Các cuộc tấn công cơ sở hạ tầng quan trọng là mục tiêu ưa thích của bọn tội phạm mạng. Đây là lý do tại sao và những gì đang được thực hiện để bảo vệ chúng.
Cơ sở hạ tầng quan trọng là gì và tại sao nó bị tấn công?
Cơ sở hạ tầng quan trọng là các tài sản, hệ thống và mạng vật lý và kỹ thuật số có ý nghĩa sống còn đối với an ninh quốc gia, nền kinh tế, sức khỏe cộng đồng hoặc sự an toàn. Nó có thể thuộc sở hữu của chính phủ hoặc tư nhân.
Theo Etay Maor, Giám đốc cấp cao Chiến lược bảo mật tại Cato Networks, “Thật thú vị khi lưu ý rằng cơ sở hạ tầng quan trọng không nhất thiết phải là nhà máy điện hoặc điện. Hệ thống tiền tệ của một quốc gia hoặc thậm chí là hệ thống tiền tệ toàn cầu có thể và nên được coi là một yếu tố quan trọng”. cơ sở hạ tầng cũng vậy.”
Những phẩm chất này làm cho cơ sở hạ tầng quan trọng trở thành mục tiêu ưa thích của các cuộc tấn công mạng. Nếu cơ sở hạ tầng quan trọng bị gián đoạn, tác động là đáng kể. Trong một số trường hợp, các cuộc tấn công mạng như vậy vào cơ sở hạ tầng quan trọng đã trở thành một phương tiện khác của chiến tranh hiện đại. Nhưng không giống như chiến tranh cổ điển, trong những cuộc xung đột này, dân thường và doanh nghiệp ở tuyến đầu và trở thành mục tiêu.
Chỉ một số ví dụ nổi bật gần đây bao gồm các cuộc tấn công nhằm vào lưới điện của Ukraine vào năm 2015, vụ xâm nhập mạng lưới kinh doanh của nhà máy hạt nhân Kansas vào năm 2018 và Triều Tiên cố gắng tấn công mạng SWIFT để đánh cắp hơn 1 tỷ USD. Chưa kể đến cuộc tấn công Đường ống thuộc địa khét tiếng, đã trở thành hậu quả của các cuộc tấn công cơ sở hạ tầng quan trọng.
Tuy nhiên, mục tiêu của các cuộc tấn công có thể khác nhau. Mặc dù một số thực sự là một cách để chuẩn bị cho các xung đột trong tương lai bằng cách kiểm tra khả năng và khả năng phòng thủ, nhưng một số khác có thể được thúc đẩy bởi lợi ích tài chính, nỗ lực đánh cắp dữ liệu, giành quyền truy cập hoặc kiểm soát từ xa hoặc làm gián đoạn và phá hủy các dịch vụ.
Etay Maor nói thêm “Không chỉ các quốc gia tấn công. Đó cũng có thể là tội phạm mạng đang tìm cách kiếm tiền hoặc những kẻ tấn công.”
Cơ sở hạ tầng quan trọng bị tấn công như thế nào
Có một vài kiểu tấn công được sử dụng trên cơ sở hạ tầng quan trọng. Những cái chính là DDOS, ransomware (thông qua lừa đảo trực tuyến), khai thác lỗ hổng và tấn công chuỗi cung ứng. Etay Maor nhận xét: “Một số kỹ thuật này khó ngăn chặn hơn vì chúng nhắm vào con người chứ không phải công nghệ.”
Tiêu điểm: Tấn công chuỗi cung ứng
Các cuộc tấn công chuỗi cung ứng là một cách quan trọng để tấn công cơ sở hạ tầng quan trọng. Giống như các vụ đánh bom trong Thế chiến 2 nhắm vào các nhà máy cung cấp vật tư cho quân đội, các cuộc tấn công mạng vào chuỗi cung ứng nhắm vào các nhà cung cấp cơ sở hạ tầng quan trọng của quốc gia.
Etay Maor nhớ lại, “Tôi đang ở bộ phận an ninh RSA khi họ bị tấn công. Tôi nhớ mình đang ngồi ở đâu và đang làm gì khi nhận ra có một cuộc tấn công. Internet ngừng hoạt động và tất cả các dịch vụ bắt đầu ngừng hoạt động.”
RSA đã bị tấn công không phải nhằm giành quyền truy cập vào mạng riêng của mình, mà là một cách để xâm phạm các cơ quan chính phủ và quân đội, nhà thầu quốc phòng, ngân hàng và tập đoàn trên khắp thế giới giữ khóa bí mật của họ với RSA.
Cách bảo vệ cơ sở hạ tầng quan trọng
Một trong những quan niệm sai lầm về an ninh mạng là càng sử dụng nhiều sản phẩm bảo mật thì bảo mật càng tốt. Tuy nhiên, bảo mật nhiều lớp được tạo thành từ quá nhiều sản phẩm có thể phản tác dụng.
Theo Etay Maor, “Chúng tôi đã kết thúc việc bổ sung rất nhiều sản phẩm và quy trình bảo mật vào hệ thống của mình trong 5-6 năm qua. Những gì chúng tôi đã làm là tăng thêm chất béo chứ không phải cơ bắp.” Kết quả của hàng chục sản phẩm bảo mật tích hợp? Ma sát, đặc biệt là khi cố gắng liên kết thông tin từ chúng.
