關鍵基礎設施越來越受到尋求戰略、政治或軍事優勢的國家的攻擊，這使得網路彈性比以往任何時候都更加重要。

與中國共產黨有聯繫的 Volt Typhoon 組織正在進入美國關鍵基礎設施，不是為了金錢利益，而是為了能夠橫向移動戰略資產和運營技術，從而在動能攻擊或其他地緣政治情景下破壞功能。

正如各國建立威懾力量以防止大規模軍事衝突一樣，例如使用三種武器來阻止核攻擊的核三位一體戰略，網路防禦者必須採取措施打擊針對關鍵基礎設施的網路攻擊。

在這種情況下，網路韌性較強的一方將佔據主導地位。建立強大的抵禦和恢復網路攻擊的能力，向潛在攻擊者發出強烈訊號：發動攻擊的成本將超過任何潛在收益。

近年來，攻擊者在存取支撐國家關鍵基礎設施的IT和營運技術方面愈發大膽，多起備受矚目的資料外洩事件便是明證。 Volt Typhoon 已入侵美國及其屬地（包括關島）的通訊、能源、交通系統以及供水和污水處理系統等領域的多個關鍵基礎設施組織的IT環境。

威脅行為者生存並運作於灰色地帶，利用技術、流程、合規性、監管、合約/服務等級協議 (SLA) 和技能方面的漏洞，破壞現有的保護方法和措施。攻擊者只需成功一次即可攻破系統，而網路防禦者則必須持續阻止所有潛在的入侵。這種不對稱凸顯了網路安全防禦策略需要持續保持警覺。

然而，試圖完全阻止攻擊的做法已不再現實。關鍵基礎設施防御者必須從試圖100%地阻止攻擊，轉變為學習如何在資料遭到入侵時盡可能快速可靠地恢復其組織資料。他們必須預測攻擊、抵禦攻擊，並安全地恢復資料以確保營運連續性。目前，大多數法規或合規性要求並未涵蓋這些要求，而攻擊者知道，只要他們願意，就能得逞。

鑑於Volt Typhoon等組織攻擊的嚴重性和複雜性，在當前的網路環境下，風險尤其顯著。與許多動能攻擊（對手之間可能存在地理隔離）不同，網路攻擊將民族國家行為體置於目標的家門口。雖然縮小攻擊面和建立更安全的軟體需要數年時間，但美國政府和關鍵基礎設施部門刻不容緩。最快的方法是建立快速抵禦和恢復的能力。

這就引出了一個問題：組織如何實現高水準的網路彈性，例如透過資料備份和復原等策略，從而限制對手嚴重破壞營運和服務的能力？

補丁管理是網路安全的重要組成部分。然而，複雜的IT環境、缺乏對所有設備的可視性、某些修補程式的不相容性、不充分的測試流程以及在某些情況下需要手動幹預，這些因素都阻礙了修補程式管理在阻止資料外洩方面的有效性和及時性。每年湧現的大量框架漏洞可能會讓IT部門難以及時更新修補程式。此外，老舊的軟體或作業系統已經到了使用壽命的盡頭，卻沒有新的修補程式可用。

同時，攻擊者可以對修補程式進行逆向工程，以了解漏洞的修復方式。這個過程使他們能夠找到新的系統漏洞利用方法或繞過修補程式的方法。攻擊者擅長於此，其速度比大多數組織部署修補程式的速度更快，而且他們的積極性很高。雖然組織可能認為補丁是必要的，但這並不能有效地震懾攻擊者。

自動化可以幫助安全營運團隊快速偵測並回應威脅，進而提升網路韌性。透過自動化建立網路韌性的潛在挑戰包括與現有基礎設施整合的複雜性，以及需要熟練的人員來管理和調整自動化工具。

然而，許多規模較小的組織可能缺乏這些技能。儘管面臨這些挑戰，但從自動化的角度來看，關鍵基礎設施組織內的IT和安全團隊應該應用自動化工具來測試其環境的網路彈性。這將實現持續監控、快速回應潛在威脅以及高效的網路攻擊復原。

許多組織投資備份安全主要是為了應對自然災害，而往往忽略了抵禦網路攻擊的必要性。

安全營運團隊可以透過整合不可變備份、進階威脅偵測、快速復原功能和細粒度存取控制等策略，確保網路彈性並保護關鍵基礎設施，每種策略都為全面防禦網路威脅做出獨特貢獻。這些功能使組織即使系統遭受網路攻擊，也能快速恢復重要數據，從而最大限度地減少停機時間和營運影響。

應用不可變備份意味著資料一旦創建並存儲，即使勒索軟體入侵系統或管理員帳戶被盜，攻擊者也無法修改或刪除。此過程可保護最後已知的乾淨數據，以便恢復。威脅偵測（包括使用機器學習功能）可以持續監控備份中的可疑活動，並及早識別勒索軟體或未經授權的存取等潛在威脅。

如果企業擁有強大的備份和復原功能，並輔以使用者友善的介面，則可以最大限度地減少停機時間，並在攻擊後快速恢復營運。此外，基於角色的存取控制可確保只有授權人員才能存取備份中的敏感數據，從而限制內部威脅的潛在損害。

關鍵基礎設施組織可以透過遵循國家標準與技術研究院網路安全框架 (CSF) 2.0 等框架來增強網路彈性。

為了保護關鍵基礎設施免受 Volt Typhoon 等組織的攻擊，NIST CSF 2.0 控制措施主要專注於識別、保護、偵測和回應功能。該措施強調強大的資產管理、網路分段、進階威脅偵測、異常監控、事件回應計畫以及針對可疑活動的即時遏制策略，尤其是在營運技術 (OT) 環境中。

NIST CSF 2.0 確保備份完整性，並驗證是否能恢復到已知的良好狀態。例如，CSF 2.0 重點強調了強大的備份和復原流程，並提供了有關建立、保護、維護、測試和驗證備份資料的詳細指南。這些措施確保組織能夠在網路事件發生後快速恢復營運。它強調了在復原場景中部署備份之前，請建立備份、定期評估其功能並驗證其完整性的重要性。

復原計劃強調制定全面的事件復原計劃，其中包括資料復原策略、通訊協定和事件分析，以便從過去的事件中學習。

網路韌性能夠增強組織抵禦網路事件並快速恢復的能力，透過增加攻擊者實現目標的難度，間接降低其成為攻擊目標的可能性。當攻擊者了解到組織能夠快速從攻擊中恢復時，由於預期實現目標的難度，他們可能不太可能再次攻擊該組織。

這並不意味著像Volt Typhoon這樣的網路犯罪分子會停止攻擊關鍵基礎設施，擾亂營運。一些美國執法和情報機構已經觀察到，阻止民族國家團體進行網路行動是一項挑戰。

然而，關鍵基礎設施組織可以透過制定網路彈性策略來使網路威脅複雜化，該策略應用 NIST 網路安全框架、不可變的備份和復原計劃、強大的用戶身份驗證和威脅監控等框架來確保社區安全並增強國家安全。