关键基础设施的安全靠隐蔽是一种致命的错觉

Source: Dev.to

请提供您希望翻译的完整文本内容，我将为您翻译成简体中文并保留原始的格式、Markdown 语法以及技术术语。谢谢！

罗马尼亚水务勒索软件攻击 – 对所有关键基础设施运营商的警钟

对 Romanian Waters 的周末勒索软件攻击应该让全球所有基础设施运营商感到恐惧，原因不是发生了什么，而是 它是多么可预测地发生的。

• 1,000 台受感染的系统
• 区域办公室被迫下线
• BitLocker 被武器化，反而针对本应保护的组织本身
• 罗马尼亚国家网络安全体系 在攻击发生前甚至没有保护 其水务部门

这是一种实时失效的“安全靠隐蔽”，我们称之为“可接受”，因为 “水仍在流动”。

为什么传统的“隔离与隐蔽”模型会失败

在关键基础设施保护领域的传统观念是：

1. 保持系统空气隔离（air‑gapped）
2. 不要将 OT 连接到企业网络
3. 相信隐蔽性能够提供安全

罗马尼亚水务攻击——以及在电网、医院和公用事业中出现的数十起类似事件——证明了这种做法 不仅偶尔会失效。它会 系统性、可预测且灾难性地失效。

攻击者的所作所为

• 在 11 个地区办公室 的 1,000 台系统 中植入恶意程序，直到勒索信出现才被发现。
• 横向移动覆盖范围包括：
  • 地理信息系统（GIS）服务器
  • 数据库
  • 电子邮件和 Web 服务
  • Windows 工作站
  • 域名服务器（DNS）

如果攻击者能够在不被发现的情况下横向渗透企业网络的如此大范围，那么认为你的 OT 系统真正隔离的想法就是 幻想。

空气间隙的神话

关键基础设施运营商 无法 真正实现孤立运行。他们需要：

• 用于洪水预测的天气数据
• 用于安全合规的环境监测
• 维护调度系统
• 供应链协同工具
• 用于计费和采购的财务系统

每个连接点都成为“孤立”OT 环境与已受侵害的企业网络之间的 潜在桥梁。

典型攻击模式

1. 初始妥协 – 网络钓鱼、未打补丁的软件、凭证窃取
2. 横向移动 – 利用网络分段不足
3. 渗透运营系统 – 这些系统从未设计来抵御坚定的对手

在罗马尼亚案例中，攻击者在企业系统处止步 并非 因为 OT 安全更强，而是因为他们已经实现了 最大化破坏以获取最大赎金，无需进一步行动。

真正的问题：安全‑靠‑隐蔽

• 水务局 未纳入 国家网络安全体系，便在攻击前。
• 这不是疏忽；而是一个假设威胁 找不到你 的模型的必然结果。

如果你的安全模型假设威胁找不到你，为什么还要投入监控、检测或响应能力？

危险的反馈循环

1. 没有攻击 → 认为你是安全的
2. 没有监控 → 你根本不知道是否正在遭受攻击

攻击者可能在部署勒索软件前已经保持潜伏数周甚至数月。没有全面的监控，没人会知道。

从模糊到透明

安全通过模糊已演变为 安全通过一厢情愿。运营商自我安慰他们的系统是：

• 过于专用
• 过于孤立
• 对高级攻击者来说不够有趣

与此同时，勒索软件组织正在 专业化：

• 为工业控制系统 (ICS) 开发战术
• 与具有地缘政治动机的国家行为者建立关系

结果：更互联、更脆弱 的基础设施。

新范式：彻底透明的安全

替代方案不是更多的隔离；它是 AI 驱动的持续监控，假设漏洞是不可避免的。

透明安全的样子

• 对每个系统进行仪表化——记录所有通信、配置更改、身份验证尝试。
• 实时分析与关联——使用 AI/ML 检测 IT 与 OT 中的异常。
• 成本效益——全面监控的费用只是一次成功攻击成本的一小部分。

AI 驱动的能力

• 为工业系统建立 行为基线
• 在勒索软件部署前检测 横向移动
• 识别 异常网络流量、异常系统调用、可疑凭证使用
• 突出显示人类分析师常常遗漏的低层持久化

透明度推动问责

当监管机构和安全部门能够 看到 运营商的安全姿态时：

• 运营商投资于 真实安全，而非安全表演。
• 罗马尼亚水务局现在正被 整合进国家防护系统——这并非因为新法规，而是因为攻击让这些漏洞不容忽视。

扩展可视性

• 威胁情报共享：聚合关键行业的匿名攻击模式。
• 将每个基础设施运营商视为 不是孤岛，而是相互连接的生态系统的一部分。

要点

罗马尼亚 Waters 事件表明 “安全靠隐蔽” 并非真正的安全。保护关键基础设施的唯一途径是 采用透明的、AI 驱动的监控，打破信息孤岛，并在各行业之间共享情报。与一次成功的勒索软件攻击造成的毁灭性后果相比，这样做的成本微乎其微。

在德克萨斯州，罗马尼亚的水务公司应在数小时内而非数月内收到相关威胁情报。

AI 驱动的安全监控解决了让 “靠隐蔽来安全” 诱人的根本问题：现代基础设施系统的极度复杂性。人类分析师不可能监控遍布多个地理区域、包含数千个组件的网络中的每一次系统交互，而 AI 系统可以。

在基础设施特定数据上训练的机器学习模型能够检测传统基于签名的系统遗漏的攻击模式。当攻击者使用合法工具（如 BitLocker）进行恶意操作时，AI 系统可以识别出区分合法加密与勒索软件部署的行为上下文。当威胁行为者通过查询 Active Directory 或绘制网络拓扑进行侦察时，AI 系统能够将这些活动与更广泛的攻击模式关联起来。

最重要的是，AI 监控能够随基础设施复杂度的提升而扩展。随着系统日益互联，AI 模型在整个网络中识别异常模式的效果会更佳。靠隐蔽来安全 随着系统变得更复杂而变得更脆弱，AI 监控则变得更强大。

罗马尼亚攻击还展示了另一关键优势：AI 系统不休息。勒索软件在周末部署，而此时人类监控通常会减少。AI 驱动的检测本可以及时发现正在进行的攻击，或许能够在大规模系统加密之前做出响应。

对透明基础设施安全的批评者提出了关于新攻击面的问题，这些担忧是合理的。全面监控需要网络仪表化，而这些仪表本身可能被攻破。集中式威胁情报共享会成为国家行为体进行基础设施侦察的诱人目标。为监控目的而增加系统之间的连通性也可能提供横向移动的额外路径。

这些风险确实存在，但通过恰当的系统设计可以加以管理。安全监控基础设施可以通过零信任架构、加密通信以及隔离的管理网络进行加固。监控系统被攻破的风险远低于未受监控基础设施所展示的风险。

对透明性的反对也暴露了风险评估的缺陷。组织往往担心理论上的攻击向量，却忽视了已被验证的漏洞。Romanian Waters 正是通过他们未承认的现有连通性被攻破的。更好的监控不会创造新风险，而是会在危机升级之前发现已有的妥协。

反对透明的国家安全论点——即可见的基础设施就是易受攻击的目标——根本误解了现代威胁行为者。成熟的攻击者已经知道关键基础设施系统的所在位置。他们会进行侦察，无论是否有透明的监控存在。