超過30萬人經(jīng)常依靠某種形式來獲取能源，到2030年，我們的目標是普及現(xiàn)代服務，以便利電力，管道，熱力，電信和互聯(lián)網(wǎng)。此外，成千上萬的人將駕駛自己的汽車，使用公共交通或乘飛機飛行。人們期望國家基礎(chǔ)設(shè)施的持續(xù)運營，因為它在我們大多數(shù)日常生活中都起著基礎(chǔ)性作用。不幸的是，它也是網(wǎng)絡攻擊的誘人目標。隨著交通樞紐，電網(wǎng)和通信網(wǎng)絡日益數(shù)字化，遭受攻擊的可能性呈指數(shù)增長。在某些情況下，攻擊者這樣做的目的只是為了看看是否可以破壞他人的生命或損害人類安全。

[[283021]]

不出所料，這個話題已經(jīng)引起了公眾廣泛關(guān)注，導致美國政府于去年成立了網(wǎng)絡安全和基礎(chǔ)設(shè)施安全局(CISA)。盡管認識到該問題是朝正確方向邁出的一步，但隨著能源和交通運輸?shù)刃袠I(yè)的快速數(shù)字化，隨著新的攻擊面不斷涌現(xiàn)，攻擊者得以利用，保護網(wǎng)絡安全的任務更加復雜。隨著智能電網(wǎng)，流量管理系統(tǒng)等的廣泛部署，它們增加了安全專業(yè)人員必須解決的攻擊面。由于此類系統(tǒng)通常具有有限的內(nèi)置安全性，因此攻擊者正在尋找更多方法來滲透或規(guī)避外圍防御。提供可見性和早期檢測的網(wǎng)絡內(nèi)安全解決方案已成為基礎(chǔ)結(jié)構(gòu)安全控制堆棧中越來越重要的一部分。由于固有的能力無法運行防病毒軟件，收集典型日志以識別異?；蛲Ｖ故褂霉芾韱T進行登錄，組織已經(jīng)轉(zhuǎn)向欺騙技術(shù)作為一種手段，有效地檢測和破壞對能源設(shè)施和關(guān)鍵基礎(chǔ)設(shè)施的攻擊。

廣泛的潛在威脅

一個國家的基礎(chǔ)設(shè)施面臨著許多類型的威脅，從普通的信用卡盜竊到電網(wǎng)或空中交通管理系統(tǒng)的中斷，使基于基礎(chǔ)設(shè)施的網(wǎng)絡攻擊的潛在后果變得嚴重。從表面上看，訪問旨在用于各種監(jiān)視程序的電視系統(tǒng)似乎并不重要，但它可能對人或孩子的隱私或人身安全產(chǎn)生重大影響。許多OT設(shè)備也可以用于妥協(xié)，然后統(tǒng)一使用以進行更廣泛的拒絕服務攻擊。無論出于何種動機，遭受傷害的機會都會迅速升級，并帶來可怕的后果。

這些潛在的攻擊者不僅包括小型黑客主義者或網(wǎng)絡罪犯，而且在某些情況下還包括恐怖分子和敵對國家。盡管俄羅斯選舉黑客在過去幾年中已成為許多頭條新聞，但他們并不是唯一有動機或手段瞄準基礎(chǔ)設(shè)施(無論是民用還是其他)的人。2015年破壞烏克蘭電網(wǎng)的攻擊是此類攻擊中的第一例，但其他攻擊在全球范圍內(nèi)(包括在美國)都造成了不同程度的破壞。就在今年，“網(wǎng)絡事件”影響了加利福尼亞，猶他州和懷俄明州的電網(wǎng)，盡管沒有記錄在案的停電，但它提醒人的是，美國的基礎(chǔ)設(shè)施并不能免于遭受攻擊，傳統(tǒng)的安全方法不一定足夠或在當今互聯(lián)世界中有效。

