为什么全球紧张局势会成为所有企业面临的网络安全问题？

随着全球紧张局势的加剧，与民族国家及其盟友有关的网络攻击变得越来越普遍、复杂和具有破坏性。对于组织来说，网络安全不能再与世界事件分开对待，它们是紧密相连的。

国家间的冲突正在蔓延到网络空间。无论是在军事升级、贸易争端还是外交僵局期间，政府都在利用网络行动来施加压力、收集情报或破坏系统。这些攻击经常打击私营企业，而不仅仅是政府或关键基础设施。

一个日益令人担忧的是网络犯罪和国家支持的黑客攻击之间的界限模糊不清。犯罪集团有时直接与政府合作，或者至少在他们的祝福下运作。这使得归因更难，报复风险更大。

普华永道的一份报告概述了董事会成员和首席执行官如何密切关注。高管们正在提出关于风险敞口的新问题。例如，公司是否依赖政治不稳定地区的供应商？是否有资产位于紧张局势加剧的司法管辖区？这些现在是网络安全问题，而不仅仅是供应链问题。

工业网络威胁越来越具有战略性

能源、制造业和医疗保健仍然是首要目标。但面临风险的部门范围正在扩大。根据Dragos的2025年OT/ICS网络安全报告，对运营技术（OT）的网络威胁正变得更具战略性。对手正在学习工业环境的内部运作，并探查弱点。

这不仅限于电网或水厂。任何混合物理和数字组件的系统都是脆弱的。在地缘政治危机中，这些系统可以成为破坏或破坏的高价值目标。

Waterfall Security工业安全副总裁Andrew Ginter敦促OT站点密切观察其不断变化的风险格局，特别是当他们采用互联网连接的工业服务和人工智能驱动的效率时。“这些技术节省了很多钱，”他说，“但它们也为远程控制攻击机会打开了大门，而OT环境根本无法处理。”

此类攻击的后果越来越严重。Ginter警告说：“我们看到砖块控制器导致长时间停电，重型设备损坏导致更长的停机时间，安全系统受损——这些都是不能接受的。”

然而，Ginter还指出了许多OT运营商面临的一个悖论：旨在保护系统的网络安全措施有时弊大于利。他说：“令人困惑的是，针对这些风险的强大网络安全’治愈’可能比’疾病’更糟糕。”“由于小紧急情况，大多数OT站点每隔几年就会意外关闭一次。但是，当安全妨碍快速响应时，可能会损失数百万的生产和违约罚款。”

Ginter建议采用不同的方法，而不是完全依赖传统的网络安全：网络信息工程（CIE）和单向网络工程。他解释说：“CIE涉及对物理流程进行小而明智的更改，这些更改将安全后果完全从桌面上移开。”“单向网关消除了来自互联网的枢轴路径，将APT攻击完全排除在桌面之外。”

Ginter认为这种方法取得了正确的平衡。“通过为我们最关键的OT系统设置’不可侵犯’的后挡，我们可以享受互联网和基于云的服务的效率，同时只承担可接受的风险——而且我们可以在不支付极端网络安全的极端成本的情况下做到这一点。”

网络外交正在缓慢发展

各国政府正在努力跟上。欧洲对外行动局（EEAS）强调了网络外交的必要性，特别是随着专制政权在网上变得更加咄咄逼人。但是，虽然在制定全球规范方面取得了进展，但执行仍然很薄弱。大多数协议都是无约束力的，许多州继续开发进攻性网络工具。

根据世界经济论坛的《2025年全球网络安全展望》，组织现在在一个“复杂的网络空间”中运作，那里的威胁无法预测，规则也不明确。企业必须带头保护自己，而不是等待国际协议生效。

在你需要之前建立外部联盟

从可见性开始。你不能保护你不知道你拥有的东西。创建数字资产的完整地图，包括云服务、远程端点和OT环境。不要只依赖标准的IT库存。使用主动扫描、资产发现工具和来自整个业务的输入。

