導(dǎo)讀:數(shù)字化轉(zhuǎn)型還促進(jìn)了OT和IT的融合,但這些連接在提供訪問便利的同時(shí),也會帶來一系列潛在的安全風(fēng)險(xiǎn)。
關(guān)鍵基礎(chǔ)設(shè)施是整個社會結(jié)構(gòu)的基礎(chǔ),其為家庭和企業(yè)提供電力,為車輛提供燃料,為人們提供保障健康的醫(yī)療服務(wù)。在疫情影響下,數(shù)字化轉(zhuǎn)型加速,越來越多關(guān)鍵基礎(chǔ)設(shè)施與服務(wù)之間的連接變得更加緊密。作為發(fā)電廠、水處理設(shè)施和各種工業(yè)環(huán)境中的傳感器,運(yùn)營技術(shù)(OT)扮演了重要角色。數(shù)字化轉(zhuǎn)型還促進(jìn)了OT和IT的融合,但這些連接在提供訪問便利的同時(shí),也會帶來一系列潛在的安全風(fēng)險(xiǎn)。
網(wǎng)絡(luò)攻擊瞄準(zhǔn)關(guān)鍵基礎(chǔ)設(shè)施
如今網(wǎng)絡(luò)威脅已經(jīng)滲透到人們生活的方方面面。不僅勒索軟件和網(wǎng)絡(luò)釣魚攻擊日益泛濫,近年來還出現(xiàn)了越來越多針對關(guān)鍵基礎(chǔ)設(shè)施的攻擊。那些曾經(jīng)將OT和IT分離甚至采用物理隔離的環(huán)境,現(xiàn)在很大程度上已經(jīng)融合。這為破壞運(yùn)營等進(jìn)一步升級的攻擊行為提供了可乘之機(jī)。
類似的例子有很多。例如,燃油管道運(yùn)營商科洛尼爾管道運(yùn)輸公司(Colonial Pipeline)遭遇勒索軟件攻擊導(dǎo)致管道暫時(shí)關(guān)閉,引發(fā)社會對資源供應(yīng)的擔(dān)憂,這是過去幾年里影響最為深遠(yuǎn)的關(guān)鍵基礎(chǔ)設(shè)施攻擊。因一家關(guān)鍵供應(yīng)商遭遇網(wǎng)絡(luò)攻擊,汽車制造商豐田公司被迫短暫停工;全球最大的肉食品加工商JBS公司因勒索軟件攻擊導(dǎo)致整條食品供應(yīng)鏈?zhǔn)艿接绊?;美國佛羅里達(dá)州的Oldsmar水處理廠也成為網(wǎng)絡(luò)攻擊的受害者,這次攻擊可能已經(jīng)污染了供水系統(tǒng)。
運(yùn)營彈性成為關(guān)注焦點(diǎn)
面對日益嚴(yán)峻的網(wǎng)絡(luò)威脅,關(guān)鍵基礎(chǔ)設(shè)施行業(yè)愈發(fā)關(guān)注運(yùn)營彈性。水、電力、食品……關(guān)鍵基礎(chǔ)設(shè)施一旦中斷運(yùn)營,很可能直接影響人們的健康甚至生命安全,因此不容任何差錯。在一個威脅不斷增加、工作習(xí)慣不斷變化的時(shí)代,保持運(yùn)營彈性是許多企業(yè)面臨的持續(xù)挑戰(zhàn)。對于負(fù)責(zé)我們關(guān)鍵基礎(chǔ)設(shè)施的組織、機(jī)構(gòu)和企業(yè)而言更是如此。
數(shù)字化轉(zhuǎn)型正從根本上改變該行業(yè)保護(hù)網(wǎng)絡(luò)安全的方式。隨著混合辦公的常態(tài)化和云遷移的加速,應(yīng)用與用戶無處不在,并且用戶希望能從任何地點(diǎn)通過任何設(shè)備進(jìn)行訪問。過去在辦公室辦公時(shí)對用戶身份真實(shí)性的隱含信任已經(jīng)不復(fù)存在。為了應(yīng)對這種復(fù)雜情況,所有環(huán)境和交互需要達(dá)到更高的安全級別。
克服關(guān)鍵基礎(chǔ)設(shè)施中的安全挑戰(zhàn)
要想獲得彈性,就要克服關(guān)鍵基礎(chǔ)設(shè)施環(huán)境中一些會對安全結(jié)果產(chǎn)生負(fù)面影響的常見挑戰(zhàn),例如:
停止支持系統(tǒng):關(guān)鍵基礎(chǔ)設(shè)施往往仍在使用停止支持系統(tǒng),這會導(dǎo)致其由于操作、合規(guī)性和保修方面的因素而無法順利安裝補(bǔ)丁和升級。
IT/OT融合:隨著IT和OT系統(tǒng)的融合,之前被隔離的OT系統(tǒng)已經(jīng)可以訪問,但攻擊風(fēng)險(xiǎn)也隨之而來。
專業(yè)人才不足:關(guān)鍵基礎(chǔ)設(shè)施行業(yè)普遍缺乏專業(yè)的安全人才和技能,近年來因?yàn)橄蜻h(yuǎn)程操作轉(zhuǎn)變而雪上加霜。
監(jiān)管合規(guī):許多關(guān)鍵基礎(chǔ)設(shè)施的垂直領(lǐng)域都需要遵守各種法規(guī)和規(guī)定,使辨別合規(guī)性變得更加復(fù)雜。
從數(shù)據(jù)中獲得洞察:隨著設(shè)備數(shù)量增加,企業(yè)往往難以從使用數(shù)據(jù)中獲得幫助指導(dǎo)業(yè)務(wù)和運(yùn)營結(jié)果的洞察和分析。
零信任是安全防御的關(guān)鍵
