法规及其在保护关键基础设施中的作用 [Q&A]
![法规及其在保护关键基础设施中的作用 [Q&A]](http://139.155.240.214:7031/wp-content/uploads/2025/03/4f90fd68653002459c01157d3c76e48e_news_20250312.jpg)
快速阅读: 据《Beta新闻》称,保护关键国家基础设施(CNI)免受攻击是当前的重要任务。勒索软件攻击频发,特别是针对网络边缘设备的攻击。攻击者瞄准CNI因其高影响力,而CNI组织需面对复杂的网络管理和不断演变的威胁。为防范勒索攻击,CNI需全面监控网络,实施良好的网络安全管理原则,并采取纵深防御策略。
保护关键国家基础设施(CNI)免受攻击是政府和提供CNI服务的组织的一项巨大任务。在欧洲的新法规——NIS2指令——增加了对CNI恢复力的关注,涵盖传统关键服务如银行、公用事业、交通和公共安全,以及为数字服务提供商提供的新规定。到2025年,《数字运营韧性法案》(DORA)将对金融部门实施更严格的恢复力和安全要求。而在英国,即将出台的《网络安全与韧性法案》也将要求更多投资于安全领域。为了更好地了解所有这些法规背后的原因,我们采访了沃达丰商业安全增强(VBSE)的主任史蒂夫·金比斯(Steve Knibbs),讨论了CNI面临的威胁,为什么勒索软件对CNI组织是一个巨大挑战,以及作为CNI供应商本身,公司如何扩展其方法。
BN:勒索软件对CNI组织来说有多大的问题?
SK:勒索软件攻击的数量每个月都在上升。在我们上个季度的威胁情报报告中,勒索软件泄露网站公布了近1500名新的受害者,比2024年第一季度的近1280人有所增加——这个数字涵盖了那些在公开发布前未支付赎金的人,因此实际总数可能更高。勒索软件团伙无论是新成立的还是已经存在的,主要使用网络钓鱼、被盗凭证或利用已知漏洞来获取目标访问权限。在2024年第二季度,勒索软件团伙转向针对更多具有已知漏洞的网络边缘设备,如路由器。大规模利用关键漏洞仍然是威胁团伙中流行的方法之一。利用边缘设备中的漏洞以获得初始访问权限已成为许多勒索软件和APT(高级持续性威胁)团伙的首选。例如,麒麟(Qilin)勒索软件团伙专门针对备份软件和组织用来保护自己的安全产品的漏洞,以获得初始访问权限。一旦他们进入系统,就会使用Mimikatz等工具提升权限,然后利用常见的IT管理或基础设施软件中的漏洞部署勒索软件。麒麟对病理学公司Synnovis的攻击影响了伦敦及英国东南部的初级医疗服务提供商和医院。勒索软件团伙无论是新成立的还是已经存在的,主要使用网络钓鱼、被盗凭证或利用已知漏洞来获取目标访问权限。在2024年第二季度,勒索软件团伙转向针对更多具有已知漏洞的网络边缘设备,如路由器。
BN:为什么攻击者专注于CNI,他们的目的是什么?
SK:CNI对国家至关重要——它关乎公民的生活,维持企业的运转,并确保日常生活安全有序。考虑到这一点,任何妥协都可能导致社会更大的影响。我们看到美国和澳大利亚的医院遭到攻击导致手术取消和错过医院预约,这对患者产生了直接影响。攻击还可能有其他直接后果,如阻止水的供应或造成旅行延误,也可能间接影响,如使工作变得不可能。在存在如此高潜在风险的情况下,攻击者认为他们可以更容易地获得回报。其他人可能将勒索软件视为一种通过制造经济混乱来获利的副产品。黑客主义团体更倾向于破坏CNI能力并影响运营表现,但他们也不会拒绝金钱。
BN:他们可以利用哪些弱点?
SK:不同的团伙采用不同的技术和程序(TTP)来攻击组织。例如,中国资助的团伙在目标网络管理员能够修补之前,就利用了最近发现的安全边缘设备(如VPN)的漏洞。安全产品中的问题成为重点攻击对象。快速修补这些资产对于领先于寻找易受攻击资产的攻击者至关重要。一旦团伙开始使用成功的TTP,这些关键漏洞就会被多个其他威胁行为者用于勒索软件攻击。这是一场安全团队进行更改以避免被攻击的竞赛,也是威胁团伙之间的竞赛。
SK:不同的团伙采用不同的技术和程序(TTP)来攻击组织。例如,中国资助的团伙在目标网络管理员能够修补之前,就利用了最近发现的安全边缘设备(如VPN)的漏洞。安全产品中的问题成为重点攻击对象。快速修补这些资产对于领先于寻找易受攻击资产的攻击者至关重要。
BN:哪些是主要的威胁团伙?
SK:最成功的两个勒索软件团伙是Alphv/BlackCat和LockBit。然而,执法机构已经瓦解了这些团伙,进行了逮捕并破坏了他们的运作,这减少了这些团伙能够发动的攻击数量。尽管这些行动取得了成功,但新的团伙正在涌现以取代它们——有些是全新的,有些则是改头换面的老团伙。Play和BlackBasta也在不断增加其活动。为什么我们要曝光这些团伙?通过了解这些团伙的操作方式、他们瞄准的问题类型以及他们的行动速度,你可以准备你的防御措施。了解这些团伙的操作方式,你就能理解你可能面临的风险暴露程度以及你需要多长时间来加固你的基础设施以应对特定问题。这是有效利用威胁情报数据的一种方式,可以帮助你在运营中取得成功。
BN:如何防止针对CNI的勒索攻击?
SK:为了防止这些攻击发生,CNI组织需要对其网络进行全面监控,检测和阻止威胁行为者进一步入侵IT系统。许多对手变得更加复杂,学习新的方法来保持低调并避免被长时间检测到。这些团伙不再在攻击中使用恶意软件,而是利用网络中已有的工具创建恶意脚本,从而不被安全应用程序或设备检测到。从根本上讲,我们在IT、操作技术(OT)和工业物联网部署方面实施了良好的网络安全管理原则。在这些技术领域已经做了大量的工作,以便我们可以帮助保护我们的所有网络。提高CNI的安全性和领先于攻击者很困难,因为CNI组织需要管理复杂的庞大网络,并及时解决所有潜在问题。当攻击者比安全团队更快时,他们有更多的机会利用问题。对于CNI公司来说,这是一个持续的生命周期挑战,以确保这些长期技术项目的安全。CNI组织可以通过应用正确的流程并采取纵深防御策略来保持领先地位,从而帮助防止攻击成功。
图片来源:ra2studio / depositphotos.com
(以上内容均由Ai生成)