戰(zhàn)場已轉(zhuǎn)移到網(wǎng)絡內(nèi)部

安全專家一致認為，擁有強大的外圍防御是必不可少的，但是制定計劃以盡早發(fā)現(xiàn)設(shè)法繞過敵人的對手也同樣重要。假設(shè)攻擊者已經(jīng)破壞了網(wǎng)絡，并采取控制措施來檢測和響應網(wǎng)絡已成為一種必要的安全策略，尤其是在涉及規(guī)模較大的基礎(chǔ)架構(gòu)系統(tǒng)時。

一旦攻擊者在網(wǎng)絡中立足，他們通常就可以自由地進行偵察，收集憑據(jù)并收集網(wǎng)絡的“藍圖”以升級攻擊。欺騙技術(shù)旨在檢測所有形式的企圖的橫向移動，實質(zhì)上是鎖定端點以立即顯示攻擊者的任何移動。這是通過在端點和整個網(wǎng)絡上設(shè)置誘人的誘餌，憑據(jù)，驅(qū)動器共享，服務和其他形式的誘餌來欺騙攻擊者參與來完成的。與任何欺騙性資產(chǎn)的最小接觸會立即導致高保真警報，并提供豐富的攻擊者信息。結(jié)果，采用欺騙技術(shù)的組織報告了駐留時間減少了90%以上，這是網(wǎng)絡中未被攻擊者發(fā)現(xiàn)的時間。

隨著對關(guān)鍵基礎(chǔ)架構(gòu)的攻擊所造成的危害的可能性不斷增加，收集詳細的敵方情報的能力變得更加重要。事實證明，欺騙技術(shù)特別擅長收集和關(guān)聯(lián)威脅與對手情報，這在生成經(jīng)過證實的警報和定制情報方面非常有價值，可幫助防御者減少對經(jīng)過驗證的威脅的響應時間。安全專家通常會根據(jù)每個警報的準確性，以其“信號噪聲”的保真度來識別欺騙。本地集成可以使用，這樣阻塞、隔離和威脅追蹤就可以自動化以提高響應時間。欺騙技術(shù)通過進一步自動化和加速檢測和補救過程，增加了現(xiàn)有安全控制的價值，并減少了對工作控制和商業(yè)基礎(chǔ)設(shè)施的成功攻擊的風險。

欺騙技術(shù)代表前進的道路

美國政府采取了非同尋常的步驟，將美國核心基礎(chǔ)設(shè)施的某些方面“數(shù)字化”，用模擬系統(tǒng)代替連接的系統(tǒng)，以使其免受潛在攻擊。盡管這種方法有其優(yōu)點，但它是倒退的一步，與全球互聯(lián)經(jīng)濟和基礎(chǔ)設(shè)施的發(fā)展方向不符。”與其試圖隔離這些系統(tǒng)，不如說政府應將重點放在能夠檢測入侵者和入侵者的網(wǎng)絡內(nèi)保護上。在入侵者實現(xiàn)目標之前，盡早提醒防御者。提議的更先進的措施之一與NIST有關(guān)。標準組織發(fā)布了草案版本在6月19日發(fā)布的新指南中，承包商提出了31條新建議，以加強承包商的防御能力并保護其網(wǎng)絡上未分類(但仍很敏感)的政府數(shù)據(jù)免受高級持續(xù)威脅(APT)或政府資助的攻擊者的侵害。此類數(shù)據(jù)的范圍可以從社會安全號碼和其他個人身份信息到重要的國防計劃詳細信息。這些建議包括以下過程，例如對關(guān)鍵或敏感操作實施雙重授權(quán)訪問控制，在適當情況下采用網(wǎng)絡分段，部署欺騙技術(shù)，建立或雇用威脅搜尋團隊以及運行安全操作中心以連續(xù)監(jiān)視系統(tǒng)和網(wǎng)絡活動。

欺騙技術(shù)顯然是安全堆棧中不可缺少的部分。將其添加到上游和下游安全控制中可減少與安全性設(shè)計和操作差距相關(guān)的風險，并提高安全團隊對攻擊者的入侵方式得到了解。對那些正在攻擊的可以追隨他們。無需中斷操作，也無需代理或監(jiān)控。