关键基础设施保护:四大免遭网络攻击的秘诀

关键基础设施已成为全球网络攻击的主要目标,因为关键基础设施为民众提供的是必需服务,因此一旦遭到攻击,破坏性自然不言而喻。

上周,席卷全球的勒索病毒“WannaCry”让医院和火车站等系统陷入瘫痪,现在仍在继续扩散、蔓延,令全球众多组织机构、学校、企业等陷入恐慌。

关键基础设施保护:四大免遭网络攻击的秘诀-E安全

  基础设施遭遇攻击的事件也不是第一次发生。

近期,美国大城市就经历过大规模断电。上月,美国达拉斯的紧急警报器遭遇黑客入侵,156个警报器持续40分钟响个不停。

这已不是新兴趋势:伊朗政府2013年就曾攻击过纽约北部一个水坝。这足以说明,关键基础设备的安全存在巨大漏洞。黑客入侵防不胜防,关键基础设施应做好预防措施势在必行。

  1. 安全的社交媒体访问
    许多关键基础设施组织机构在使用社交媒体。

虽然社交媒体能使组织机构快速接触受众,并发布重要信息,然而,社交媒体同时也会被攻击者盯上。社交媒体账号极易被入侵。品牌、名人和媒体因发布不恰当的言论向公众致歉已屡见不鲜。

虽然这类攻击只会令某些公司头疼,然而对关键基础设施而言,可能会造成灾难性的后果。这些组织机构需采取额外的预防措施,以确保只有经批准的适当人选才能发布信息等,以免引发集体谴责。

2013年,美国联合通讯社Twitter账号上发布了假消息称,白宫发生爆炸奥巴马受伤,一度引发市场恐慌,股市暴跌,最后被证实该账号遭遇黑客入侵。

2. 遏制低技能社会工程
关键基础设施还需注意,切勿让社会工程影响内部人员。

例如,黑客冒充维修人员或让接待人员回答看似无伤大雅、但可能会影响安全的问题。

关键基础设施保护:四大免遭网络攻击的秘诀-E安全

脑补下画面,您可能会联想到间谍惊悚片的场景,但这种现象会在现实中发生,并应成为关注的问题。知名安全顾问凯文·米特尼克及其团队已经发现这个软肋,他发现每家公司都存在这样的隐患。因此,关键基础设施需识别每个人的身份,无论是网上还是当面接触的人员。

  1. 放弃静态密码
    关键基础设施必须停止依赖静态密码。

组织机构被入侵,其个人信息、用户名和密码被公之于众的悲剧几乎每天都在上演,虽然许多这类入侵针对的是消费者,但是对关键基础设施同样带来重大威胁。

静态密码很容易被恶意软件或不法分子窃取、劫持或重放。静态密码的风险太大,无法有效保护任何组织机构和民众。相反,关键基础设施的组织机构应利用基于动态密码和反重放技术的解决方案,从而百分之百确定另一端的在线交易对象是谁。

  1. 提高安全标准
    大多数企业部署的安全措施远远满足不了核电厂、供水系统、水坝或电网的安全需求。

比如,美国的关键基础设施和关键资源(CIKR)须满足超出国家标准与技术研究所(NIST)第4级的安全要求。

虽然第4级是最高的保障等级,但还远远不够。除了密码令牌,美国的关键基础设施还必须能防止恶意软件和会话重放攻击(Replay Attack),这是确保所有关键基础设施受保护的唯一方式。

保护关键基础设施安全是网络安全专业人士的重中之重,许多专家已经在呼吁政府制定更严格的计划解决安全问题。上述步骤只是一些预防措施,但网安专业人士需保持警觉,进而持续解决不断变化的网络威胁格局。

本文转自d1net(转载)

时间: 2024-12-24 20:09:07

关键基础设施保护:四大免遭网络攻击的秘诀的相关文章

亚太地区:未来十年关键基础设施保护市场增长率最高

为了保护基础设施免于遭到网络攻击或已成为恶意攻击受害者之后为有效降低攻击影响,许多组织机构正纷纷采用关键基础设施保护技术.包括交通.金融服务保险业.IT.能源在内的多个行业都在部署关键基础设施保护解决方案,以保护关键信息和基础设施安全. 关键基础设施保护市场 关键基础设施保护解决方案能提供控制措施使设备稳定,保护设备之间的通信,管理并监控联网设备.除此之外,关键基础设施保护措施还包括采用网络安全控制.基于硬件的嵌入式身份验证,以及物理安全控制. 驱动因素和挑战 关键基础设施市场的最大驱动因素是政

关键基础设施保护:美国土安全部已培养出4000名专业人才

美国达荷国家实验室(INL)和国土安全部(DHS)宣布成功举办了第100次工业控制系统网络安全(301)培训课程,本次培训由DHS工业控制系统网络应急响应小组(ICS-CERT)主办. 该培训是专门为防御关键基础设施行业系统而设立,自2007年4月以来,超过4000名网络安全专业人士参与了此课程. DHS与INL实验室合作培训 美国国家与国土安全助理实验室主任扎克·图德表示,培训体现了INL和DHS之间的重要合作.图德对团队能通过独特的课程保护国家关键基础设施安全而感到骄傲. INL表示,自20

