维护基础设施,欺骗技术是关键
超过30万人经常依靠某种形式来获取能源,到2030年,我们的目标是普及现代服务,以便利电力,管道,热力,电信和互联网。此外,成千上万的人将驾驶自己的汽车,使用公共交通或乘飞机飞行。人们期望国家基础设施的持续运营,因为它在我们大多数日常生活中都起着基础性作用。不幸的是,它也是网络攻击的诱人目标。随着交通枢纽,电网和通信网络日益数字化,遭受攻击的可能性呈指数增长。在某些情况下,攻击者这样做的目的只是为了看看是否可以破坏他人的生命或损害人类安全。
不出所料,这个话题已经引起了公众广泛关注,导致美国政府于去年成立了网络安全和基础设施安全局(CISA)。尽管认识到该问题是朝正确方向迈出的一步,但随着能源和交通运输等行业的快速数字化,随着新的攻击面不断涌现,攻击者得以利用,保护网络安全的任务更加复杂。随着智能电网,流量管理系统等的广泛部署,它们增加了安全专业人员必须解决的攻击面。由于此类系统通常具有有限的内置安全性,因此攻击者正在寻找更多方法来渗透或规避外围防御。提供可见性和早期检测的网络内安全解决方案已成为基础结构安全控制堆栈中越来越重要的一部分。由于固有的能力无法运行防病毒软件,收集典型日志以识别异常或停止使用管理员进行登录,组织已经转向欺骗技术作为一种手段,有效地检测和破坏对能源设施和关键基础设施的攻击。
广泛的潜在威胁
一个国家的基础设施面临着许多类型的威胁,从普通的信用卡盗窃到电网或空中交通管理系统的中断,使基于基础设施的网络攻击的潜在后果变得严重。从表面上看,访问旨在用于各种监视程序的电视系统似乎并不重要,但它可能对人或孩子的隐私或人身安全产生重大影响。许多OT设备也可以用于妥协,然后统一使用以进行更广泛的拒绝服务攻击。无论出于何种动机,遭受伤害的机会都会迅速升级,并带来可怕的后果。
这些潜在的攻击者不仅包括小型黑客主义者或网络罪犯,而且在某些情况下还包括恐怖分子和敌对国家。尽管俄罗斯选举黑客在过去几年中已成为许多头条新闻,但他们并不是唯一有动机或手段瞄准基础设施(无论是民用还是其他)的人。2015年破坏乌克兰电网的攻击是此类攻击中的第一例,但其他攻击在全球范围内(包括在美国)都造成了不同程度的破坏。就在今年,“网络事件”影响了加利福尼亚,犹他州和怀俄明州的电网,尽管没有记录在案的停电,但它提醒人的是,美国的基础设施并不能免于遭受攻击,传统的安全方法不一定足够或在当今互联世界中有效。
战场已转移到网络内部
安全专家一致认为,拥有强大的外围防御是必不可少的,但是制定计划以尽早发现设法绕过敌人的对手也同样重要。假设攻击者已经破坏了网络,并采取控制措施来检测和响应网络已成为一种必要的安全策略,尤其是在涉及规模较大的基础架构系统时。
一旦攻击者在网络中立足,他们通常就可以自由地进行侦察,收集凭据并收集网络的“蓝图”以升级攻击。欺骗技术旨在检测所有形式的企图的横向移动,实质上是锁定端点以立即显示攻击者的任何移动。这是通过在端点和整个网络上设置诱人的诱饵,凭据,驱动器共享,服务和其他形式的诱饵来欺骗攻击者参与来完成的。与任何欺骗性资产的最小接触会立即导致高保真警报,并提供丰富的攻击者信息。结果,采用欺骗技术的组织报告了驻留时间减少了90%以上,这是网络中未被攻击者发现的时间。
随着对关键基础架构的攻击所造成的危害的可能性不断增加,收集详细的敌方情报的能力变得更加重要。事实证明,欺骗技术特别擅长收集和关联威胁与对手情报,这在生成经过证实的警报和定制情报方面非常有价值,可帮助防御者减少对经过验证的威胁的响应时间。安全专家通常会根据每个警报的准确性,以其“信号噪声”的保真度来识别欺骗。本地集成可以使用,这样阻塞、隔离和威胁追踪就可以自动化以提高响应时间。欺骗技术通过进一步自动化和加速检测和补救过程,增加了现有安全控制的价值,并减少了对工作控制和商业基础设施的成功攻击的风险。
欺骗技术代表前进的道路
美国政府采取了非同寻常的步骤,将美国核心基础设施的某些方面“数字化”,用模拟系统代替连接的系统,以使其免受潜在攻击。尽管这种方法有其优点,但它是倒退的一步,与全球互联经济和基础设施的发展方向不符。”与其试图隔离这些系统,不如说政府应将重点放在能够检测入侵者和入侵者的网络内保护上。在入侵者实现目标之前,尽早提醒防御者。提议的更先进的措施之一与NIST有关。标准组织发布了草案版本在6月19日发布的新指南中,承包商提出了31条新建议,以加强承包商的防御能力并保护其网络上未分类(但仍很敏感)的政府数据免受高级持续威胁(APT)或政府资助的攻击者的侵害。此类数据的范围可以从社会安全号码和其他个人身份信息到重要的国防计划详细信息。这些建议包括以下过程,例如对关键或敏感操作实施双重授权访问控制,在适当情况下采用网络分段,部署欺骗技术,建立或雇用威胁搜寻团队以及运行安全操作中心以连续监视系统和网络活动。
欺骗技术显然是安全堆栈中不可缺少的部分。将其添加到上游和下游安全控制中可减少与安全性设计和操作差距相关的风险,并提高安全团队对攻击者的入侵方式得到了解。对那些正在攻击的可以追随他们。无需中断操作,也无需代理或监控。
