保護關鍵基礎架構組織
利用 IT 網路安全性技術來防止營運中斷
關鍵基礎架構營運商支撐著現代社會的骨幹 — 使其成為網路安全性攻擊的主要目標。與其他產業不同,對這些組織發起攻擊的網路罪犯及國家級行為者很少想要竊取資料。取而代之的是,他們想要製造營運中斷,這會對經濟造成損害,並對數百萬人產生嚴重後果。
針對關鍵基礎架構營運商的攻擊正與日俱增。2023 年,美國運輸安全管理局 (TSA) 的 CIO 表示,針對美國基礎架構的網路攻擊數量不斷攀升,且外國對手的網路能力不斷增強,這意味著我們已經進入了網路戰爭。而實際上,針對美國交通運輸、水資源和能源營運商的攻擊都與國家支援的網路罪犯有關。
2024 年,美國環境保護署 (EPA) 呼應了 TSA 的看法,指出「最近在水系統發生的高調事件顯示了解決網路安全性弱點和實體攻擊漏洞的緊迫性。」同年,非營利性國際監管機構北美電力可靠性公司 (NERC) 警告稱,美國電網正變得越來越容易受到攻擊,且電網中易受攻擊點的數量每天增加約 60 個。
過去幾年的攻擊表明,相對較小的初始外洩(即使看似離散的 IT 系統)亦會對營運產生巨大的影響:
Colonial Pipeline:2021 年針對 Colonial Pipeline 的攻擊相對簡單:攻擊者使用入侵後的 VPN 認證來竊取資料,並在 IT 系統(包括計費和會計系統)中部署勒索軟體。為防止攻擊蔓延或避免燃料分配的計費問題,Colonial Pipeline 關閉了其營運。這引起了一場恐慌,人們因為新聞頭條而感到驚慌,爭先恐後地搶購汽油。
佛羅里達州奧茲馬市的水處理:同年早些時候,有人遠端存取了佛羅里達州奧茲馬小鎮一家水處理設施的關鍵系統,並短暫變更了飲用水中的鹼水水平。儘管工廠操作人員迅速撤銷了變更,沒有人受到傷害,但該事件凸顯了網路安全性攻擊如何影響社區成員的健康和福祉。
這些類型的攻擊需要改變 IT 網路安全性團隊支援營運的方式。過去,許多 IT 安全性與營運技術 (OT) 團隊是獨立的。IT 安全性專注於抵禦網路安全性威脅,而 OT 則專注於保持系統運作。
現代網路安全威脅要求 IT 安全性團隊擴展其角色。他們必須對 OT 套用全方位的網路安全功能,以防止毀滅性的中斷。
為什麼要將營運技術運用於 IT 安全性?
IT 和 OT 系統在十多年前就開始融合。針對工業 IoT 感應器、遠端監控系統,以及以雲端為基礎的分析進行實作��,已經將 IT 與 OT 環境建立連線。這種連線可實現營運效率,但也為對手開闢了新的途徑。正如 Colonial Pipeline 攻擊所顯示的,攻擊者不再需要入侵工業控制系統,即可造成嚴重的營運中斷。現在,一台遭入侵的筆記型電腦可提供通往該工業控制系統的路徑。設定錯誤的雲端服務可能會暴露監控與資料擷取 (SCADA) 網路。將 IT 安全性功能運用於 OT 對於封鎖攻擊者的路徑至關重要。然而,仍然有太少關鍵基礎架構實作統一的方法,以利用網路安全功能來保護 IT 和 OT。僅僅幾天的中斷就可能損失數千萬美元,因此立即實作這種統一方法提供了強有力的經濟理由。一個安全性平台能防止一天的計畫外停機,通常在第一次事件中就能收回成本。
「關鍵基礎架構營運商應將 IT 安全性視為營運保險,而不僅僅是資料防護。」
將 IT 安全性運用於營運技術的三步驟策略
為保護營運的 IT 安全性,最關鍵的基礎架構組織需要採取三步策略。從緊急需求開始,然後遵循最佳做法和以風險為基礎的架構,這有助您現在和未來應對威脅。
應對高優先順序風險
關閉網路釣魚騙局應是您的首要任務之一。許多針對關鍵基礎架構營運商和其他組織的網路攻擊始於網路釣魚。攻擊者試圖誘騙使用者提供企業系統的登入認證,或是點按連結來下載惡意程式碼,並透過公司網路進行傳播。對抗網路釣魚通常需要多個整合式解決方案。例如,部署電子郵件安全性解決方案,可阻止網路釣魚電子郵件到達使用者的收件匣。採用安全 Web 閘道 (SWG)解決方案,即使使用者被誘騙點按電子郵件或訊息中的惡意連結,亦可防止使用者存取惡意網站。實作基本的網路安全最佳做法