Gartner có xu hướng đồng ý: “Chuyển đổi kỹ thuật số và áp dụng các mô hình triển khai di động, đám mây và cạnh thay đổi cơ bản các mẫu lưu lượng mạng, khiến các mô hình bảo mật và mạng hiện tại trở nên lỗi thời.”
Vai trò của CISA
Mức độ nghiêm trọng tiềm ẩn của các cuộc tấn công vào cơ sở hạ tầng quan trọng đã thúc đẩy các quốc gia thành lập một tổ chức phòng thủ mạng để bảo vệ tài sản quan trọng của họ và chuẩn bị cho các cuộc xung đột.
CISA (Cơ quan an ninh mạng và cơ sở hạ tầng) là cố vấn rủi ro của Hoa Kỳ. Họ cung cấp hỗ trợ và hỗ trợ chiến lược cho các lĩnh vực cơ sở hạ tầng quan trọng, tập trung vào bảo vệ mạng Liên bang. Bằng cách hợp tác với các đối tác thuộc khu vực tư nhân và học viện, họ có thể cung cấp khả năng bảo vệ mạng chủ động.
Một số lĩnh vực chính mà CISA tập trung vào là điều phối và truyền đạt thông tin sự cố mạng và ứng phó để cung cấp hỗ trợ, bảo mật miền dot-gov, hỗ trợ bảo vệ miền dot-com để giúp khu vực tư nhân, hỗ trợ bảo mật cơ sở hạ tầng quan trọng và sơn một bức tranh hoạt động chung cho không gian mạng.
Một trong những chương trình mà CISA đang dẫn đầu là Chương trình Cố vấn An ninh mạng. Chương trình cung cấp giáo dục và đào tạo về nhận thức an ninh mạng. Các cố vấn có thể giúp các tổ chức bằng cách đánh giá rủi ro mạng cơ sở hạ tầng quan trọng, khuyến khích các phương pháp hay nhất và chiến lược giảm thiểu rủi ro, khởi xướng, phát triển năng lực và hỗ trợ cộng đồng mạng và các nhóm làm việc, nâng cao nhận thức, thu thập yêu cầu của các bên liên quan và hỗ trợ sự cố cũng như các bài học kinh nghiệm.
Xây dựng khả năng phục hồi an ninh mạng
Khả năng phục hồi an ninh mạng là chìa khóa để ngăn chặn các cuộc tấn công cơ sở hạ tầng quan trọng. Khả năng phục hồi như vậy xuất hiện từ các hành động mà các tổ chức thực hiện. Điều này bao gồm các hoạt động như ứng phó với các sự cố bất lợi và có được khả năng hiển thị trong mạng, ví dụ như biết cổng và dịch vụ nào sẽ chạy và liệu chúng có được cấu hình đúng hay không.
Có nhiều quan niệm sai lầm về khả năng xây dựng khả năng phục hồi không gian mạng. Dưới đây là một vài và làm thế nào họ lại tranh chấp:
Tuyên bố: Khả năng phục hồi đòi hỏi một ngân sách lớn.
Sự thật: Các tổ chức không cần ngân sách lớn, họ cần tinh chỉnh các giải pháp mà họ có. Yêu cầu: Có một giải pháp an ninh mạng viên đạn bạc. Sự thật: Tổ chức nên tập trung vào việc sắp xếp các phương pháp và thực hành “101” theo thứ tự, như khả năng hiển thị mạng và đào tạo nhân viên. Yêu cầu: Chúng tôi sẽ không được nhắm mục tiêu. Sự thật: Không có tổ chức nào là quá nhỏ. Yêu cầu: Có quá nhiều việc phải làm. Sự thật: Tuy nhiên, điều quan trọng là nghiên cứu các giải pháp dựa trên các ưu tiên của riêng bạn. Tuyên bố: Đó không phải là trách nhiệm của chúng tôi. Sự thật: Mọi người đều có trách nhiệm
Khẳng định: Chính phủ sẽ cứu chúng ta.
Sự thật: Khả năng thành công của chính phủ dựa trên quan hệ đối tác với khu vực tư nhân và sự tham gia tích cực của khu vực đó trong việc đảm bảo an toàn cho chính họ.
Để bắt đầu xây dựng khả năng phục hồi của riêng bạn, hãy trả lời ba câu hỏi sau:
1. Tôi biết gì về đối thủ?
Ví dụ, những kẻ tấn công là ai, chúng hoạt động như thế nào, v.v.
2. Đối thủ biết gì về tôi?
Nói cách khác, phần nào trong mạng của tôi bị lộ?
3. Tôi biết gì về bản thân mình?
Câu trả lời cho câu hỏi này cung cấp thông tin về mạng trông như thế nào và nơi dễ bị tấn công. Nói cách khác, câu hỏi này là về việc đạt được khả năng hiển thị trong mạng của chính bạn.
Để tìm hiểu thêm về cách thức hoạt động của CISA và cách ngăn chặn các cuộc tấn công chuỗi cung ứng vào cơ sở hạ tầng quan trọng, bạn có thể xem loạt bài Lớp học nâng cao về an ninh mạng của Cato Networks.
