关键基础设施安全是至关重要的关切

评论

关键基础设施已不再是从前的模样。过去几十年来，数字化程度的提高将这些部门转变为运营技术（OT）、工业控制系统（ICS）和连接设备的复杂网络，每种技术都具备新的能力和固有风险。

尽管发生了这场革命，关键基础设施组织的安全实践却相对保持不变。但这在当前的网络环境中远远不够。

2024年，关键基础设施遭受了约9亿次网络攻击，较2023年增加了114%。美国是主要目标，大多数威胁行为者源自中国、俄罗斯和伊朗。最近，作为伊朗-以色列冲突的一部分，来自伊朗的攻击不断升级，黑客重点针对美国石油行业公司、银行和国防承包商。未来，我们可以预期其他国家将在攻击中更多地利用网络战。

网络犯罪分子如何入侵？

尽管国家新闻头条往往另有说法，但最小的威胁往往造成最大的损害。例如，IT系统中的数据泄露导致重大OT中断极为常见。著名事件包括2010年对伊朗核设施的Stuxnet攻击。

其他常见攻击向量包括勒索软件、配置错误、高级持续性威胁（APT）和供应链漏洞，这些已在美国关键基础设施的重大安全事件中使用。最广为人知的是2021年5月的Colonial Pipeline勒索软件攻击，该攻击停止了运营，并因担心燃料短缺而使美国人陷入恐慌。黑客经常以关键基础设施为目标进行勒索软件攻击，因为他们了解中断带来的高昂成本，并知道组织宁愿支付赎金也不愿业务停滞——正如Colonial Pipeline支付440万美元赎金以恢复运营所示。该攻击最终追溯到人为错误，黑客通过受损的员工密码获得入口。

另一个例子是中国的APT组织Volt Typhoon，自2021年以来一直稳步针对美国关键基础设施。它在目标网络后潜伏数月甚至数年，利用漏洞并在不被发现的情况下窃取数据。受害者包括马萨诸塞州的电力设施Littleton Electric Light and Water Departments（LELWD），该设施在300多天内未意识到被渗透。

后果是什么？

这些攻击的影响可能是毁灭性的，具体取决于组织的响应和恢复时间。任何关键基础设施部门的服务或机器延迟或停止都会使公众面临风险。以2003年的东北大停电为例，该停电蔓延到美国和加拿大，导致约4000万人断电。2021年2月，佛罗里达州一个小镇的居民也面临中毒风险，因为黑客入侵了其水系统并危险地提高了氢氧化钠的水平。

即使关键基础设施组织在攻击影响公共安全之前阻止了它，它们仍可能面临重大的财务、法律和声誉后果。运营停机可能使关键基础设施组织每小时损失超过26万美元。这迅速累积，特别是当漏洞需要一周或更长时间才能恢复时。《通用数据保护条例》（GDPR）、《健康保险便携性和责任法案》（HIPAA）以及其他框架也在个人信息暴露时使组织承担法律责任。

为什么传统安全措施失败？

许多关键基础设施组织仅依赖主动安全措施。这包括通过持续监控和威胁检测来加强其边界防御、额外的访问控制和多因素认证（MFA）以及其他常见保护措施。然而，显然，黑客仍在找到突破的方法。组织必须假设，即使实施了所有预防和检测工具，仍会发生入侵。问题现在变成了：如何提前做好准备？

那些平衡主动防御与备份和恢复策略的组织正走在正确的轨道上，但它们可能正在实施传统的IT备份方法，如云，这些方法并非为具有最小停机要求的大型高压OT和ICS环境设计。通常，结果是在速度最关键时进行缓慢、复杂的恢复。

我们从这里走向何方？

变革始于思维方式的转变。虽然主动安全措施有助于最小化漏洞，但它们并非100%有效。为了在不断增长的威胁环境中真正具有弹性，组织必须平衡保护与准备。如果没有现代化的面向OT的恢复策略来维持关键操作并确保快速恢复，它们将使自己和公众面临长时间停机及其潜在严重后果的风险。

超过75%的工业组织报告在过去一年中至少经历了一次网络入侵，而这个数字继续稳步上升。你准备好了吗？

关于作者

Amit Hammer
CEO, Salvador Tech

Amit Hammer是Salvador Tech的首席执行官。他拥有超过二十年的商业和技术领导经验，涉及多个行业，职业生涯始于精英情报研发部门的军官，随后在德州仪器工作了十年，担任连接性和物联网（IoT）的全球领导角色。Amit还曾担任AI和大数据初创公司Neura的CEO、Otonomo的运营执行副总裁以及SolarEdge的项目副总裁等职务。