美國國家安全委員會(National Security Council)近期指出,美國的關鍵基礎設施供應商在防御網絡入侵方面做得很馬虎,并指出最近與伊朗有關的針對美國水務公司的攻擊(本月早些時候)利用了基本的弱密碼安全漏洞。安全委員會表示,它也知道最近與敵對國家軍方有關的黑客入侵了美國的基礎設施實體,其中包括多個州的供水和能源公用事業。



據報道,與伊朗或中國有關的攻擊都沒有影響關鍵系統或造成中斷。


負責網絡和新興技術的國家安全副顧問安妮-紐伯格告訴《快公司》:"我們看到公司和關鍵服務正面臨越來越多來自惡意犯罪分子和國家的網絡威脅。在最近的這些黑客攻擊事件發生之前,白宮一直在敦促基礎設施提供商升級他們的網絡防御系統,但"顯然,從最近犯罪網絡攻擊的成功案例來看,還需要做更多的工作,"她說... 在全美范圍內,至少有 11 家使用Unitronics設備的不同實體受到攻擊,其中包括六家當地供水設施、至少一家藥店、水上運動中心和釀酒廠等。


聯邦當局稱,一些被攻擊的設備連接到了開放的互聯網,然后將其默認密碼設定為"1111",這使得黑客很容易找到它們并獲得訪問權。紐伯格說,修復這些問題"不需要花一分錢","這些都是我們非常希望企業迫切要做的基本事情"。


但網絡安全專家表示,這些攻擊指向了一個更大的問題:為物理基礎設施提供動力的技術普遍存在脆弱性。網絡安全公司CISO Global首席信息安全官加里-珀金斯(Gary Perkins)說,許多硬件都是在互聯網出現之前開發的,盡管它們已經改裝了數字功能,但仍然"沒有足夠的安全控制"。


CyberArk的網絡安全專家安迪-湯普森(Andy Thompson)說,此外,許多基礎設施優先考慮的是"操作的易用性而不是安全性",因為許多供應商往往需要訪問相同的設備。但這同樣會讓攻擊者很容易利用這些系統:免費提供的網絡工具允許任何人生成連接到公共互聯網的硬件列表,比如自來水公司使用的Unitronics設備。湯普森說:"不通過互聯網輕易訪問關鍵基礎設施應該成為標準做法。"

關鍵基礎設施 弱密碼 黑客攻擊
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接