在过去的几年中，我们已经看到了足够的证据表明，民族国家和其他强大的对手可以利用对关键基础设施的网络攻击作为地缘政治冲突的武器。对乌克兰电网的袭击和其他几起事件证明了权力的展现以及如何破坏该国的基础设施。在NotPetya中肆意使用破坏性漏洞（这对运营技术（OT）网络造成了广泛的附带损害，并停止了运营）向安全专业人员揭示了他们的OT网络的网络风险状况有多么糟糕，并促使许多行动迅速采取行动。最大的公司。

多年来，政府一直在公开明确地发出警告：“至少从2016年3月起，俄罗斯政府的网络参与者（以下称为“威胁参与者”）以政府实体和美国多个关键基础设施部门为目标，包括能源，核能，商业设施，水，航空和关键制造业。” 一个新的警告，由美国国家安全局（NSA）和网络安全和基础设施安全局（CISA）发行，不能更清楚：“我们是在紧张局势加剧和额外的风险和暴露的状态。”

政府机构有关先前威胁的警报通常描述了攻击的执行方式，并为特定部门提供了一些战术步骤，以增强其减少威胁的能力。但是，此最近的警报因其语气，语言和内容而引人注目。从战略角度出发，它包括对所有16个关键基础设施领域即将到来的严重威胁的广泛警告，以及关于如何保护旧约环境的冗长而详尽的建议集，这些建议共同鼓励采取整体方法来降低风险。

ICS网络安全会议

如果您像攻击者那样思考，那么关键基础架构攻击的跳跃时间就不足为奇了。民族国家行为者习惯性地将目标锁定在高科技制造，制药，生物技术和医疗保健等行业的组织中，以窃取知识产权和进行研究。现在，据广泛报道，据信与中国和俄罗斯有联系的民族行为者正在针对攻击参与研究和生产COVID-19疫苗的组织的攻击-明确使用网络武器推进其地缘政治议程。

在许多美国关键基础设施组织参与这些追求的过程中，所涉风险异常巨大。对手的动机非常强烈，这种威胁尤其令人担忧。随着技术的进步和我们越来越接近疫苗，攻击可能会加剧。这只是如何确定其他关键基础设施行业目标的一个例子。因此，NSA和CISA传达的紧迫性警告了保护易受攻击的网络。

为什么对关键资产的潜在影响如此之大？该警报描述了一个完美的风暴情况，类似于我之前所描述的：遗留OT设备的组合，其中许多设备都面向互联网（从未设计过），从而扩大了攻击面，并利用访问提供有关这些资产及其利用方式信息的工具。情况的普遍性和严重性以及执行这些漏洞利用的相对容易性，要求立即采取行动以减少跨OT网络和控制系统的暴露。在一系列具体建议中，NSA和CISA敦促部署威胁监视技术。

多年来，我们一直在讨论对OT环境中资产可见性和威胁监视的需求，因为保护这些环境的最大挑战之一是零遥测，因此对OT网络无可见性。障碍之一是，组织受制于如何基于受信任的IT网络安全最佳实践进行操作的先入为主的概念，这些最佳实践指示了“爬网，行走，奔跑”的方法。而且，许多IT安全工具和方法引入了不必要的复杂性，更糟糕的是，它们在OT环境中无效。显然，根据NSA和CISA警报的语气，我们需要直接采取“行动”并专注于我们可以立即执行的措施，以最大程度地降低风险。这就是威胁监视的地方。

OT网络进行通信并共享的信息比IT组件通常提供的信息更多-它们正在运行的软件版本，固件，序列号等。OT网络流量提供了监视威胁所需的所有安全信息。借助可快速实施并集成到IT系统和工作流中的，用于资产可见性和连续威胁监控的单一，无代理解决方案，组织可以快速移动以检测和减轻风险。这种解决方案使IT安全运营中心（SOC）分析师无法理解OT网络，这种解决方案使IT和OT团队可以一起工作，并充分利用组织资源的全部力量。他们可以开始识别与已建立的行为基准，未经授权的联系以及敌对技术的存在偏差，MITER ATT＆CK for ICS框架，可快速实施缓解建议。

没有正确的安全功能，我们就无法在这个最新的战场上为自己辩护。让我们从以前的经济战例子中学习，并利用NSA和CISA的详细观察和建议为我们带来好处。赌注从未如此高。幸运的是，我们保护OT环境的能力已足以应对挑战。