专栏名称: E安全
E安全 | 全球网络安全资讯新传媒 新版门户站点:http://www.easyaq.com/
目录
相关文章推荐
IMI财经观察  ·  今日冬至 ·  2 天前  
IMI财经观察  ·  今日冬至 ·  2 天前  
字体设计  ·  三分画七分裱 ·  2 天前  
庞门正道  ·  小姐姐的大跟班。 ·  4 天前  
Duncan艺术菌  ·  Studio Lawahl&瑞典极简美学风向 ·  4 天前  
ZaomeDesign  ·  以人为本!Farrells公布上海北外滩超塔 ... ·  4 天前  
51好读  ›  专栏  ›  E安全

报告令人震惊:美国关键基础设施可被任何人入侵?

E安全  · 公众号  ·  · 2020-05-12 08:30

正文

更多全球网络安全资讯尽在E安全官网 www.easyaq.com   

E安全5月12日讯,近日据外媒报道,有研究人员报告称,美国许多用于公共和私人关键基础设施的ICS面板仍未受到全面保护,这为黑客利用基础设施漏洞并获得系统访问权限提供了机会。

报告概要


随着新技术工具和物联网设备的发展和更新,单个网络中可以连接数百个设备。根据研究人员提供的一份报告,在不考虑安全风险的情况下,基于IoT的设备和技术在业务平台上的使用率同比上年增加了61%。 在这种情况下,一旦主要计算机安全存在问题,设备被入侵,造成的结果必定是非常严重的。

 

如果使用IoT设备的目的是获得巨大收益,那么公司则付出巨大的努力来维护网络系统安全性。在2019年,美国主要商业部门都增加了IoT应用程序的使用量,旨在创造新的收入来源和提高生产流程的效率来使公司受益,但由于基础设施的安全性非常薄弱,这也使网络攻击增加了28%。

问题细节

此外,这些潜在目标的最大数量是由ICS(工业控制系统)运行的,这些系统在设计时通常没有考虑到针对潜在网络攻击的安全性,因此,它们非常容易受到攻击。根据发布的报告显示:


  • 使用专门扫描所有开放端口的搜索引擎,黑客可以远程控制关键的不受保护的美国私人和公共基础设施;

  •  未受保护的ICS(工业控制系统)包括能源和水行业,例如陆上油井,沿海油井,公共供水系统,公共水处理设施和公共下水道泵站;

  • 所有这些系统都可以很容易地让任何一个根本不需要验证密码的人进行访问。

 

陆上油井

研究人员表示,近几年,陆上油井开始转移到无人驾驶的机器人平台上运行,通过与陆上设施的无线链接来控制关键操作。但是,在美国一个没有保护措施的海上油井控制系统为多达五个沿海油井提供了网络系统接入点。这是极其危险的,这导致海上石油钻井平台特别容易受到黑客攻击。


 

公共水处理设施

同时,研究人员发现了一个不受保护的公共供水系统,该系统不受保护可以使黑客切断600多人的供水,从而导致整个城镇可能发生有针对性的用水中断事件,而且黑客有可能与纵火袭击保持同步。



公共下水道泵站

下水道泵站的安全操作系统非常的单一,黑客只需要简单的操作就可以直接关闭并破坏它。

此外,这些潜在目标的大多数是由ICS(工业控制系统)运行的,这些系统在设计时通常没有考虑到针对潜在网络攻击的安全性。因此,研究人员表示,任何具有特定技能和对基础设施攻击有特殊兴趣的黑客都可以轻松破解这些严重未受保护的美国基础设施。根据安全报告,这种有利可图的情况很容易吸引网络攻击者发动网络战,并对美国的私人和公共财产造成严重损害!

 

而且,在此次报告中最令人震惊的内容是,大多数美国机构和公司都已经充分意识到了基础设施的安全性能薄弱以及不断增长的安全威胁。但是,这些公司和机构仍然没有重视通过增强系统安全性来减轻发生这种攻击的可能性。

E 观点

在国内,针对如何做好关键信息基础设施安全保障体系,E安全特约专家指出:首先,要依法管理,根据《网络安全法》等国家相关政策、制度、法规、标准要求,构建以信息共享为基础,实现事前预防、事中控制、事后恢复与威胁追踪的关键信息基础设施安全保护体系。贯彻落实好关键信息基础设施安全的各项规章制度,努力提升关键信息基础设施网络安全保护水平,各行业主管部门和关键信息基础设施运营单位,应当本着“谁主管、谁负责,谁运营、谁负责”的主人翁态度,积极响应国家网络空间安全防护要求,制定适合本行业的关键信息基础设施安全保障相关制度和规定,依法循规地开展信息化和网络安全建设工作,力求实现威胁信息共享、监测预警、应急处置与通告的横向协同,定期开展安全检查、加固、培训等工作,实际保障业务信息系统和网络的安全、可靠和稳定。


其次,要以技术管理,构建实战化攻防能力为核心的关键信息基础设施安全防护体系,要从物理、网络、主机、应用、数据等层面加强关键信息基础设施的安全防护,确保网络安全技术与业务系统同步规划、同步建设、同步实施。综合利用监控平台、运维管理平台、网络管理平台、安全管理平台、态势感知平台等,有效加强系统运行过程实时监测,实现网络安全风险的全生命周期管理。


第三,构建关键信息基础设施安全保护应急机制,针对关键信息基础设施,制定并完善专项网络安全应急处置预案,定期开展应急预案的研讨、更新修订以及培训工作,不断提高风险防范能力和关键信息基础设施应急响应和恢复能力。


最后,加强网络安全人才队伍培养,关键信息基础设施安全保障工作,离不开高水平的网络安全人才队伍,通过网络安全教育培训和攻防实战大赛,遴选优秀人才,组建专业的关键信息基础设施安全防护工作专家库。为关键信息基础设施安全工作提供智力支撑。

注:本文由E安全编译报道,转载请注原文地址 
https://www.easyaq.com

推荐阅读:


▼点击“阅读原文” 查看更多精彩内容


喜欢记得打赏小E哦!