其他
学两会·话安全|数字时代下关键信息基础设施网络安全风险剖析
2021年全国两会上,代表委员就网络安全提出了很多提案与建议,聚焦数据安全、个人信息保护、网络安全基础设施、网络安全人才培养、网络安全学科发展、物联网安全、关键信息基础设施保护等领域,引发热议。工信部长肖亚庆在接受媒体采访时称,要平衡好发展和安全的关系,一手坚定不移地抓发展,一手坚定不移保证安全。
可见,安全是当前数字经济发展的重要保障,是不可或缺的基础设施。特别是政协委员、安天创始人肖新光及360集团创始人周鸿祎都提出了建设新基建的安全基础设施,聚焦构建新基建安全防护能力的建议。其宏观视野和创新思路,引发了工业网络安全行业的强烈共鸣和热烈讨论。
作为耕耘电力行业多年的工业网络安全企业,安帝科技深切感受到关键信息基础设施网络安全保障的严峻性和复杂性,地区之间、行业之间、不同企业之间、IT与OT之间,在经费资源投入上、知识储备上、人才队伍上甚至文化建设上,都存在极大的差异,而这种现实的盲区、短板或不平衡正是攻击者的绝佳机会。围绕关键信息基础设施的网络安全保障,以总体国家安全观和“大安全”为指引,结合企业战略发展方向,安帝科技先后组织多次学习讨论,形成了初步共识。现将两会精神和关基防护专题讨论的认识和思考总结为风险剖析及防护思考两部分,梳理如下。
01
关键信息基础设施网络安全风险恶化趋势
工业领域的勒索攻击成为头号威胁
工业信息安全漏洞数量持续走高
2020 年,国家工业信息安全漏洞库(CICSVD)共收集整理工业信息安全漏洞 2138 个,环比上升 22.2%。其中,通用型漏洞 2045 个,事件型漏洞 93 个,涉及 335 家厂商。在收录的通用型漏洞中,超危漏洞 379 个,高危漏洞 899 个,高危及以上漏洞占比 62.5%。专门攻击ICS/OT的APT组织数量增加
美国知名工业网络安全公司Dragos在2月25日发布的工业控制系统网络安全年度2020总结报告显示,在整个2020年,该公司在之前确定的11个威胁行为组织仍然积极地针对工业组织开展活动。此外,该公司又发现了4个新的威胁行为组织,其动机是确定是瞄准了ICS/OT。攻击组织TTPs不断推陈出新
工业企业的网络风险急剧增长和加速,首当其冲的是影响工业流程的勒索软件、使信息收集和过程信息盗窃成为可能的入侵,以及来自针对ICS的攻击对手的新活动,像EKANS(SNAKE)这类专门针对ICS的勒索软件出现。另外,由于OT环境可见性的严重缺失,供应链的风险愈发严峻。攻击对手通常会慢慢地建立入侵基础设施和行动,之后的行动往往由于之前的工作而更加成功和具有破坏性。类似SolarWinds这类史上最先进、最复杂的供应链攻击,对工业控制系统的威胁尚未可知。02
关键信息基础设施网络安全风险主要特点
2020年7月公安部发布了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,进一步明确了加强等级保护和关键信息基础设施安全保护的基本原则、工作目标和具体措施。在保护工作的具体推动过程中,因关键信息基础设施行业,特别是能源、电力、交通、制造等领域,因其自身特性而面临不小的挑战。除了识别定级、主体责任、监管制度等体制机制性挑战外,还面临OT侧的历史原因和新兴技术应用、数字空间的安全风险与实体空间安全风险交织、叠加的复杂挑战。存量风险与增量风险叠加
传统风险与网络风险交织
IT风险与OT风险互为影响
往期精选
安帝科技丨ANDISEC
北京安帝科技有限公司是新兴的工业网络安全能力供应商,专注于网络化、数字化、智能化背景下的工业网络安全技术、产品、服务的探索和实践,创新应用网络空间行为学及工业网络行为验证,构建了工业大数据深度分析、威胁情报共享、威胁感知和协同响应等核心能力优势,为电力、石油石化、煤炭、烟草、轨道交通、智能制造等关键信息基础设施行业提供安全产品、服务和综合解决方案,工业网络安全态势感知平台已部署3600余家电厂。
点击“在看”鼓励一下吧