如今人们越来越认识到,基础设施包含的内容远不止十几年前的那些,现在从雨水系统到垃圾处理、电信供应商、医院、金融服务等等都已经包含在内。
过往的事件表明,网络攻击和勒索软件对关键基础设施构成的风险相当大,而基础设施的规模与风险范围几乎没有关系,因为我们可以看到,勒索软件对一个位于美国斯摩维尔市中心水处理厂的威胁,就像它对一个大型电网或能源运输管道的威胁一样严重。
勒索软件依赖于网络钓鱼诈骗或它可以利用的安全漏洞,包括数字和内部人员安全意识薄弱所制造的弱点,随后攻击者以窃取、加密的企业数据威胁受害者,直到受害者支付赎金。
对于关键基础设施而言,安全建设水平高低是影响勒索软件攻击对其威胁高低的关键,之所以勒索软件组织会如此青睐关键基础设施的目标,除了基础设施相关企业的范围相比十几年前扩大了很多,另一方面就是相关的安全建设普遍跟不上网络威胁的演进速度。
随着网络威胁日益复杂,我们可以预期勒索软件带来的威胁也将会演变,保护关键基础设施的行动也必须要有所变化。
一方面,要依靠国家的强监管,因为有一些关键基础设施相关组织并不大可能会主动采取更深层次的行动来让自己更加安全,除非有强制性的合规要求驱使他们不得不这么做。但这需要一定的时间,毕竟安全建设不是一蹴而就的,对那些传统机构而言,安全标准一直较低。
另一方面,关键基础设施相关组织自身除了满足合规需求之外,也需要额外对安全投以更多的重视。
许多遗留基础设施行业依赖于高度定制化的电脑设备,而这些电脑普遍运行在非常旧的操作系统上,而且相关管理人员普遍也缺少对这些设备打补丁和维护的操作。因此,如果能够循序渐进的逐步替换成新的设备,且系统和相关安全都处在更新维护周期中,那么安全保障就会相对高一些。
同时,还需要制定一个计划来减少暴露面,增加对关键系统的保护。比如:
将关键数据和系统置于安全防护措施之下,并限制只有那些需要访问的员工才能访问。
对文件、电子邮件系统以及数据库进行加密,例如使用PKI证书——如果遭到攻击,虽然无法确定数据是否已被窃取,但至少可以保证即便是攻击者提取了数据也无法读取它。
另外,通过经验丰富的专业安全团队协助做好相关安全建设也是合理的选择。
确保国家关键基础设施的安全需要监管监督,但如果纯粹依靠自身力量制定和实施相关的安全建设方案,对于一些中小企业而言相对难度较高、周期较长。因此,利用相关领域专业安全公司的力量和关键经验,并应用适用性更强的安全建设方案,基本可以确保在遭受攻击的情况下具有较高的防御能力。
京公网安备 11010802033237号
