今年年初中國國家級駭客組織「Volt Typhoon」攻擊美國關鍵基礎設施的相關報導,引發大家對攻擊者潛伏時間的關注,並使關鍵基礎設施安全再度成為重點話題。Volt Typhoon瞄準網路基礎設備,以取得關鍵基礎設施組織的訪問權限,然後使用利用現有工具、技術,在受害者環境中隱藏,為未來攻擊做好佈局。據了解,Volt Typhoon 已滲透入通訊、能源、水利和運輸等行業。
研究人員表示,針對關鍵基礎設施的惡意軟體活動具有訂製性和挑戰性。要建構有效的惡意軟體需要許多人力。然而,惡意軟體潛伏多年,然後趁機發動攻擊並不罕見。
這幾波Volt Typhoon攻擊活動帶來的最大啟示是,關鍵基礎設施組織必須定期進行風險評估,了解威脅對公司的變化,並利用這些情報來調整網路安全和網路韌性策略。
相關文章:中國Volt Typhoon涉嫌滲透美、非國家電力設施
若不知道威脅的存在,就無法防範它。而且不是所有組織都面臨相同的威脅。此外,今天最大的威脅可能明天就不再是最大風險來源。因此,經常識別和量化組織的獨特風險,是保持安全和網路韌性的第一步。
完成風險評估後,即可據此制定或修訂安全計畫。由於威脅和業務需求一直在變化,這應該是一個活的策略。
不過,仍有幾項安全基本面應始終優先考慮,包括:
- 網路分段:將網路劃分為不同類型使用者和服務的獨立區域。這種方法有助於遏制攻擊,並限制威脅在網路內部的橫向移動。
- 入侵偵測系統 (IDS):監控網路流量是否有可疑活動。這很重要,因為傳統的端點安全工具無法安裝在所有網路基礎設施設備上。
- 身分安全:最佳組合是安全遠端訪問和特權訪問管理 (PAM)。前者可讓使用者安全連接到網路,並阻止未經授權的訪問。後者則保護擁有高級訪問權限的特權用戶帳戶,以防止網路攻擊者利用它們橫向移動到受害者環境中。
雖然針對關鍵基礎設施的攻擊正在升級,但組織現在已具備所需的知識和工具來防禦。組織不再需要措手不及。透過風險評估、安全基本面和針對企業特有威脅的先進安全策略,關鍵基礎設施組織可建構強大的安全計畫,以抵禦任何類型的攻擊,保持營運韌性。
相關文章:就怕不知不覺!企業組織如何防禦「寄生攻擊」
本文轉載自 darkreading。