解決最迫切的需求後,便可實作更全面的方法,以便識別並緩解漏洞、保護系統和資料、偵測威脅,并快速回應攻擊。
識別:您的 IT 安全性團隊應找出並解決所有可能讓攻擊者中斷營運的漏洞。
例如,工程工作站經常成為攻擊者的目標,因為它們同時存取企業應用程式和工業控制站。這些工作站通常以升級的權限和寬鬆的安全性控制,來執行專門的工程軟體。IT 安全性部門可使用微分段來保護工程師工作站,從而中斷攻擊鏈。不是將工作站視為網路之間的受信任橋樑,而是利用一個可監控每個連線、驗證每次通訊,以及立即隔離可疑活動的安全性平台。此外,安全性團隊還需解決面向公眾的應用程式中的潛在漏洞,這些應用程式通常是攻擊的初始入口。實作 Web 應用程式防火牆 (WAF) 有助於即時封鎖威脅,同時維持營運連續性。保護:加強存取控制和改善資料保護,對於避免嚴重的營運中斷至關重要。
轉換為 Zero Trust 安全性模型,可防止未經授權的 IT 系統存取,避免營運中斷。藉助 Zero Trust 網路存取解決方案,您可確保只有具有適當授權的相應使用者,才能存取特定應用程式。這有助於防止攻擊者在您的環境中進行任何橫向移動,從而避免掃描網路。
偵測:IT 安全性團隊必須預測新出現的威脅,以便採取正確的預防措施。
採用進階網路安全性平台,您可分析全球網路中的攻擊模式,並發現針對特定工業部門或控制系統廠商的活動。這些威脅情報可能會在任何實際攻擊發生前數小時或數天,到達您的安全團隊。然後,您的 IT 安全性平台可主動封鎖攻擊基礎架構、套用修補程式到漏洞系統,或實作補償性控制 — 所有這些都在營運系統面臨風險之前完成。
這種方法是從反應式安全性到預測性營運防護的根本轉變。IT 網路安全成為營運可靠性威脅的早期警告系統。
回應:即時回應威脅需要自動化。
使用機器學習的 WAF 服務可即時識別並自主封鎖威脅。對於某些關鍵基礎架構組織而言,採用安全性營運中心 (SOC) 即服務解決方案將是對 WAF、DDoS 和其他安全解決方案的重要補充。SOC 服務可快速回應攻擊,同時進行根本原因分析,提供詳盡的事件報告,並協助制定未來對策的計畫。採用以風險為導向的架構
許多關鍵基礎架構營運商將受益於遵循美國國家標準與技術研究院 (NIST) 網路安全架構 (CSF) 來管理網路風險。CSF 旨在協助各種規模的組織更好地理解、評估、優先考量及討論網路安全風險。它特別適合用於管理複雜的環境,包括 IT 和 OT 正在融合的環境。
雖然該架構不推薦具體的解決方案,但可協助您識別所需的安全性功能和程序改善。您可使用該架構來制定有效的策略,從而利用 IT 安全性來確保營運不中斷。
促進 IT 和 OT 的融合
實際上,問題不在於 IT 安全性是否應保護 OT 系統。這取決於您目前的安全架構是否已準備好迎接其擴展的角色。
Cloudflare 提供全方位的雲端原生網路安全功能,以應對可能導致關鍵基礎架構營運商出現營運中斷的主要威脅。藉助 Cloudflare 服務,組織可獲得切實可行的威脅情報、自動封鎖威脅、阻止網路釣魚詐騙,並建立 Zero Trust 模型以防止未經授權的網路存取。SOC 即服務產品讓組織能夠將監控、威脅偵測和事件回應工作交由專家團隊處理。
這些產品及其他服務可協助您達到並超越 NIST CSF 中建議的網路防護措施。藉助 Cloudflare,您可以高效且有效地利用 IT 安全性來應對導致營運中斷的風險。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
深入了解面向聯邦機構的《實現高效 IT 的簡單方法》電子書中有關 IT 現代化專案的最佳做法,以協助您加強安全性並防止營運中斷。
作者
Dan Kent — @danielkent1
Cloudflare 公共部門現場技術長
重點
閱讀本文後,您將能夠瞭解:
營運中斷對關鍵基礎架構的影響
將 IT 安全性運用於營運技術的三步策略
保護營運技術的關鍵安全性能力