减轻关键基础设施网络安全风险的 3 种方法

物理安全和网络安全之间存在相当大的重叠,特别是在保护关键基础设施方面。防止基础设施被篡改需要在物理安全方面进行大量投资,但任何连接到互联网的设备都代表着更广泛网络的潜在攻击点。

缺乏足够保护的设备可能会给这些对手在网络中提供立足点,从而发起代价高昂且具有破坏性的攻击。针对基础设施目标的勒索软件攻击既流行又有利可图,因为简单地支付赎金通常比遭受严重停机更容易(也更便宜)。

长时间断电、断水或断热可能会造成高昂的代价,甚至是致命的,而且攻击者知道组织非常愿意为此付出代价。   

网络攻击还可用于为计划针对某个物理位置的犯罪团伙奠定重要基础。

毕竟,访问监控系统可以为他们提供有价值的情报,例如人员何时在场、安全巡逻遵循什么模式以及建筑物何时被占用或无人占用。获得监视源访问权限的攻击者可能会控制整个系统并发起勒索软件攻击,但他们的方法也可能更具针对性。

破坏关键位置的少量摄像头可能不会被注意到,并且可能有助于掩盖物理攻击或入侵。对手通常会避开“砸抢”战术,转而采用缓慢燃烧攻击,在网络上呆上数周或数月进行侦察。   

幸运的是,关键基础设施行业的运营商不需要接受这种程度的脆弱性。最近的技术进步(和行业法规)为关键基础设施组织提供了新的资源。那些希望限制遭受物理和数字攻击的人应确保尽可能保持最新的安全最佳实践。   

1:不要忽视您的 SBOM

组织通常对其环境中的硬件有深入的了解:摄像机的数量、服务器的类型等。但传统上,理解和分类正在使用的软件要困难得多。值得庆幸的是,开发商和制造商在任何新设备中包含软件物料清单 (SBOM) 已变得越来越普遍。

SBOM 顾名思义:用于开发给定软件的组件、资源和流程的列表。2021 年,白宫发布了第 14028 号行政命令,其中包括一系列旨在改善国家网络安全的新措施——截至今年,该命令正在得到严格执行。

该命令强制联邦实体强制执行 SBOM,尤其是在关键基础设施内工作,这意味着组织现在比以往任何时候都更容易准确地了解他们使用的产品和解决方案的具体内容。   

从网络安全的角度来看,这一点的价值怎么强调都不为过。如果供应商或单个软件受到损害,组织现在可以准确识别其在网络环境中存在的位置,并直接向制造商询问修复或修补计划。

SBOM 可以监控单个软件组件,如果其中一个组件包含漏洞,组织可以采取必要的步骤来确保任何受影响的设备不会让攻击者轻松访问其网络。   

2:加快修补和更新计划  

对于组织而言,及时更新补丁和更新通常是一个薄弱环节,而不仅仅是关键基础设施中的组织。随着技术之间的联系日益紧密,许多组织担心安装更新和补丁会破坏使他们的解决方案发挥作用的许多集成和相互依赖关系。许多组织在对待他们的产品时都采取“如果没有损坏,就不要修复它”的心态,虽然这在十年前可能还不错,但今天的攻击者更善于利用​​出现的漏洞。  

大多数产品制造商每 30 到 45 天发布一次补丁,但关键基础设施组织通常希望进行广泛的测试,以确保这些更新不会破坏他们的生产环境。这是可以理解的,但最终会适得其反:网络犯罪分子一旦发现漏洞就会寻求利用,而修补所需的时间越长,他们渗透到您的网络的时间就越长。当今的组织不能落后。及时修补和更新需要成为文化的一部分。   

特别害怕中断的组织可能希望寻找提供长期支持 (LTS) 选项的制造商。LTS 模型冻结功能更新,同时仍然推送网络安全补丁,使组织可以选择仅实施网络安全修复程序,同时对构成升级包其余部分的软件更新和功能推出进行测试。这减轻了破坏集成的危险,同时仍然允许组织解决最危险的安全漏洞。  

3:利用自动化和监控  

了解违规的根本原因非常重要,而错误配置是最重要的原因。现代组织部署了数百甚至数千个摄像头、传感器和其他安全设备,每个设备都需要安装、校准并集成到网络中。即使是最熟练的技术人员和集成商偶尔也会犯错误,而攻击者总是准备好利用。   

