供應(yīng)商、政府部門、行業(yè)機(jī)構(gòu)和非營(yíng)利組織在2023年如何為提高關(guān)鍵國(guó)家基礎(chǔ)設(shè)施的網(wǎng)絡(luò)彈性做出貢獻(xiàn)?需要采取一些網(wǎng)絡(luò)安全措施。
關(guān)鍵基礎(chǔ)設(shè)施的安全已經(jīng)成為各行業(yè)組織在2023年議程上的重要議題,網(wǎng)絡(luò)攻擊和其他風(fēng)險(xiǎn)對(duì)能源、食品、電力和醫(yī)療保健等基本服務(wù)所依賴的技術(shù)和系統(tǒng)構(gòu)成了持續(xù)威脅。
今年4月,黑客組織針對(duì)VoIP服務(wù)提供商3CX公司進(jìn)行了重大供應(yīng)鏈攻擊,該組織還攻擊了能源領(lǐng)域的兩個(gè)關(guān)鍵基礎(chǔ)設(shè)施組織,一個(gè)位于美國(guó),另一個(gè)位于歐洲。與此同時(shí),英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了一份警報(bào),聲稱有一類新的網(wǎng)絡(luò)對(duì)手正在威脅英國(guó)的關(guān)鍵基礎(chǔ)設(shè)施。今年3月,在食品供應(yīng)商、醫(yī)院和學(xué)校等關(guān)鍵國(guó)家基礎(chǔ)設(shè)施(CNI)服務(wù)遭受一系列網(wǎng)絡(luò)攻擊之后,美國(guó)政府發(fā)布的《國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略》將勒索軟件重新列為一級(jí)國(guó)家安全威脅。
作為回應(yīng),美國(guó)在今年已經(jīng)啟動(dòng)了多項(xiàng)舉措、計(jì)劃、指南和標(biāo)準(zhǔn),以增強(qiáng)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全,并應(yīng)對(duì)威脅關(guān)鍵國(guó)家基礎(chǔ)設(shè)施(CNI)的日益增長(zhǎng)的風(fēng)險(xiǎn)。供應(yīng)商、政府、行業(yè)機(jī)構(gòu)和非營(yíng)利組織都做出了貢獻(xiàn),信息共享和協(xié)作是提高關(guān)鍵國(guó)家基礎(chǔ)設(shè)施(CNI)范圍內(nèi)網(wǎng)絡(luò)彈性的許多努力的關(guān)鍵主題。以下是在2023年的10個(gè)值得關(guān)注的網(wǎng)絡(luò)安全方面的舉措:
1.英國(guó)推出產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案
2022年12月,產(chǎn)品安全和電信基礎(chǔ)設(shè)施(PSTI)法案被引入英國(guó)法律,2023年作為寬限期,各組織和機(jī)構(gòu)需要遵守其新規(guī)則。該法案規(guī)定了可連接互聯(lián)網(wǎng)的產(chǎn)品以及能夠連接到此類產(chǎn)品和電子通信基礎(chǔ)設(shè)施的產(chǎn)品的安全性?,F(xiàn)有立法涵蓋的產(chǎn)品(包括醫(yī)療保健監(jiān)控產(chǎn)品和智能電表)或復(fù)雜的產(chǎn)品(例如自動(dòng)駕駛汽車)可能有一天會(huì)有自己的立法,不包括在PSTI法案中。
需要遵守的三個(gè)關(guān)鍵事項(xiàng):
·支持期限的明確信息,明確說(shuō)明制造商將持續(xù)提供多長(zhǎng)時(shí)間的更新。
·不允許使用默認(rèn)密碼,這意味著用戶在首次使用時(shí)需要提供唯一的密碼,然后需要更改這些密碼。
·發(fā)現(xiàn)漏洞的任何人都可以通知制造商,制造商通知其客戶并及時(shí)提供修復(fù)的信息。
2.歐盟NIS2指令為基本實(shí)體制定了新的標(biāo)準(zhǔn)
今年1月,《網(wǎng)絡(luò)和信息安全指令》(NIS2)在歐盟生效,引入了一個(gè)擴(kuò)展到關(guān)鍵基礎(chǔ)設(shè)施的新的監(jiān)管標(biāo)準(zhǔn)。根據(jù)《網(wǎng)絡(luò)和信息安全指令》(NIS2),被歸類為“基本實(shí)體”的企業(yè)和組織(例如能源、運(yùn)輸和醫(yī)療保健行業(yè)的供應(yīng)商),將受到最嚴(yán)格的要求和最全面的監(jiān)管監(jiān)督,包括現(xiàn)場(chǎng)檢查和有針對(duì)性的、獨(dú)立的安全審計(jì)?!毒W(wǎng)絡(luò)和信息安全指令》(NIS 2)取代了2018年在歐盟生效的NIS指令,歐盟國(guó)家必須在2024年10月之前符合更新后的指令。
