乍一看可能不太明显,但网络安全与可持续性是密不可分的。如今,在恶意行为者针对石油、天然气和电网等关键基础设施的恶意活动日益增多的背景下,可持续发展目标——向可再生能源的转变、更高效的能源使用以及集成互联传感器以最大限度地提高资源生产力——得到了追求。
在本分析中将探讨网络安全与可持续性的交叉点,重点关注勒索软件、物联网(IoT)和开源软件(OSS)。
勒索软件和Colonial Pipeline
网络安全和可持续发展交叉的一个显著例子是Colonial Pipeline勒索软件事件,由于其对石油价格的潜在影响,导致许多人恐慌。这一事件也敲响了警钟,当涉及到现有能源供应商的漏洞及其配套基础设施时,当前的生态系统是多么脆弱。
在Colonial Pipeline事件中,恶意行为者在几个小时内窃取了100GB的数据,然后继续感染该组织的信息技术(IT)网络,导致Colonial关闭其系统以防止进一步传播,这将对管道及其相关基础设施的可持续性产生负面影响。在这种情况下,恶意行为者要求并收到了超过400万美元的赎金,尽管司法部最终能够追回超过200万美元。
物联网扩大攻击面
物联网和连接设备的兴起,如支持人工智能的传感器和计算机视觉驱动的摄像头。这些设备为传统的工业基础设施带来了数字连接,而传统上这些设施并没有被视为更广泛的数字环境的一部分。虽然增强的连通性带来了以前不可能实现的好处和功能,包括监测能源使用、分析空气质量、优化农业,但也带来了更大的攻击面。
许多物联网设备甚至缺乏基本的网络安全功能,比如加密和强大的密码。随着连接更多的设备,为恶意行为者打开了新的途径,以破坏连接的系统或利用物联网设备本身进行攻击,例如在分布式拒绝服务(DDoS)攻击的情况下,其可以通过降级系统或在某些情况下使系统完全脱机来影响系统的效率。
随着物联网设备预计在未来几年将增长到数百亿台,可持续性需要成为这一日益普及的技术的关键考虑因素。
开源和软件供应链
另一个关键挑战是开源软件的广泛增长和使用,甚至在关键的基础设施部门也是如此。OSS的使用通过最大限度地利用现有软件和代码以及消除低效率来促进可持续性。其还在整个生态系统中引入了标准化,并形成了一个由贡献者和维护者组成的强大社区。
研究表明,OSS的使用在关键基础设施(石油、天然气、电网)中普遍存在,并且大多数OSS组件至少包含一个或多个关键或高漏洞。OSS使用的快速增长使得业界努力找出如何确保软件供应链的安全,来自NIST、OpenSSF、国家安全局(NSA)等来源的指导与OSS使用的安全有关。
最后的想法
恶意行为者已经意识到,通过勒索软件等方法,以关键基础设施为目标是多么有利可图,以及许多遗留基础设施系统是多么脆弱和过时。他们将在新兴的关键基础设施(如能源和工业系统)中寻找相同或类似的缺陷。
在开发这些现代系统时强调安全性,可以开创一个更稳定、更有弹性的关键基础设施时代。这将需要更多的前期工作来确保情况如此。其还包括确保在现代可再生能源和可持续能源的整个开发生命周期中考虑关键的安全要求和最佳实践。如果不这样做,我们将不可避免地重蹈过去的覆辙,而不是吸取痛苦的教训。