关键信息基础设施保护必须以等级保护制度为基础

近年来,有关网络安全的话题从未停歇.随着"棱镜门"事件的曝光,国家间的信息安全对抗日益公开化,网际空间的安全威胁正呈国际化.复杂化.组织化趋势发展. 如今,以云计算.大数据.物联网.工业互联网为代表的新技术得以迅速应用,更多的传统能源.电力.交通基础设施联入网络,成为关键信息基础设施有机组成部分. "关键信息基础设施"一词看似抽象,却是网络安全的重中之重.在最近的一年里,中国互联网络信息中心(CNNIC)安全管理部副主任张新跃一直在做网络安全基础设施的标准制定工作.

美国意欲对伊朗关键基础设施发动大规模网络攻击

近日,美国首映的一部纪录片表明:早在奥巴马执政初期,美国就制定了对伊朗关键基础设施进行大规模网络攻击的详尽计划. 这部纪录片名为<零日>.据<纽约时报>和Buzzfeed上披露的影片资料显示:该计划代号"Nitro Zeus",目标是摧毁伊朗的电网.防空和通信服务.一旦出现限制该国核计划的外交努力失败,军事冲突在所难免的时候,美国就会启动这个备用方案. 网络攻击的核心目标,是摧毁库姆(Qum)市附近深山中的地下核浓缩工厂福尔多(Fordo).行动计划定为:向福尔

构建安全物联网基础设施的四大原则

每当谈起科技对未来社会的影响,"物联网"是一个绕不开的话题.因为,物联网几乎彻底改变了人们的生活方式,创建了智能家居.互联交通.智能能源系统等,未来的发展潜力不可估量. 2017年1月,工信部发布<信息通信行业发展规划物联网分册(2016-2020年)>,明确提出到2020年,我国具有国际竞争力的物联网产业体系基本形成,包含感知制造.网络传输.智能信息服务在内的总体产业规模突破1.5万亿元,公众网络M2M连接数突破17亿.截至2017年第二季度末,我国物联网终端用户达到1.

DDoS会危害关键基础设施吗? “安全加”认为媒体搞错了方向 APT攻击才是杀手锏

近期发生的一系列分布式拒绝服务(DDoS)攻击已经严重影响了互联网的正常运作.于是,"安全加" 总是接到媒体的需求(特别国外媒体)要求说一说DDoS对工控领域的威胁,这让安全加小编有些哭笑不得.1到目前为止,大多数对关键基础设施,尤其是涉及国家命脉的工控领域,都是通过木马渗透内网,然后实施APT攻击:2涉及国家命脉的工控领域,大多都不会直接暴露在外网,这包括国外也是一样的:3DDoS大多是攻击外围网络,然后瘫痪它,你把外网打瘫了,自己不也进不去了吗?为了让大家了解更多的相关信息,小编整

ICS-CERT报告:美国关键基础设施存在600多个安全漏洞

本文讲的是ICS-CERT报告:美国关键基础设施存在600多个安全漏洞,美国工控系统网络应急响应小组(ICS-CERT)警告,包括电站在内的美国关键基础设施正处于危险之中. 将关键基础设施连接到互联网的趋势导致美国关键基础设施工业控制系统中出现了超过600个IT安全漏洞.ICS-CERT的最新报告显示,相关漏洞涉及供水.能源和石油行业. 该报告涵盖了美国工控系统网络应急响应小组在2015年针对全美基础设施发布的112项评估,以响应该机构"预防.保护.缓解和响应关键基础设施网络威胁和通信中断&qu

基础网络和关键基础设施

1.基础网络和关键基础设施 基础通信网络安全防护水平进一步提升 基础电信企业逐年加大网络安全投入,加强通信网络安全防护工作的体系.制度和手段建设,推动相关工作系统化.规范化和常态化.2015年,工业和信息化部以网络安全管理.技术防护.用户个人电子信息和数据安全保护.应急工作.网络安全问题整改等为检查重点,对电信和互联网行业落实网络安全防护工作进行抽查.根据抽查结果,各基础电信企业符合性测评平均得分均达到90分以上,风险评估检查发现的单个网络或系统的安全漏洞数量较2014年下降20.5%. 我国域

卡巴斯基:关键基础设施可能面临“非常严重的事故”

企业缓慢地提升安全性,而攻击者则越来越快地提高攻击技术. 卡巴斯基实验室负责人表示,针对电网.供水系统.化工厂和其他关键基础设施的网络恐怖主义攻击可能成为严酷的现实,这意味着,这些基础设施需要更好的保护. 卡巴斯基首席执行该兼创始人Eugene Kaspersky表示,这些设施背后的企业仍然只是在使用监督控制和数据采集(SCADA)设备收集关于威胁的数据,而没有部署新的措施来应对这些威胁. 他表示,在这些企业作出改进之前,"我担心会发生一些非常糟糕的事故".与一般企业相比,需要保护关键