關(guān)鍵基礎(chǔ)設(shè)施如何突顯可持續(xù)發(fā)展與網(wǎng)絡(luò)安全之間的聯(lián)系？

關(guān)鍵基礎(chǔ)設(shè)施如何突顯可持續(xù)發(fā)展與網(wǎng)絡(luò)安全之間的聯(lián)系？

By Chris Hughes

乍一看可能不太明顯，但網(wǎng)絡(luò)安全與可持續(xù)性是密不可分的。如今，在惡意行為者針對(duì)石油、天然氣和電網(wǎng)等關(guān)鍵基礎(chǔ)設(shè)施的惡意活動(dòng)日益增多的背景下，可持續(xù)發(fā)展目標(biāo)——向可再生能源的轉(zhuǎn)變、更高效的能源使用以及集成互聯(lián)傳感器以最大限度地提高資源生產(chǎn)力——得到了追求。

在本分析中將探討網(wǎng)絡(luò)安全與可持續(xù)性的交叉點(diǎn)，重點(diǎn)關(guān)注勒索軟件、物聯(lián)網(wǎng)(IoT)和開(kāi)源軟件(OSS)。

勒索軟件和Colonial Pipeline

網(wǎng)絡(luò)安全和可持續(xù)發(fā)展交叉的一個(gè)顯著例子是Colonial Pipeline勒索軟件事件，由于其對(duì)石油價(jià)格的潛在影響，導(dǎo)致許多人恐慌。這一事件也敲響了警鐘，當(dāng)涉及到現(xiàn)有能源供應(yīng)商的漏洞及其配套基礎(chǔ)設(shè)施時(shí)，當(dāng)前的生態(tài)系統(tǒng)是多么脆弱。

在Colonial Pipeline事件中，惡意行為者在幾個(gè)小時(shí)內(nèi)竊取了100GB的數(shù)據(jù)，然后繼續(xù)感染該組織的信息技術(shù)(IT)網(wǎng)絡(luò)，導(dǎo)致Colonial關(guān)閉其系統(tǒng)以防止進(jìn)一步傳播，這將對(duì)管道及其相關(guān)基礎(chǔ)設(shè)施的可持續(xù)性產(chǎn)生負(fù)面影響。在這種情況下，惡意行為者要求并收到了超過(guò)400萬(wàn)美元的贖金，盡管司法部最終能夠追回超過(guò)200萬(wàn)美元。

物聯(lián)網(wǎng)擴(kuò)大攻擊面

物聯(lián)網(wǎng)和連接設(shè)備的興起，如支持人工智能的傳感器和計(jì)算機(jī)視覺(jué)驅(qū)動(dòng)的攝像頭。這些設(shè)備為傳統(tǒng)的工業(yè)基礎(chǔ)設(shè)施帶來(lái)了數(shù)字連接，而傳統(tǒng)上這些設(shè)施并沒(méi)有被視為更廣泛的數(shù)字環(huán)境的一部分。雖然增強(qiáng)的連通性帶來(lái)了以前不可能實(shí)現(xiàn)的好處和功能，包括監(jiān)測(cè)能源使用、分析空氣質(zhì)量、優(yōu)化農(nóng)業(yè)，但也帶來(lái)了更大的攻擊面。

許多物聯(lián)網(wǎng)設(shè)備甚至缺乏基本的網(wǎng)絡(luò)安全功能，比如加密和強(qiáng)大的密碼。隨著連接更多的設(shè)備，為惡意行為者打開(kāi)了新的途徑，以破壞連接的系統(tǒng)或利用物聯(lián)網(wǎng)設(shè)備本身進(jìn)行攻擊，例如在分布式拒絕服務(wù)(DDoS)攻擊的情況下，其可以通過(guò)降級(jí)系統(tǒng)或在某些情況下使系統(tǒng)完全脫機(jī)來(lái)影響系統(tǒng)的效率。

隨著物聯(lián)網(wǎng)設(shè)備預(yù)計(jì)在未來(lái)幾年將增長(zhǎng)到數(shù)百億臺(tái)，可持續(xù)性需要成為這一日益普及的技術(shù)的關(guān)鍵考慮因素。

開(kāi)源和軟件供應(yīng)鏈

另一個(gè)關(guān)鍵挑戰(zhàn)是開(kāi)源軟件的廣泛增長(zhǎng)和使用，甚至在關(guān)鍵的基礎(chǔ)設(shè)施部門(mén)也是如此。OSS的使用通過(guò)最大限度地利用現(xiàn)有軟件和代碼以及消除低效率來(lái)促進(jìn)可持續(xù)性。其還在整個(gè)生態(tài)系統(tǒng)中引入了標(biāo)準(zhǔn)化，并形成了一個(gè)由貢獻(xiàn)者和維護(hù)者組成的強(qiáng)大社區(qū)。

研究表明，OSS的使用在關(guān)鍵基礎(chǔ)設(shè)施(石油、天然氣、電網(wǎng))中普遍存在，并且大多數(shù)OSS組件至少包含一個(gè)或多個(gè)關(guān)鍵或高漏洞。OSS使用的快速增長(zhǎng)使得業(yè)界努力找出如何確保軟件供應(yīng)鏈的安全，來(lái)自NIST、OpenSSF、國(guó)家安全局(NSA)等來(lái)源的指導(dǎo)與OSS使用的安全有關(guān)。

最后的想法

惡意行為者已經(jīng)意識(shí)到，通過(guò)勒索軟件等方法，以關(guān)鍵基礎(chǔ)設(shè)施為目標(biāo)是多么有利可圖，以及許多遺留基礎(chǔ)設(shè)施系統(tǒng)是多么脆弱和過(guò)時(shí)。他們將在新興的關(guān)鍵基礎(chǔ)設(shè)施(如能源和工業(yè)系統(tǒng))中尋找相同或類(lèi)似的缺陷。

在開(kāi)發(fā)這些現(xiàn)代系統(tǒng)時(shí)強(qiáng)調(diào)安全性，可以開(kāi)創(chuàng)一個(gè)更穩(wěn)定、更有彈性的關(guān)鍵基礎(chǔ)設(shè)施時(shí)代。這將需要更多的前期工作來(lái)確保情況如此。其還包括確保在現(xiàn)代可再生能源和可持續(xù)能源的整個(gè)開(kāi)發(fā)生命周期中考慮關(guān)鍵的安全要求和最佳實(shí)踐。如果不這樣做，我們將不可避免地重蹈過(guò)去的覆轍，而不是吸取痛苦的教訓(xùn)。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。