自动化可以大大降低危险的错误配置的可能性。如今的设备通常可以开箱即用地直接添加到网络中,而不是依赖集成商手动配置每个设备。有了正确的自动化解决方案,网络就可以检测正在添加的设备类型并应用正确的强化配置,获取签名证书以启用加密,并将设备安全地移动到生产环境。自动化不仅消除了人为错误的可能性,而且还使加入过程显着加快,从而可以轻松安全地添加新设备。   

自动监控可疑活动的能力也至关重要。借助 SBOM,组织可以查看他们已部署的特定技术,并确定他们需要采取哪些控制措施来减轻潜在的攻击。检测工具尤其重要:虽然不可能阻止每一次攻击,但越早检测到入侵者,就能越快地处理它们。

例如,端点检测和响应等解决方案可以帮助检测端点设备上启动的恶意软件签名和已知进程,让安全系统知道已识别出可疑活动。系统日志也很重要,因为它们记录给定设备上发生的所有情况,但将它们集成到更广泛的网络安全系统(例如能够扫描异常情况并发出自动警报的 SEIM 或 SOAR)中也很重要。这可以帮助组织在勒索软件扎根之前,在周期的早期缓解攻击。  

掌控基础设施安全

组织通常无法认识到物理安全和网络安全的相互关联性,但忽视其中任何一个都可能使他们陷入危险的脆弱境地。特别是对于关键基础设施来说,保护物理位置和数字资产至关重要。

从个人行为者到民族国家攻击者,对手将继续将目光投向高价值的关键基础设施目标,组织需要做好保卫自己的准备。

联邦政府已朝着正确的方向采取了措施,强制执行 SBOM 并概述了行业的其他安全建议,但最终取决于组织本身,以确保他们遵循最佳实践,并使自己处于抵御攻击的最佳位置。   

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/188670.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

C#,数值计算——函数计算,Eulsum的计算方法与源程序

1 文本格式 using System; namespace Legalsoft.Truffer { public class Eulsum { private double[] wksp { get; set; } private int n { get; set; } private int ncv { get; set; } public bool cnvgd { get; set; } pri…

uniapp中在组件中使用被遮挡或层级显示问题

uniapp中在组件中使用或croll-view标签内使用uni-popup在真机环境下会被scroll-view兄弟元素遮挡,在开发环境下和安卓系统中可以正常显示,但在ios中出现了问题 看了许多文章都没有找到问题的原因,最后看到这一个文章http://t.csdnimg.cn/pvQ…

服务日志性能调优,由log引出一系列的事故

只有被线上服务问题毒打过的人才明白日志有多重要! 谁赞成,谁反对?如果你深有同感,那恭喜你是个社会人了:) 日志对程序的重要性不言而喻,轻巧、简单、无需费脑,程序代码中随处可见…

uni.getLocation() 微信小程序 线上获取失败

开发版,体验版,用此方法都可以正确获取定位,但是在小程序的线上,总是获取失败 参考:uni-app微信小程序uni.getLocation获取位置;authorize scope.userLocation需要在app.json中声明permission;小程序用户拒绝授权后重新授权-CSDN博客 uniapp 中的 uni.…

关于卷积神经网络的池化层(pooling)

了解池化层 池化层又称“下采样层”或“子采样层”,池化层可以大大降低特征的维度,减少计算量,同时可以避免过拟合问题。 顾名思义,最大池化层就是从输入的矩阵中某一范围内,选择最大的元素进行保留;平均池…

VScode配置C/C++环境

文章目录 一、下载MinGW二、配置环境变量三、VScode配置四、验证 一、下载MinGW MinGW官网 划到最下面找 二、配置环境变量 解压后放到自己想放的目录下 右键 此电脑–>属性–>高级系统设置—>环境变量–> 在cmd命令行检测,出现如下界面:…

