面对网络勒索的关键基础设施挑战

关键要点

• 关键基础设施面临严峻挑战，包括可见性不足、过时的物联网及操作技术设备及网络安全资源匮乏。
• 根据FBI数据，2022年有860个美国关键基础设施组织遭受了勒索软件攻击。
• CISA推出了新的勒索软件漏洞警示计划，以帮助识别和应对脆弱性。
• 增加责任和法规是解决网络安全问题的重要一步。

在当今，关键基础设施组织面临诸多挑战。这些挑战包括企业架构中的可见性缺乏、过时的物联网和操作技术设备，这些设备往往存在漏洞且没有可用的补丁，还有资源不足以应对日益复杂和频繁的勒索软件攻击。简而言之，关键基础设施仍是网络攻击者的目标热点，攻击者对这一现状大加利用。

据统计，2022年，勒索软件团伙曾侵入至少860个美国关键基础设施组织的网络。此外，在16个关键基础设施领域中，有14个至少有一名成员“在2022年遭受了勒索软件攻击。”更糟糕的是，勒索攻击者正在不断创新和更新战术以实现最大影响，并且短期内不会放缓。事实上，称2023年“可能成为勒索软件收入最高的一年”。

稳固关键基础设施

关键基础设施组织需要得到尽可能多的帮助。幸运的是，我们开始看到越来越多的机构主导的举措出现，旨在进一步促进这些长期资源不足且频繁受到攻击机构的信息共享和韧性建设。

上个月，CISA推出了一个新的计划，旨在识别关键基础设施中的漏洞并相应地提醒系统所有者。该计划与CISA近年来在联邦政府中运行的另一个有效计划相似，例如项目。虽然这个试点计划并不完美，但它能够为用户提供额外的“监督”，寻找公开暴露的脆弱性。其跨职能的方法同样将漏洞呈现给那些可能没有时间或资源来识别和修复潜在威胁的系统所有者。总之，这类计划是我们对抗勒索软件这一无休止斗争中的另一种武器。

在理想情况下，联邦机构和政府能够通过提供附加工具和支持来补充这类举措，而不仅仅是提醒组织注意问题。这样，他们能够自行对勒索软件的源头进行打击。

这一方面已经有所进展。就在本月初，，该网络由俄罗斯政府使用，这在数字安全领域是一个令人印象深刻的成就。同时，过去几周，关于在政府圈子中流传，这可能恰好是我们制止勒索软件所需的措施。这是一种根本不同的解决方案，旨在应对这种问题已久的情况。然而，在此之前，我们还需要做得更多。

通过行动与责任进行支持

从监管的角度来看，我们仍需对薄弱的网络实践和松懈的网络卫生做出更多问责。这对关键基础设施中的组织尤其如此，因为在安全上的疏忽可能导致生产中断、能源网故障，甚至医院系统长期无法运作。无论是罚款、通知保险公司，还是撤销