能源部门在每个正常运作的社会中发挥着至关重要的作用,因此一直是由国家支持的网络犯罪分子的主要攻击目标。近年来,由于地缘政治紧张局势的加剧,针对该行业的网络威胁显著增长,由国家支持的网络间谍活动也随之增加。根据一份关于OT/ICS网络安全事件的报告,能源部门受到的攻击占所有攻击的39%,其中近60%的攻击被归因于国家附属团体。
除了政治动机的攻击,目的是为了获得战略优势外,威胁行为者也被从获取大量敏感信息中潜在的经济利益所吸引。攻击者还利用这个机会造成重大的运营中断,作为勒索的筹码。一个近期的知名例子是对施耐德电气的勒索软件攻击,其中仙人掌勒索软件团伙声称在入侵其系统后窃取了1.5TB的数据。
随着网络攻击和勒索软件的比例持续增加,能源供应商对行业的运营弹性感到担忧,尤其是因为风险还被不断增长的经济挑战和不断变化的监管要求所加剧。
那么,该行业如何成功应对这些挑战呢?
了解风险因素
能源部门的风险部分源于其对过时和陈旧技术的依赖。该行业使用的许多技术和系统具有较长的使用寿命,因此随着时间的推移,它们变得更加易受攻击和难以修补。此外,能源供应商仍依赖老化的操作技术 (OT) 资产,如工业控制系统(ICS)、监督控制和数据采集(SCADA)系统,以及可编程逻辑控制器(PLC)。
同时,物联网(IoT)设备的部署,包括能源网格中的智能传感器和配电设施中的自动化系统,为安全性增加了额外的复杂性层面。这些IoT设备通常不是设计来与传统的安全协议无缝集成,而且往往缺乏足够的安全保护措施,如不安全的接口或弱加密,使它们更容易受到可能威胁它们连接的边缘网络的网络攻击。
在追求数字化的同时,组织一直在旧系统之上堆叠现代技术,扩大了攻击面,并创造了一个难以确保安全的复杂拼图。这使得关键系统易受攻击,设备易于被利用,成为通往更大网络基础设施的门户。
在这个行业中,攻击者和防御者之间还存在着显著的不对称性,这使得组织处于不利地位。攻击者只需找到一个漏洞来利用,而防御者必须保护整个基础设施免受所有威胁。此外,网络犯罪分子和国家支持的行为者通常能够使用复杂的工具和技术,加上耐心和资源来进行长期、隐蔽的活动,以渗透和破坏关键系统。
勒索软件的关键威胁
在2023年,我们看到针对能源行业的勒索软件攻击有所增加,包括核电、石油和天然气设施。尽管网络攻击通常不直接针对OT环境,但大多数攻击目标是衡量OT运营或计费运营的IT环境,这可能间接导致严重的中断和停机。
最令人担忧的是,攻击策略一直在不断变化,使能源公司难以实施针对勒索软件的标准化安全策略。我们最近的勒索软件状况报告显示,攻击者已经开始转移传统的攻击策略,如钓鱼活动。相反,他们现在更青睐于针对云服务和应用程序(如API)的更有针对性的攻击。
网络犯罪分子现在采用如“寄生于地”(LotL)的策略,即使用环境中已有的合法管理工具进行恶意活动。这使得它们更加难以被检测,进一步复杂化了网络安全格局,并要求组织做出更细致的响应。
降低风险因素
在漏洞被利用前将其消除是成功解决这些关键风险的最佳方式。对于能源公司来说,这意味着需要进行系统的漏洞评估和渗透测试,特别关注IT和OT系统之间的接口应用程序。这还需要采纳全面的安全策略,包括常规的安全监测、补丁管理和网络分割,并实施严格的事件报告和响应。
一旦基础设施到位,能源供应商应该探索更先进的技术和自动化机会,这些技术和机会可以帮助缩短检测与响应之间的时间,例如能够实时主动监控网络以检测异常和预测潜在威胁模式的AI驱动工具。同时,组织必须确保自动化和AI驱动系统有足够的人类监督。
管理对数据和基础设施的访问是任何组织,不仅仅是能源供应商,都应考虑的另一个关键元素,以改善其安全姿态。无论是源自国家行为者还是机会主义犯罪团伙,大多数攻击都会寻求利用身份处理过程来访问关键系统——我们的研究发现,36%的组织认为特权访问是勒索软件攻击最脆弱的矢量。
为了降低这种风险,组织应实施身份访问管理(IAM)和特权访问管理(PAM)解决方案的结合。IAM确保只有授权用户才能访问组织的资源,而PAM解决方案确保人类或机器身份只能在完成任务所需的时间内访问数据和系统。通过PAM,公司还可以增加额外的安全层,包括多因素认证和会话监控。
除了技术防御外,组织还应关注人类因素,因为针对员工和第三方承包商的网络钓鱼和社会工程攻击持续发生,并且继续是初始入侵的有效方法。提高员工对这些和其他策略的认识的培训计划至关重要,而定期更新的培训课程可以帮助员工识别和应对潜在威胁,从而降低成功攻击的可能性。
这些步骤可以帮助能源部门的供应商建立更具弹性的基础设施,能够抵御不断发展的复杂网络攻击威胁。这些措施也是保障整个行业完整性的关键,确保持续提供基本服务。