关键基础设施和行业如何减少网络攻击的风险——使用主动安全策略

使用主动的安全策略和基于风险的方法,有助于将网络攻击的风险降至最低,特别是对于关键基础设施和行业。

继续阅读

随着政府、企业和个人每天都更紧密的与网络连接在一起,与之而来的是网络攻击的风险正在呈指数级地增加。一个有趣的转变开始于网络攻击活动、意图和属性。独立黑客或组织曾经处于网络攻击的前沿;现在,对政府机构、企业 ( 尤其是关键基础设施部门)的攻击增加了。

世界范围内的网络武器化和不可避免的袭击不一定是新出现的,但这一领域最近被放到了聚光灯下,现在是公司采取行动防范网络攻击风险的时候了。

幸运的是,公司可以从过去的攻击中学到很多东西,甚至是从它们行业以外的领域学习,以改善它们的防御措施,并采取必要的网络安全措施。

通过研究这些有组织支持的网络攻击获得成功的原因,可以识别攻击方法中的模式、了解常见的访问路径,从而解决企业保护其敏感系统和信息的方式,以防止恶意活动。由于网络攻击的技术和软件在不断发展,因此没有统一的解决方案。但是,通过培训和强化内部流程,可以帮助最小化网络攻击的风险以及可能发生的潜在损害。

网络攻击难以追踪和评估的一个原因,是很难识别谁是攻击的罪魁祸首。但仍然可以从层出不穷的攻击中评估攻击的模式,不管属性如何,大多数都有两个共同特点: 依靠尖端技术 和利用人的因素。

作为关键基础设施的重要组成部分,能源部门已成为网络攻击的首要目标。近期最著名的攻击之一是发生于2016 年12 月的乌克兰电力中断,另一个则被称为" 蜻蜓2.0",目前正在欧洲和北美洲搜寻同样的目标。

这个黑客集团的主要战略似乎是进入受害者的网络,而且人也被当作主要接入点。通过部署几个策略,包括恶意电子邮件、水洞攻击 ( 经常访问被恶意软件感染的网站),感染木马病毒的软件和各种恶意软件程序。现在确信蜻蜓从2011 年到2014 年就开始进行收集信息和授权,以便于为可能发动的攻击做准备。

另外一个例子, 是索尼影视娱乐。在2014 年的" 采访" 发布之前,索尼影像取消了在纽约的首映式,主要是因为黑客集团的暴力威胁,它们还声称对当年早些时候发生的索尼数据泄露负责。尽管这是针对一家私人公司的攻击,但该漏洞被当做攻击跳板,而且先前的攻击导致很多内部通信暴露并迫使索尼将数以千计的系统离线。

制定主动网络安全策略

了解有组织的网络攻击的独特动机,对于制定保护系统防御一系列潜在泄露的策略至关重要。由于这些网络攻击的复杂性,它们通常分阶段进行,一般从信息收集开始。幸运的是,尽管这些攻击的最终目标相当独特,但组织支持的黑客通常使用相同的策略,有些比较复杂,其它的则是相当现成的,在它们的计划中是独立的攻击。

首先,这些组织旨在通过使用先进的持久性威胁 (APT) 和远程访问工具 (RAT) 在系统中建立定期驻留,以避免在未准备的设备上检测并绕过安全检测。从那里,数据挖掘将开始黑客模式以获取信息,最终这些信息将用于完成攻击 ( 泄漏数据,利用数据,使用数据控制/破坏系统/ 基础设施等) 或发起后续攻击。

由于这些威胁,企业需要在技术上加倍努力以保持最新,但从战略的角度来看问题,采取基于风险的方法将会更有效。

通过改善系统交互的人性化来确保系统和设备的安全。在几乎所有的网络攻击中,似乎都有员工在不知不觉中打开和传播受感染的电子邮件并点击链接,给黑客提供访问权限的情况。为了尽量减少损失发生的可能性,请从限制用户对关键系统的访问作为开始。持续的、定期更新员工培训,是减轻网络安全威胁和制定坚实的网络安全策略的基石。

网络安全工具

工具和技术仍然很重要,但由于很多黑客集团能够获得最新的技术,显然这些个人和企业需要保持领先一步,尤其是对于老旧的软件和系统。有效的网络安全策略需要的不仅仅是技术。

通过培训员工,让他们了解网络攻击的风险以及这些常见的攻击途径,如矛式网络钓鱼,可以在恶意病毒植入之前报告和减轻潜在问题。即使是最有效的安全系统也可以被人为错误所挫败。

然而,软件安全性仍然是网络安全解决方案的重要组成部分,在软件集成到系统中之前直到使用期间,必须识别、评估和纠正软件应用程序中的漏洞。

幸运的是,在努力改进技术的同时,行业也一直在努力制定必要的标准,以评估用于保护敏感信息和关键基础设施免遭网络攻击的软件。请第三方进行这些评估有助于节省时间和资源,同时也能增强对软件的信心。

网络安全计划通过帮助确保所有软件的安全,来帮助降低风险。通过部署一致的可测试标准,公司可以开始减少开发,解决已知的恶意软件,增强安全控制,并扩展安全意识。所有这些都是实现网络安全的基本步骤。如果有了强大的软件基础,包括确保所评估的软件保持更新、有效和安全的程序,员工培训则构成了最终的、必要的保护层和另一双警觉的眼睛。

伴随着新安全措施的开发, 黑客也在全球范围内测试和部署新恶意软件和访问方法。这就是现实,我们享受互联世界所带来的便利,也面临着风险。然而,面对日益增多的网络攻击,我们仍有可能保持警惕并做必要的准备。

关键概念:

■ 定义不同类型的网络攻击;

■ 如何减少网络攻击的风险。

思考一下:

您如何帮助您的企业最大程度的减少外部或内部网络攻击的风险?

