新闻快讯
< >

如何保护关键基础设施?美政府靠“深度分层防御体系”

E安全4月5日讯 美国各国防机构一直支持深度分层安全防护概念,旨在将保护能力扩展到标准防火墙以外。其目标在于,一旦攻击者突破第一道网络防线,内部环境仍可对相关入侵进行缓解。

美国警惕国家支持型攻击者

某安全公司发现,可能与朝鲜政府有所关联的黑客对美国电网工作人员开展攻击,该公司表示已经发现并成功阻止了此例攻击事件。尽管目前没有任何关键基础设施因此受到影响,但相关攻击尝试已经引起高度关注。美国多个政府机构也于2018年3月发布正式通知,表示俄罗斯黑客已经在美国本土各类关键基础设施系统(包括电网、水处理设施、航空运输甚至是核设施)当中建立起登陆点。

作为一项适用于各类即插即用设备及软件的技术方案,IP NET正成为越来越多通信场景中的首选解决途径。但最近的事件表明,IP NET亦给通信及运营体系带来极为可怕的潜在网络威胁。

保护关键基础设施免受严重威胁侵扰-E安全

DHS 方面将这批攻击者称为国家支持型黑客,其利用精心策划的长期鱼叉式网络钓鱼及水坑攻击方式获取访问权限,此后滥用标准 Windows 进程或利用注册表及其它文件类型去操纵凭证、更改或创建计划任务、破解密码甚至操纵远程访问服务,最终以接入预期目标。美国当局表示,其目的似乎在于开展内部侦察与间谍活动,对方有意破坏或禁用各类关键系统,以在未来的国家间对抗当中占得优势,显然出于政治动机。

应用深度分层防御体系

美国政府认为,各个行业都应积极采取综合式深度分层防御网络安全体系,例如在全美各地军事设施当中已经部署完成的网络安全方案;美国境内及境外各私营与高监管要求企业所广泛采取的安全方案类别。

典型的网络防御方法一般基于简单的系统架构,将办公室 PC 设备捆绑在一起,且通常由 IT 专家(而非网络安全专家)负责管理。随着入侵活动日益复杂,这条防线已趋于形同虚设。

是在负责驱动军用与民用工业部门的机器到机器系统当中,深度分层网络安全体系的覆盖水平不尽人意。这类系统由嵌入至工业控制网络当中的无数传感器(例如:热成像、雷达追踪以及气候控制等)进行驱动。这些传感器——亦可称为可编辑逻辑控制器——通常负责执行单一功能,在设计上往往缺乏软件升级能力,很难长期抵御恶意软件的侵害。一旦攻击活动经由此类途径完成入侵,电网、交通系统、水坝、医院以及机场等基础设施将面临着巨大、甚至有可能引发生命财产损失的潜在风险。

在最近的警告当中,美国国土安全部(DHS)表示已经有多个实例表明,恶意攻击者访问了企业网络上的工作站与服务器。这些工作站与服务器包含能源生产设施内控制系统的输出数据。此外,恶意攻击者还访问了与工业控制系统(简称ICS)或监测控制与数据采集(简称SCADA)系统,复制相关配置文件与配置信息,从而接入网络上的ICS系统。DHS 发现,恶意攻击者曾经复制包含有配置信息的虚拟网络连接(简称VNC)配置文件以接入 ICS 系统。

国家支持型网络黑客基本上是在利用 Windows 入侵工业控制体系,一旦入侵成功,他们即可对目标实施操纵。

保护关键基础设施免受严重威胁侵扰-E安全

美国国防部及国土安全部等各美国机构所使用的解决方案,皆可轻松被交付至私营部门供其使用。其中一些专门用于保护重要的机器到机器网络。其实际上是利用传感器将防火墙包裹在 ICS 当中,同时配合能够直接插入传感器的小型硬件作为机器与网络其余组件间连接的屏障。

如果恶意软件对网络进行遍历,这类网络安全设备与软件将控制设备所能执行的操作,包括对该恶意软件活动作出响应。如果错误人员(即未经预先批准或者‘未被列入白名单’的人员)尝试使用或引导传感器,则传感器不会作出响应。安全软件还会就此向授权人员发出警报。

如果各公共事业单位及企业都拥有这样的系统,那么基础设施将不再会遭遇严重破坏。

网络安全必须成为端到端架构中的组成部分。网络上的每一台设备都必须经过识别、保护与认证,从而确保数据始终以一致性方式进行传输,且仅由正确的接收者获取。

美国的工业行业及民众应该得到更好的保护,从而免受敌对方随时随地针对医院、机场以及工厂等目标开展的网络攻击侵扰。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。