物理安全和网络安全之间存在相当大的重叠,特别是在保护关键基础设施方面。防止基础设施被篡改需要在物理安全方面进行大量投资,但任何连接到互联网的设备都代表着更广泛网络的潜在攻击点。
缺乏足够保护的设备可能会给这些对手在网络中提供立足点,从而发起代价高昂且具有破坏性的攻击。针对基础设施目标的勒索软件攻击既流行又有利可图,因为简单地支付赎金通常比遭受严重停机更容易(也更便宜)。
长时间断电、断水或断热可能会造成高昂的代价,甚至是致命的,而且攻击者知道组织非常愿意为此付出代价。
网络攻击还可用于为计划针对某个物理位置的犯罪团伙奠定重要基础。
毕竟,访问监控系统可以为他们提供有价值的情报,例如人员何时在场、安全巡逻遵循什么模式以及建筑物何时被占用或无人占用。获得监视源访问权限的攻击者可能会控制整个系统并发起勒索软件攻击,但他们的方法也可能更具针对性。
破坏关键位置的少量摄像头可能不会被注意到,并且可能有助于掩盖物理攻击或入侵。对手通常会避开“砸抢”战术,转而采用缓慢燃烧攻击,在网络上呆上数周或数月进行侦察。
幸运的是,关键基础设施行业的运营商不需要接受这种程度的脆弱性。最近的技术进步(和行业法规)为关键基础设施组织提供了新的资源。那些希望限制遭受物理和数字攻击的人应确保尽可能保持最新的安全最佳实践。
1:不要忽视您的 SBOM
组织通常对其环境中的硬件有深入的了解:摄像机的数量、服务器的类型等。但传统上,理解和分类正在使用的软件要困难得多。值得庆幸的是,开发商和制造商在任何新设备中包含软件物料清单 (SBOM) 已变得越来越普遍。
SBOM 顾名思义:用于开发给定软件的组件、资源和流程的列表。2021 年,白宫发布了第 14028 号行政命令,其中包括一系列旨在改善国家网络安全的新措施——截至今年,该命令正在得到严格执行。
该命令强制联邦实体强制执行 SBOM,尤其是在关键基础设施内工作,这意味着组织现在比以往任何时候都更容易准确地了解他们使用的产品和解决方案的具体内容。
从网络安全的角度来看,这一点的价值怎么强调都不为过。如果供应商或单个软件受到损害,组织现在可以准确识别其在网络环境中存在的位置,并直接向制造商询问修复或修补计划。
SBOM 可以监控单个软件组件,如果其中一个组件包含漏洞,组织可以采取必要的步骤来确保任何受影响的设备不会让攻击者轻松访问其网络。
2:加快修补和更新计划
对于组织而言,及时更新补丁和更新通常是一个薄弱环节,而不仅仅是关键基础设施中的组织。随着技术之间的联系日益紧密,许多组织担心安装更新和补丁会破坏使他们的解决方案发挥作用的许多集成和相互依赖关系。许多组织在对待他们的产品时都采取“如果没有损坏,就不要修复它”的心态,虽然这在十年前可能还不错,但今天的攻击者更善于利用出现的漏洞。
大多数产品制造商每 30 到 45 天发布一次补丁,但关键基础设施组织通常希望进行广泛的测试,以确保这些更新不会破坏他们的生产环境。这是可以理解的,但最终会适得其反:网络犯罪分子一旦发现漏洞就会寻求利用,而修补所需的时间越长,他们渗透到您的网络的时间就越长。当今的组织不能落后。及时修补和更新需要成为文化的一部分。
特别害怕中断的组织可能希望寻找提供长期支持 (LTS) 选项的制造商。LTS 模型冻结功能更新,同时仍然推送网络安全补丁,使组织可以选择仅实施网络安全修复程序,同时对构成升级包其余部分的软件更新和功能推出进行测试。这减轻了破坏集成的危险,同时仍然允许组织解决最危险的安全漏洞。
3:利用自动化和监控
了解违规的根本原因非常重要,而错误配置是最重要的原因。现代组织部署了数百甚至数千个摄像头、传感器和其他安全设备,每个设备都需要安装、校准并集成到网络中。即使是最熟练的技术人员和集成商偶尔也会犯错误,而攻击者总是准备好利用。
自动化可以大大降低危险的错误配置的可能性。如今的设备通常可以开箱即用地直接添加到网络中,而不是依赖集成商手动配置每个设备。有了正确的自动化解决方案,网络就可以检测正在添加的设备类型并应用正确的强化配置,获取签名证书以启用加密,并将设备安全地移动到生产环境。自动化不仅消除了人为错误的可能性,而且还使加入过程显着加快,从而可以轻松安全地添加新设备。
自动监控可疑活动的能力也至关重要。借助 SBOM,组织可以查看他们已部署的特定技术,并确定他们需要采取哪些控制措施来减轻潜在的攻击。检测工具尤其重要:虽然不可能阻止每一次攻击,但越早检测到入侵者,就能越快地处理它们。
例如,端点检测和响应等解决方案可以帮助检测端点设备上启动的恶意软件签名和已知进程,让安全系统知道已识别出可疑活动。系统日志也很重要,因为它们记录给定设备上发生的所有情况,但将它们集成到更广泛的网络安全系统(例如能够扫描异常情况并发出自动警报的 SEIM 或 SOAR)中也很重要。这可以帮助组织在勒索软件扎根之前,在周期的早期缓解攻击。
掌控基础设施安全
组织通常无法认识到物理安全和网络安全的相互关联性,但忽视其中任何一个都可能使他们陷入危险的脆弱境地。特别是对于关键基础设施来说,保护物理位置和数字资产至关重要。
从个人行为者到民族国家攻击者,对手将继续将目光投向高价值的关键基础设施目标,组织需要做好保卫自己的准备。
联邦政府已朝着正确的方向采取了措施,强制执行 SBOM 并概述了行业的其他安全建议,但最终取决于组织本身,以确保他们遵循最佳实践,并使自己处于抵御攻击的最佳位置。