本文来自于《控制工程中文版》(CONTROL ENGINEERING China )2018年10月刊《技术文章》栏目,原标题为:如何减少网络攻击的风险?

本期杂志封面

想要免费阅读每期杂志内容,请查阅《控制工程中文版》微信订阅号自定义菜单。

(0)

相关推荐

  • 网络安全相关法规政策

    我国经济社会已经全面迈入数字经济时代,20119数字经济规模为35.8万亿元,占GDP比重达到36.2%.与"十二五"末期相比,中国数字经济规模翻了一番,复合年均增长率达到17.7 ...

  • 如何保护关键基础设施免受网络攻击

    [编者按]过去,各国政府通过将其业务网络与互联网独立,来保护关键基础设施免受网络攻击.在当今的互联环境中,数字和物理系统正在融合,并产生了一系列新的网络安全问题.随着新冠疫情.远程办公及物联网的发展, ...

  • 网络安全等级保护:正确理解等保与关保的关系​

    首先我们还是从<网络安全法>说起,第三十一条是这样描述:国家对公共通信和信息服务.能源.交通.水利.金融.公共服务.电子政务等重要行业和领域,以及其他一旦遭到破坏.丧失功能或者数据泄露,可 ...

  • Cyber周报丨20170722-20170728

    全球技术地图 创新丨前沿丨科普丨资讯 特朗普将签署对俄罗斯的制裁令:英国和澳大利亚对华为保持警惕:普京加强对VPN的管制. 政府 国际法律和政策 l 美国情报部门日前对俄罗斯干预2016年美国总统大选 ...

  • Cyber周报丨20170826-20170901

    全球技术地图 创新丨前沿丨科普丨资讯 俄罗斯与白俄罗斯部署信息作战小组进行联合军事演习:中国科学家完成水下量子通信实验:在津巴布韦的社交网络发布不良言论会受到最多10年的监禁处罚. 政府 国家法律和政 ...

  • IT外包浅谈应对SolarWinds的网络安全技巧

    企业的网络和安全团队可以做什么来应对SolarWinds的黑客攻击?作为专业的企业IT服务提供者,一定要为其他危机事件做好准备,下面看看专业IT外包服务商应该怎样做 1. 计算机容易受到攻击.无论采取 ...

  • 公路、市政基础设施工程行业:重点审计领域及关键审计程序

    容诚行业研究之公路.市政基础设施工程行业(中):重点审计领域及关键审计程序 RSM容诚 公路.市政基础设施工程行业作为基础设施建筑业的重要组成部分,涉及面较广.市场规模大,上市公司较多,公路.市政基础 ...

  • 美国CISA成立空间系统关键基础设施工作组

    据美国国土安全部网站看到,美国华盛顿特区-网络安全与基础设施安全局(CISA)2021年5月13日宣布,将组建一个由政府和行业成员组成的空间系统关键基础设施工作组,该小组将确定并制定策略,以最大程度地 ...

  • 打造城市关键基础设施安全解决方案,长扬科技亮相2021福州数博会

    2021年4月25日-27日,首届中国(福州)国际数字产品博览会在福州海峡国际会议中心举办.本届数博会以"聚焦产品创新,培育数字消费"为主题,旨在加快国家数字经济创新发展试验区建设 ...

  • 游得快关键在于增加动力和减少阻力

    如果您想游的快,需放轻松.要有水感(感觉到水的阻力),像鱼一样的在水中游动,而不要拍击水面.让我们来看看奥运级的教练托洛斯基(Gennadi Touretski),过去如何训练他的选手波波夫(Alex ...

  • 美众院法案要把航天定为关键基础设施

    将会在这项新法案下被列为关键基础设施的各类航天相关设施中包括发射场 [<航天新闻>6月4日报道]美国众议院一项新法案将会把航天定为一个关键基础设施行业,从而需要由联邦政府制定指导方针来加以 ...

  • 中国芯储备从8%提升至40%,迈出关键一步,将减少对外进口的依赖

    芯片制造是一个比较新的产业,也是因为现代信息技术的发展才开始逐渐被人们所探索的领域.而在芯片的开发上其实是我国的能力是比较有限的,而随着现在日益增长的需求,想要在这方面有一些更好的突破,就需要一些更多 ...

  • 2021年游戏开发行业怎样减少税收压力?

    游戏研发开发行业最近几年来一直是比较热门的行业,一款好的游戏都会拥有众多的用户群体,利润也是相当的丰厚,本质上来说游戏开发行业也是属于服务行业,据统计显示,我国游戏行业毛利润普遍在70%以上. 虽然利 ...

  • 减少老年痴呆风险,心血管健康是关键

    导语:心血管健康至关重要! 来源:harvard. edu 最近发表在plos medicine的一项研究表明,动脉硬化不仅与心血管疾病密切相关,它也是认知能力下降和痴呆症的一个风险因素,保持心脏健康 ...