維護基礎設施,欺騙技術是關鍵
超過30萬人經常依靠某種形式來獲取能源,到2030年,我們的目標是普及現代服務,以便利電力,管道,熱力,電信和互聯網。此外,成千上萬的人將駕駛自己的汽車,使用公共交通或乘飛機飛行。人們期望國家基礎設施的持續運營,因為它在我們大多數日常生活中都起著基礎性作用。不幸的是,它也是網絡攻擊的誘人目標。隨著交通樞紐,電網和通信網絡日益數字化,遭受攻擊的可能性呈指數增長。在某些情況下,攻擊者這樣做的目的只是為了看看是否可以破壞他人的生命或損害人類安全。
不出所料,這個話題已經引起了公眾廣泛關注,導致美國政府于去年成立了網絡安全和基礎設施安全局(CISA)。盡管認識到該問題是朝正確方向邁出的一步,但隨著能源和交通運輸等行業的快速數字化,隨著新的攻擊面不斷涌現,攻擊者得以利用,保護網絡安全的任務更加復雜。隨著智能電網,流量管理系統等的廣泛部署,它們增加了安全專業人員必須解決的攻擊面。由于此類系統通常具有有限的內置安全性,因此攻擊者正在尋找更多方法來滲透或規避外圍防御。提供可見性和早期檢測的網絡內安全解決方案已成為基礎結構安全控制堆棧中越來越重要的一部分。由于固有的能力無法運行防病毒軟件,收集典型日志以識別異常或停止使用管理員進行登錄,組織已經轉向欺騙技術作為一種手段,有效地檢測和破壞對能源設施和關鍵基礎設施的攻擊。
廣泛的潛在威脅
一個國家的基礎設施面臨著許多類型的威脅,從普通的信用卡盜竊到電網或空中交通管理系統的中斷,使基于基礎設施的網絡攻擊的潛在后果變得嚴重。從表面上看,訪問旨在用于各種監視程序的電視系統似乎并不重要,但它可能對人或孩子的隱私或人身安全產生重大影響。許多OT設備也可以用于妥協,然后統一使用以進行更廣泛的拒絕服務攻擊。無論出于何種動機,遭受傷害的機會都會迅速升級,并帶來可怕的后果。
這些潛在的攻擊者不僅包括小型黑客主義者或網絡罪犯,而且在某些情況下還包括恐怖分子和敵對國家。盡管俄羅斯選舉黑客在過去幾年中已成為許多頭條新聞,但他們并不是唯一有動機或手段瞄準基礎設施(無論是民用還是其他)的人。2015年破壞烏克蘭電網的攻擊是此類攻擊中的第一例,但其他攻擊在全球范圍內(包括在美國)都造成了不同程度的破壞。就在今年,“網絡事件”影響了加利福尼亞,猶他州和懷俄明州的電網,盡管沒有記錄在案的停電,但它提醒人的是,美國的基礎設施并不能免于遭受攻擊,傳統的安全方法不一定足夠或在當今互聯世界中有效。
戰場已轉移到網絡內部
安全專家一致認為,擁有強大的外圍防御是必不可少的,但是制定計劃以盡早發現設法繞過敵人的對手也同樣重要。假設攻擊者已經破壞了網絡,并采取控制措施來檢測和響應網絡已成為一種必要的安全策略,尤其是在涉及規模較大的基礎架構系統時。
一旦攻擊者在網絡中立足,他們通常就可以自由地進行偵察,收集憑據并收集網絡的“藍圖”以升級攻擊。欺騙技術旨在檢測所有形式的企圖的橫向移動,實質上是鎖定端點以立即顯示攻擊者的任何移動。這是通過在端點和整個網絡上設置誘人的誘餌,憑據,驅動器共享,服務和其他形式的誘餌來欺騙攻擊者參與來完成的。與任何欺騙性資產的最小接觸會立即導致高保真警報,并提供豐富的攻擊者信息。結果,采用欺騙技術的組織報告了駐留時間減少了90%以上,這是網絡中未被攻擊者發現的時間。
隨著對關鍵基礎架構的攻擊所造成的危害的可能性不斷增加,收集詳細的敵方情報的能力變得更加重要。事實證明,欺騙技術特別擅長收集和關聯威脅與對手情報,這在生成經過證實的警報和定制情報方面非常有價值,可幫助防御者減少對經過驗證的威脅的響應時間。安全專家通常會根據每個警報的準確性,以其“信號噪聲”的保真度來識別欺騙。本地集成可以使用,這樣阻塞、隔離和威脅追蹤就可以自動化以提高響應時間。欺騙技術通過進一步自動化和加速檢測和補救過程,增加了現有安全控制的價值,并減少了對工作控制和商業基礎設施的成功攻擊的風險。
欺騙技術代表前進的道路
美國政府采取了非同尋常的步驟,將美國核心基礎設施的某些方面“數字化”,用模擬系統代替連接的系統,以使其免受潛在攻擊。盡管這種方法有其優點,但它是倒退的一步,與全球互聯經濟和基礎設施的發展方向不符。”與其試圖隔離這些系統,不如說政府應將重點放在能夠檢測入侵者和入侵者的網絡內保護上。在入侵者實現目標之前,盡早提醒防御者。提議的更先進的措施之一與NIST有關。標準組織發布了草案版本在6月19日發布的新指南中,承包商提出了31條新建議,以加強承包商的防御能力并保護其網絡上未分類(但仍很敏感)的政府數據免受高級持續威脅(APT)或政府資助的攻擊者的侵害。此類數據的范圍可以從社會安全號碼和其他個人身份信息到重要的國防計劃詳細信息。這些建議包括以下過程,例如對關鍵或敏感操作實施雙重授權訪問控制,在適當情況下采用網絡分段,部署欺騙技術,建立或雇用威脅搜尋團隊以及運行安全操作中心以連續監視系統和網絡活動。
欺騙技術顯然是安全堆棧中不可缺少的部分。將其添加到上游和下游安全控制中可減少與安全性設計和操作差距相關的風險,并提高安全團隊對攻擊者的入侵方式得到了解。對那些正在攻擊的可以追隨他們。無需中斷操作,也無需代理或監控。
