSF 旨在帮助各种规模的企业更好地理解、评估、讨论网络安全风险并确定其优先级。这在管理复杂环境(包括 IT 与 OT 融合的环境)时特别有用。
虽然该框架不推荐具体的解决方案,但它有助于企业确定所需的安全功能和流程改进。企业可以使用该框架制定有效的策略,从而利用 IT 安全来维持不间断的运营和确保运营的连续性。
实现 IT 与 OT 融合
实际上,问题不在于 IT 安全是否应该保护 OT 系统。关键在于企业现有的安全架构是否已准备好承担其扩展的职责。
Cloudflare 提供全方位的云原生网络安全功能,以应对可能导致关键基础设施运营商运营中断的主要威胁。利用 Cloudflare 服务,企业可以获得据以行动的威胁情报,自动阻止威胁,阻止网络钓鱼攻击,以及构建 Zero Trust 模型来阻止未经授权的网络访问。SOC 即服务解决方案让企业能够将监测、威胁检测和事件响应工作全部交给专家团队。
这些服务以及其它服务有助于企业达到并超越 NIST CSF 中建议的网络保护标准。采用 Cloudflare 解决方案,可以高效且有效地利用 IT 安全措施,应对可能导致运营中断的各种风险。
Cloudflare 就影响当今技术决策者的最新趋势和主题发布了系列文章,本文为其一。
深入探讨这个话题
阅读《联邦机构维持高效 IT 的简单方法》电子书,进一步了解 IT 现代化项目的最佳实践,以及这些实践如何有助于增强安全并防止运营中断。
作者
Dan Kent - @danielkent1
现场首席技术官,Cloudflare 公共部门
关键要点
阅读本文后,您将能够了解:
关键基础设施运营中断的影响
将 IT 安全应用于运营技术的三步策略
保护运营技术的关键安全功能