能源部門在每個(gè)正常運(yùn)作的社會中發(fā)揮著至關(guān)重要的作用，因此一直是由國家支持的網(wǎng)絡(luò)犯罪分子的主要攻擊目標(biāo)。近年來，由于地緣政治緊張局勢的加劇，針對該行業(yè)的網(wǎng)絡(luò)威脅顯著增長，由國家支持的網(wǎng)絡(luò)間諜活動(dòng)也隨之增加。根據(jù)一份關(guān)于OT/ICS網(wǎng)絡(luò)安全事件的報(bào)告，能源部門受到的攻擊占所有攻擊的39%，其中近60%的攻擊被歸因于國家附屬團(tuán)體。

除了政治動(dòng)機(jī)的攻擊，目的是為了獲得戰(zhàn)略優(yōu)勢外，威脅行為者也被從獲取大量敏感信息中潛在的經(jīng)濟(jì)利益所吸引。攻擊者還利用這個(gè)機(jī)會造成重大的運(yùn)營中斷，作為勒索的籌碼。一個(gè)近期的知名例子是對施耐德電氣的勒索軟件攻擊，其中仙人掌勒索軟件團(tuán)伙聲稱在入侵其系統(tǒng)后竊取了1.5TB的數(shù)據(jù)。

隨著網(wǎng)絡(luò)攻擊和勒索軟件的比例持續(xù)增加，能源供應(yīng)商對行業(yè)的運(yùn)營彈性感到擔(dān)憂，尤其是因?yàn)轱L(fēng)險(xiǎn)還被不斷增長的經(jīng)濟(jì)挑戰(zhàn)和不斷變化的監(jiān)管要求所加劇。

那么，該行業(yè)如何成功應(yīng)對這些挑戰(zhàn)呢?

了解風(fēng)險(xiǎn)因素

能源部門的風(fēng)險(xiǎn)部分源于其對過時(shí)和陳舊技術(shù)的依賴。該行業(yè)使用的許多技術(shù)和系統(tǒng)具有較長的使用壽命，因此隨著時(shí)間的推移，它們變得更加易受攻擊和難以修補(bǔ)。此外，能源供應(yīng)商仍依賴?yán)匣牟僮骷夹g(shù) (OT) 資產(chǎn)，如工業(yè)控制系統(tǒng)(ICS)、監(jiān)督控制和數(shù)據(jù)采集(SCADA)系統(tǒng)，以及可編程邏輯控制器(PLC)。

同時(shí)，物聯(lián)網(wǎng)(IoT)設(shè)備的部署，包括能源網(wǎng)格中的智能傳感器和配電設(shè)施中的自動(dòng)化系統(tǒng)，為安全性增加了額外的復(fù)雜性層面。這些IoT設(shè)備通常不是設(shè)計(jì)來與傳統(tǒng)的安全協(xié)議無縫集成，而且往往缺乏足夠的安全保護(hù)措施，如不安全的接口或弱加密，使它們更容易受到可能威脅它們連接的邊緣網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊。

在追求數(shù)字化的同時(shí)，組織一直在舊系統(tǒng)之上堆疊現(xiàn)代技術(shù)，擴(kuò)大了攻擊面，并創(chuàng)造了一個(gè)難以確保安全的復(fù)雜拼圖。這使得關(guān)鍵系統(tǒng)易受攻擊，設(shè)備易于被利用，成為通往更大網(wǎng)絡(luò)基礎(chǔ)設(shè)施的門戶。

在這個(gè)行業(yè)中，攻擊者和防御者之間還存在著顯著的不對稱性，這使得組織處于不利地位。攻擊者只需找到一個(gè)漏洞來利用，而防御者必須保護(hù)整個(gè)基礎(chǔ)設(shè)施免受所有威脅。此外，網(wǎng)絡(luò)犯罪分子和國家支持的行為者通常能夠使用復(fù)雜的工具和技術(shù)，加上耐心和資源來進(jìn)行長期、隱蔽的活動(dòng)，以滲透和破壞關(guān)鍵系統(tǒng)。

勒索軟件的關(guān)鍵威脅

在2023年，我們看到針對能源行業(yè)的勒索軟件攻擊有所增加，包括核電、石油和天然氣設(shè)施。盡管網(wǎng)絡(luò)攻擊通常不直接針對OT環(huán)境，但大多數(shù)攻擊目標(biāo)是衡量OT運(yùn)營或計(jì)費(fèi)運(yùn)營的IT環(huán)境，這可能間接導(dǎo)致嚴(yán)重的中斷和停機(jī)。

