量子計算時代如何保護關鍵基礎設施

針對關鍵基礎設施(CI，Critical Infrastructure)最臭名昭著的網絡攻擊之一是發(fā)生在2021年5月，當時殖民管道（Colonial Pipeline）遭到勒索軟件攻擊。此次違規(guī)導致管道運營關閉、汽油短缺和燃油價格飆升。

但這次針對計費系統(tǒng)的攻擊并未導致系統(tǒng)關閉。相反，管道運營商關閉了泵送系統(tǒng)，因為擔心攻擊者可能會控制操作技術（OT），并將公共安全置于危險之中。

該事件說明了石油管道、發(fā)電站、電力設施、水處理廠、水壩、港口、公共交通系統(tǒng)等CI網絡安全所涉及的獨特問題。針對IT的攻擊可能會導致數據泄露或業(yè)務中斷。涉及OT的攻擊可能導致受傷、疾病，甚至在城市或地區(qū)造成更嚴重的后果。

這就是為什么CI運營商管理OT的方式與典型組織處理IT的方式不同。大多數企業(yè)不斷升級系統(tǒng)，重點是保護數據。CI運營商部署一次系統(tǒng)后，希望多年內不再更改它們，重點是維護安全。

但是，基于兩個原因，特定于ot的方法不再足以保護CI。首先，隨著工作技術的數字化，工作技術和信息技術正在相互聯系。其次，量子計算可能很快就會淘汰現有的密碼和數據加密策略。

作為回應，CI運營商應該借鑒IT安全協議的方法，但以OT特定的方式應用它們。特別是，他們需要進行徹底的風險評估，擁抱零信任安全，并實施微分段來保護CI。

使IT安全適應OT需求

當IT人員談論正常運行時間的“5個9”或99.999%可用性時，OT專業(yè)人員認為是11個9。兩組人都使用“可靠性”這個術語，但程度上的差異變成了種類上的差異。

這就是為什么OT經理堅持普渡模型的部分原因，普渡模型是20世紀90年代普渡大學開發(fā)的工業(yè)控制系統(tǒng)安全框架。普渡模型強調運營、流程、控制和傳感器的細分，以保護OT免受網絡攻擊。OT與IT完全隔離，它們之間有一個相當于非軍事區(qū)的隔離區(qū)。

普渡模型仍然是OT安全的基石。但這還不夠，因為OT屬性不再真正與IT分離。OT系統(tǒng)依賴于不斷擴展的物聯網設備網絡。他們越來越多地通過遠程連接進行監(jiān)控。有些與互聯網斷開連接，但與企業(yè)IT連接。其他人則與IT隔絕，但可以接觸互聯網。

如今，CI需要一種全面的OT安全方法來適應傳統(tǒng)的IT網絡實踐，以克服零散的OT保護的缺點。

加強OT安全和風險評估

加強量子時代的OT安全從風險評估開始。許多企業(yè)對其OT系統(tǒng)如何容易受到攻擊，以及這些漏洞的潛在后果缺乏清晰的認識。

CI組織可以利用專為IT安全設計的評估工具，通過使用這些工具來識別網絡上的所有資源，直至固件級別，并發(fā)現安全漏洞。請記住，如果評估工具可以在網絡上找到資源，那么攻擊者也可以。

有效的工具應該為企業(yè)提供風險評分。但請記住，該工具可能是為IT而不是OT設計的。企業(yè)需要了解該工具如何計算風險評分，然后考慮OT要求，以真正了解漏洞。如今，CI企業(yè)可以根據攻擊的可能性、數據的敏感性和基礎設施的重要性來確定補救措施的優(yōu)先級。

零信任與臨時身份驗證

聯邦政府已強制要求對網絡安全采取零信任方法，NIST等組織也發(fā)布了零信任框架。雖然零信任涵蓋了從身份到數據的網絡安全的多個支柱，但其基本思想是“永不信任，始終驗證”。

這意味著請求訪問資源的任何用戶或系統(tǒng)的身份驗證應該是臨時的。每個實體在每次需要訪問時，都應該對每個資源重新進行身份驗證。這樣，惡意行為者就無法闖入網絡并獲得對所有內容的實際訪問權限。

零信任取代了以周邊為中心的深度防御安全，這種安全強化了邊緣，但使中心容易受到攻擊。它將安全的重點轉移到用戶身上，而用戶通常是基礎設施中最脆弱的組件。

零信任與風險評估相吻合，因為它是基于風險的。它為每個需要訪問的實體定制訪問控制。它非常適合由邊緣越來越多的物聯網設備支持的集中式關鍵任務OT系統(tǒng)。

微分段以增強安全性

OT安全難題的第三個部分是微分段。傳統(tǒng)的分段涉及防火墻和虛擬局域網等障礙。微分段更為復雜，使企業(yè)能夠隔離任何用戶、應用或設備，而不管它們出現在基礎設施中的哪個位置。

微分段基于身份，并假設最小權限訪問。例如，開發(fā)人員可能被授予對需要升級的系統(tǒng)部分的訪問權限，但無法訪問基礎設施的任何其他部分。

過去，細分需要廣泛的規(guī)劃和系統(tǒng)升級，可能需要數月才能實現。相比之下，基于軟件定義網絡的微分段解決方案可以在一兩周內推出。機構可以在本地或云端部署，無需更換硬件。

控制關鍵基礎設施的OT系統(tǒng)涉及獨特的安全和安全要求。但它們將越來越多地與IT系統(tǒng)交叉，并在量子計算時代面臨新的漏洞。通過利用風險評估、零信任和微分段，OT運營商可以適應這些挑戰(zhàn)，同時保持對CI安全性和連續(xù)性的傳統(tǒng)關注。

生成海報

免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。