零信任可以幫助解決關(guān)鍵基礎(chǔ)設(shè)施環(huán)境面臨的諸多安全問題,還能提供它們所需的網(wǎng)絡(luò)彈性。其最基本的理念是通過消除隱含信任降低風(fēng)險(xiǎn)——每個用戶和訪問請求都要經(jīng)過驗(yàn)證,所有活動都會受到持續(xù)監(jiān)控。
除了提供防御,零信任還能為處于不同地點(diǎn)的用戶提供一致的安全性和體驗(yàn)感。無論在家里還是辦公室,用戶在安全和風(fēng)險(xiǎn)方面都會被一視同仁,即使在辦公室也不會自動獲得訪問權(quán)限。
零信任不止針對用戶,對云工作負(fù)載以及OT設(shè)備和網(wǎng)絡(luò)節(jié)點(diǎn)等基礎(chǔ)設(shè)施組件亦是如此。只有經(jīng)過驗(yàn)證,零信任模型才會授予設(shè)備和訪問相關(guān)權(quán)限,并提供控制手段。
以上這些要素可以強(qiáng)化關(guān)鍵基礎(chǔ)設(shè)施所需的安全態(tài)勢。
零信任是一項(xiàng)通過消除網(wǎng)絡(luò)架構(gòu)中的隱含信任來幫助防御數(shù)據(jù)泄露的戰(zhàn)略舉措。關(guān)鍵基礎(chǔ)設(shè)施在網(wǎng)絡(luò)安全方面最重要的目標(biāo)包括:防止網(wǎng)絡(luò)對資產(chǎn)造成破壞性的物理影響、預(yù)防關(guān)鍵服務(wù)中斷、保護(hù)人們的健康和安全。鑒于關(guān)鍵基礎(chǔ)設(shè)施的專用特性,以及相應(yīng)的網(wǎng)絡(luò)流量和補(bǔ)丁安裝挑戰(zhàn),零信任成為其理想的解決方案。
恰當(dāng)?shù)牧阈湃尾呗灾ι鐣_\(yùn)轉(zhuǎn)
需要明確的是,零信任不是一款產(chǎn)品,而是一個需要落實(shí)的過程。從傳統(tǒng)網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型零信任無法一蹴而就,尤其是在關(guān)鍵基礎(chǔ)設(shè)施中。建議的做法是采用分段模式,將整個過程拆分成多個關(guān)鍵步驟。
1.首先確定哪些關(guān)鍵基礎(chǔ)設(shè)施的IT和OT資產(chǎn)已經(jīng)落實(shí)到位。
2.實(shí)現(xiàn)對全部資產(chǎn)的可見性和風(fēng)險(xiǎn)評估??梢娛潜Wo(hù)的前提,包括了解行為和交易流程在內(nèi)的廣泛的可見性,既有助于風(fēng)險(xiǎn)評估,還能為零信任策略的構(gòu)建提供參考。
3.分離IT與OT網(wǎng)絡(luò),以達(dá)到控制風(fēng)險(xiǎn)和最小化攻擊面的目的。
4.零信任策略的應(yīng)用包括:
?最小權(quán)限訪問和持續(xù)信任驗(yàn)證是大幅降低安全事件影響的關(guān)鍵控制措施。
?在不影響用戶生產(chǎn)力的情況下,持續(xù)安全檢查通過阻止包括零日攻擊在內(nèi)的已知和未知威脅來保障安全。
顧名思義,關(guān)鍵基礎(chǔ)設(shè)施十分“關(guān)鍵”,這就要求它們具備運(yùn)營彈性、減小潛在攻擊面,并將數(shù)字化轉(zhuǎn)型帶來的風(fēng)險(xiǎn)降到最低。采用恰當(dāng)?shù)牧阈湃尾呗钥梢栽诰W(wǎng)絡(luò)安全防御方面發(fā)揮核心作用,確保關(guān)鍵基礎(chǔ)設(shè)施的彈性和可用性,為社會正常運(yùn)轉(zhuǎn)提供有力保障。
關(guān)于Palo Alto Networks(派拓網(wǎng)絡(luò))
Palo Alto Networks(派拓網(wǎng)絡(luò))是全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者。我們持續(xù)創(chuàng)新,防范網(wǎng)絡(luò)威脅于未然,讓企業(yè)放心擁抱技術(shù)。憑借行業(yè)領(lǐng)先的威脅情報(bào)和先進(jìn)自動化技術(shù),我們?yōu)槿蚋餍懈鳂I(yè)成千上萬的客戶提供下一代網(wǎng)絡(luò)安全平臺和服務(wù),并成為眾多企業(yè)首選的網(wǎng)絡(luò)安全合作伙伴。從部署我們的解決方案以實(shí)現(xiàn)零信任企業(yè)、響應(yīng)安全事件,到通過一流的合作伙伴生態(tài)系統(tǒng)獲得更佳的安全效果,我們的愿景是構(gòu)建一個日益安全的世界。
肩負(fù)為網(wǎng)絡(luò)安全保駕護(hù)航的使命,Palo Alto Networks(派拓網(wǎng)絡(luò))一直致力于與優(yōu)秀人才攜手同行。我們很榮幸成為首選網(wǎng)絡(luò)安全工作場所,獲得《新聞周刊》“最受喜愛的工作場所(2021年)”、Comparably“最佳多元化公司(2021年)”和人權(quán)運(yùn)動基金會“LGBTQ平等的最佳工作場所(2022年)”等殊榮。