最令人擔(dān)憂的是，攻擊策略一直在不斷變化，使能源公司難以實(shí)施針對勒索軟件的標(biāo)準(zhǔn)化安全策略。我們最近的勒索軟件狀況報(bào)告顯示，攻擊者已經(jīng)開始轉(zhuǎn)移傳統(tǒng)的攻擊策略，如釣魚活動(dòng)。相反，他們現(xiàn)在更青睞于針對云服務(wù)和應(yīng)用程序(如API)的更有針對性的攻擊。

網(wǎng)絡(luò)犯罪分子現(xiàn)在采用如“寄生于地”(LotL)的策略，即使用環(huán)境中已有的合法管理工具進(jìn)行惡意活動(dòng)。這使得它們更加難以被檢測，進(jìn)一步復(fù)雜化了網(wǎng)絡(luò)安全格局，并要求組織做出更細(xì)致的響應(yīng)。

降低風(fēng)險(xiǎn)因素

在漏洞被利用前將其消除是成功解決這些關(guān)鍵風(fēng)險(xiǎn)的最佳方式。對于能源公司來說，這意味著需要進(jìn)行系統(tǒng)的漏洞評估和滲透測試，特別關(guān)注IT和OT系統(tǒng)之間的接口應(yīng)用程序。這還需要采納全面的安全策略，包括常規(guī)的安全監(jiān)測、補(bǔ)丁管理和網(wǎng)絡(luò)分割，并實(shí)施嚴(yán)格的事件報(bào)告和響應(yīng)。

一旦基礎(chǔ)設(shè)施到位，能源供應(yīng)商應(yīng)該探索更先進(jìn)的技術(shù)和自動(dòng)化機(jī)會，這些技術(shù)和機(jī)會可以幫助縮短檢測與響應(yīng)之間的時(shí)間，例如能夠?qū)崟r(shí)主動(dòng)監(jiān)控網(wǎng)絡(luò)以檢測異常和預(yù)測潛在威脅模式的AI驅(qū)動(dòng)工具。同時(shí)，組織必須確保自動(dòng)化和AI驅(qū)動(dòng)系統(tǒng)有足夠的人類監(jiān)督。

管理對數(shù)據(jù)和基礎(chǔ)設(shè)施的訪問是任何組織，不僅僅是能源供應(yīng)商，都應(yīng)考慮的另一個(gè)關(guān)鍵元素，以改善其安全姿態(tài)。無論是源自國家行為者還是機(jī)會主義犯罪團(tuán)伙，大多數(shù)攻擊都會尋求利用身份處理過程來訪問關(guān)鍵系統(tǒng)——我們的研究發(fā)現(xiàn)，36%的組織認(rèn)為特權(quán)訪問是勒索軟件攻擊最脆弱的矢量。

為了降低這種風(fēng)險(xiǎn)，組織應(yīng)實(shí)施身份訪問管理(IAM)和特權(quán)訪問管理(PAM)解決方案的結(jié)合。IAM確保只有授權(quán)用戶才能訪問組織的資源，而PAM解決方案確保人類或機(jī)器身份只能在完成任務(wù)所需的時(shí)間內(nèi)訪問數(shù)據(jù)和系統(tǒng)。通過PAM，公司還可以增加額外的安全層，包括多因素認(rèn)證和會話監(jiān)控。

除了技術(shù)防御外，組織還應(yīng)關(guān)注人類因素，因?yàn)獒槍T工和第三方承包商的網(wǎng)絡(luò)釣魚和社會工程攻擊持續(xù)發(fā)生，并且繼續(xù)是初始入侵的有效方法。提高員工對這些和其他策略的認(rèn)識的培訓(xùn)計(jì)劃至關(guān)重要，而定期更新的培訓(xùn)課程可以幫助員工識別和應(yīng)對潛在威脅，從而降低成功攻擊的可能性。

這些步驟可以幫助能源部門的供應(yīng)商建立更具彈性的基礎(chǔ)設(shè)施，能夠抵御不斷發(fā)展的復(fù)雜網(wǎng)絡(luò)攻擊威脅。這些措施也是保障整個(gè)行業(yè)完整性的關(guān)鍵，確保持續(xù)提供基本服務(wù)。