接下来，评估地缘政治暴露。这超越了传统的风险评估。确定您的数据存储在哪里，您的供应商在哪里运营，以及您依赖哪些司法管辖区提供关键服务。监控可能影响这些地区的地缘政治新闻。

然后，运行现实的威胁场景。如果发生重大冲突，这将如何影响您的运营？制裁会阻止供应商的接触吗？网络攻击会击倒关键系统吗？使用桌面练习来测试准备情况。不要只涉及IT，请引入法律、合规、通信和业务部门。

在公司之外建立关系。加入行业威胁共享小组。与当地执法和网络安全机构建立联系。在危机时刻，有一条直线可以带来很大的变化。

此外，准备好快速行动。欧洲中央银行警告说，与地缘政治有关的网络事件往往很少或没有警告发生。制定明确的事件响应计划，明确定义角色和升级路径。定期练习它们。

供应链和第三方风险

你伴侣的弱点也是你的问题。标准普尔全球地缘政治风险洞察报告强调，攻击者经常如何追捕保护较少的小型公司，以达到更大的目标。在政治不稳定时期，这尤其常见。

对第三方进行尽职调查，特别是那些在高风险地区的第三方。询问他们的安全控制。不要假设他们遵循最佳做法。如果需要，请调整您的合同，以要求特定的网络安全措施。

还要考虑数据驻留。在危机中，您的数据生活在哪里可能很重要。一些政府可能会试图访问或阻止存储在其境内的数据。了解您的法律风险，并将其纳入您的云策略中。

威胁者正在适应

威胁组不会保持不变。谷歌云的2024年分析显示了攻击者如何改变策略。有些人将虚假信息活动与网络攻击混为一。其他人则专注于为经济和政治目标服务的数据盗窃。

黑莓的Ismael Valenzuela警告说，政治不稳定现在是网络活动的关键诱因。不仅仅是重大战争，马勒冲突、选举和外交争斗都会引发有针对性的行动。这种不可预测性需要持续的警惕。

随着全球两极分化的加剧，网络安全威胁变得越来越混合，使威胁归因和防御的格局变得复杂。英特尔471首席情报官Michael DeBolt解释说：“随着全球日益严重的两极分化，国家支持的威胁者角色不断扩大，许多老牌集团承担了出于经济动机的责任，并承担了其他战略目标。”

这种演变在与中国、伊朗和朝鲜等国家有联系的威胁者中尤为明显。据DeBolt称，“过去几年来，来自中国、伊朗和朝鲜的团体的地缘政治紧张局势加剧反映了这种转变——尽管后者以其虚伪的活动而闻名，这些活动往往模糊了更传统的电子犯罪威胁的界限。”

这些国家支持的团体越来越多地将间谍和破坏性攻击与出于经济动机的网络犯罪技术相结合，使归因复杂化，并给组织带来了重大的实际挑战。DeBolt强调了其影响：“组织面临的一个主要实际问题是威胁归因，后续问题是保持有效的安全态势来应对这些混合威胁。”

现实世界的例子生动地说明了复杂性。DeBolt指出：“国家支持的威胁组织利用传统上与出于经济动机的威胁行为者相关的工具和恶意软件，作为其破坏性和/或间谍攻击的一部分。”结果是，旨在应对明确妥协指标（IoC）的标准防御框架在这些情况下挣扎。DeBolt补充说：“该集团攻击的全部范围可能会使旨在帮助组织应对此类妥协指标的威胁模型变得不那么有效。”

此外，组织在事件后分析中面临额外的复杂性。DeBolt总结道：“由于归因的模糊性，此类攻击的行动后审查过程也变得更加复杂。”这种模棱两可性进一步凸显了发展网络安全战略的必要性，这些战略能够适应国家支持和资金驱动的网络威胁之间日益模糊的界限。