FrostyGoop事件的启示：建立韧性的网络安全防护

关键要点

FrostyGoop事件提醒我们，攻击者会选择最容易成功的目标。制定有效的安全策略需要领导层的承诺、团队的专业知识和充足的预算。投资于关键网络安全控制是任何组织的重要任务。建立防御性的架构、确保安全的远程访问是保护关键基础设施的核心要素。人力资源的培养和文化塑造可以提升组织的网络安全防御能力。

最近的 FrostyGoop 事件 stark 提醒了我们一个行业现实：攻击者会选择他们能成功的地方进行攻击。在遇到足够进入障碍时，他们会转向其他目标，寻找新的受害者。

FrostyGoop 利用 Modbus TCP 通信技术，观察到它在四月攻击了乌克兰利沃夫的一家能源公司，使顾客的供暖中断了两天。这实例反映了在地缘政治紧张局势加剧的背景下，市政网络面临的日益威胁，因为 国家支持的黑客正在攻击关键基础设施。

尽管实现100安全是不可能的，组织仍可努力达到一个能有效消耗攻击者资源的安全水平，迫使其放弃攻击或转向其他目标。这要求具备三大要素：高层领导的承诺、项目团队的技能与专业知识，以及足够的时间和预算来及时实施安全措施。

投资战略的重要性

所有组织，无论规模大小，都必须优先考虑资本支出和投资决策。这样的决策过程可以是无责任或过度设计的解决方案。为了实现合理平衡，必须进行明智的风险评估和清晰的表述，以确保财务资源自信地分配。关于工业控制系统ICS领域的框架层出不穷。例如，SANS研究所提供了一份可免费获得的 指南 ，阐述了ICS/OT网络安全的五大关键控制措施，使得即便是非安全高管也能对团队进行问责并满足基本标准。这些标准可以包括低成本、内部交付、最大限度地利用现有许可的硬件和软件解决方案，也可以是高成本、外部网络咨询项目，应用最佳实践。

强化防御性架构

来自SANS的五大关键控制中的一个重点是建立防御性架构。这可以定义为通过系统设计和实施，尽可能减少商定风险的架构。此外，此框架还必须简化人类防御者的努力，因为SANS指出“人类因素使防御性架构变成被防御的架构。”

防御性架构的常见特征包括：对重要资产的准确可见性，尽可能将环境进行隔离，只有在必要时启用双向通信，从有价值的系统中收集网络流量和日志，以及实施防御性网络的能力。这些要素是防止攻击者获取和维持对关键系统访问的基础。

确保远程访问安全

另一个关键领域是安全的远程访问。传统的运营技术OT网络通常与互联网完全隔离。然而，随着新冠疫情后远程工作的兴起及对效率的日益需求，远程访问已成为众多组织的新常态。尽管这种连通性带来了便利，但如果管理不善，也会导致显著的风险。

组织必须确保远程访问是安全的，采用诸如多因素认证MFA等强身份验证方法。访问应限制在最小权限基础上，即用户仅可访问其角色所需的资源。实施虚拟私人网络VPN和监控远程会话的异常活动可以进一步增强安全性。此外，建立明确的远程访问政策和程序有助于确保所有用户遵循最佳实践，并能及时处理任何潜在的安全事件。

单一漏洞的涟漪效应

同样重要的是要认识到，一旦攻击者成功建立立足点，他们的影响范围通常会扩展到通过各种共同点联系的其他组织：

共同点 可能受到影响的组织

clash download