基于Kinect 动捕XR直播解决方案 - 硬件篇

Kinect-V2 硬件设备 一、Kinect介绍 1、Kinect for Windows 的开发配置 Kinect V2 操作系统:Windows 10(必须) Windows Surface Windows Surface 2 开发环境:Visual Studio 2017 .NET Framework 4.5 (.NET Framework 4.5) 硬…

xlua游戏热更新(C#访问lua)

xlua作为Unity资源热更新的重要解决方案api,在Tecent重多游戏中被采用,本文通过案例去讲解xlua代码结构层次。 /** Tencent is pleased to support the open source community by making xLua available.* Copyright (C) 2016 THL A29 Limited, a Tence…

微服务-开篇-个人对微服务的理解

从吃饭说起 个人理解新事物的时候喜欢将天上飞的理念转换成平常生活中的实践,对比理解这些高大上的名词,才能让我们减少恐慌的同时加深理解。废话不多说,我们从吃饭开始说起,逐渐类比出微服务的思想。 (个人见解&…

计算机毕业设计 基于Springboot的影院购票管理系统的设计与实现 Java实战项目 附源码+文档+视频讲解

博主介绍:✌从事软件开发10年之余,专注于Java技术领域、Python人工智能及数据挖掘、小程序项目开发和Android项目开发等。CSDN、掘金、华为云、InfoQ、阿里云等平台优质作者✌ 🍅文末获取源码联系🍅 👇🏻 精…

考研分享第1期 | 末9生物跨专业考研北京大学电子信息404分经验分享

全文概览 一、个人信息 二、关于考研的经验分享 三、最后的小Tips 一、个人信息 姓名:Jackson 本科院校:某末流985生物专业 报考院校:北京大学电子信息专业 择校意向:北航计算机、人大高瓴、复旦软院、清华大学深研院、北…

HuggingFace模型头的自定义

在线工具推荐: Three.js AI纹理开发包 - YOLO合成数据生成器 - GLTF/GLB在线编辑 - 3D模型格式在线转换 - 可编程3D场景编辑器 在本文中我们将介绍如何使HuggingFace的模型适应你的任务,在Pytorch中建立自定义模型头并将其连接到HF模型的主体&#…

大数据Doris(二十一):数据导入演示

文章目录 数据导入演示 一、启动zookeeper集群(三台节点都启动) 二、启动hdfs集群

【Linux】语言层面缓冲区的刷新问题以及简易模拟实现

文章目录 前言一、缓冲区刷新方法分类a.无缓冲--直接刷新b.行缓冲--不刷新,直到碰到\n才刷新c.全缓冲--缓冲区满了才刷新 二、 缓冲区的常见刷新问题1.问题2.刷新本质 三、模拟实现1.Mystdio.h2.Mystdio.c3.main.c 前言 我们接下来要谈论的是我们语言层面的缓冲区&…

Spark的转换算子和操作算子

1 Transformation转换算子 1.1 Value类型 1)创建包名:com.shangjack.value 1.1.1 map()映射 参数f是一个函数可以写作匿名子类,它可以接收一个参数。当某个RDD执行map方法时,会遍历该RDD中的每一个数据项,并依次应用f函…

idea 一直卡在maven正在解析maven依赖

修改maven Importing的jvm参数 -Xms1024m -Xmx2048m

srs webrtc推拉流环境搭建

官方代码https://github.com/ossrs/srs 拉取代码: git clone https://github.com/ossrs/srs.gitcd ./configure make ./objs/srs -c conf/rtc.confconf/rtc.conf中,当推拉流浏览器在本地时,如果srs也在本地,那么可以使用官网默认…

VUE页面导出PDF方案

1,技术方案为:html2canvas把页面生成canvas图片,再通过jspdf生成PDF文件; 2,安装依赖: npm i html2canvas -S npm i jspdf -S 3,封装导出pdf方法exportPdf.js: // 页面导出为pdf格式 //titl…

STM32基础--NVIC中断控制器

一、NVIC是什么? NVIC是一种中断控制器。当一个中断正在处理时,另一个更高优先级的中断可以打断当前中断的执行,并立即得到处理。这种机制使得处理器在高速运行的同时,能够及时响应不同优先级的中断请求。 二、有哪些优先级&…

19 异步通知

一、异步通知 1. 异步通知简介 阻塞和非阻塞两种方式都是需要应用程序去主动查询设备的使用情况。 异步通知类似于驱动可以主动报告自己可以访问,应用程序获取信号后会从驱动设备中读取或写入数据。 异步通知最核心的就是信号: #define SIGHUP 1 /* 终…