隨著實(shí)施NIS 2帶來(lái)的變化,歐盟監(jiān)管機(jī)構(gòu)認(rèn)識(shí)到關(guān)鍵基礎(chǔ)設(shè)施及其第三方網(wǎng)絡(luò)遭受網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)日益增加。Sectigo公司的首席體驗(yàn)官Tim Callan表示:“值得注意的是,修訂后的立法涵蓋了更廣泛的組織,規(guī)定了在遭遇網(wǎng)絡(luò)攻擊后24小時(shí)內(nèi)立即通知相關(guān)部門的強(qiáng)制性義務(wù),并設(shè)定了這些基本實(shí)體必須遵守的最低安全標(biāo)準(zhǔn)。”
3.北約和歐盟啟動(dòng)關(guān)鍵基礎(chǔ)設(shè)施復(fù)原特別工作組
在俄烏發(fā)生沖突以及北溪管道遭到破壞之后,北約和歐盟在今年1月成立了一個(gè)有關(guān)恢復(fù)和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)的特別工作組。這個(gè)工作組的重點(diǎn)是提高關(guān)鍵基礎(chǔ)設(shè)施、技術(shù)和供應(yīng)鏈對(duì)潛在威脅的抵御能力,并采取行動(dòng)降低脆弱性。
北約和歐盟的高級(jí)官員在今年2月舉辦一次會(huì)議上,正式啟動(dòng)了北約-歐盟關(guān)鍵基礎(chǔ)設(shè)施恢復(fù)工作組。該倡議將北約和歐盟的官員聚集在一起,分享最佳實(shí)踐和態(tài)勢(shì)感知,以及制定提高彈性的原則。該工作組將重點(diǎn)放在四個(gè)領(lǐng)域:能源、交通、數(shù)字基礎(chǔ)設(shè)施和太空。
2022年12月,北約對(duì)人工智能保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的能力進(jìn)行了試驗(yàn),試驗(yàn)結(jié)果表明,人工智能可以顯著幫助識(shí)別關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊模式/網(wǎng)絡(luò)活動(dòng),并檢測(cè)惡意軟件,從而增強(qiáng)有關(guān)防御反應(yīng)的決策。
4.國(guó)際特遣部隊(duì)打擊勒索軟件國(guó)家安全威脅
全球36個(gè)國(guó)家的政府和歐盟(EU) 在今年1月成立了國(guó)際反勒索軟件特別工作組,以打擊對(duì)國(guó)家安全構(gòu)成威脅的勒索軟件攻擊,尤其是那些影響關(guān)鍵國(guó)家基礎(chǔ)設(shè)施(CNI)的勒索軟件攻擊。該聯(lián)盟由澳大利亞政府領(lǐng)導(dǎo),旨在通過(guò)信息和情報(bào)交流,分享最佳實(shí)踐政策和法律權(quán)威框架,以及執(zhí)法部門和網(wǎng)絡(luò)當(dāng)局之間的合作,實(shí)現(xiàn)持續(xù)和有影響力的國(guó)際合作,旨在破壞、打擊和防御日益增加的勒索軟件威脅。
管理檢測(cè)和響應(yīng)提供商Continue公司的安全運(yùn)營(yíng)副總裁CraigJones表示,與其他行業(yè)舉措相比,國(guó)際反勒索軟件特別工作組具有巨大的潛力,可以立即產(chǎn)生效果。他說(shuō),“這是因?yàn)閷⒃趪?guó)際上關(guān)注勒索軟件攻擊,這是對(duì)企業(yè)和基礎(chǔ)設(shè)施整體構(gòu)成的最可怕的全球威脅。”
5.SANS研究所發(fā)布ICS網(wǎng)絡(luò)安全領(lǐng)域手冊(cè)第2卷和第3卷
美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)(SANS)發(fā)布了兩個(gè)新的工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全領(lǐng)域手冊(cè),為ICS網(wǎng)絡(luò)安全專業(yè)人員和風(fēng)險(xiǎn)管理人員提供了關(guān)于事件響應(yīng)、漏洞管理、防御技能、團(tuán)隊(duì)管理和安全工具/協(xié)議的新見解,以保護(hù)工業(yè)控制系統(tǒng)。ICS網(wǎng)絡(luò)安全領(lǐng)域手冊(cè)第2卷于今年1月出版,第3卷于今年5月出版。
工業(yè)控制系統(tǒng)(ICS)專家、ICS網(wǎng)絡(luò)安全領(lǐng)域手冊(cè)作者和SANS認(rèn)證講師Dean Parsons說(shuō),“SAN SICS網(wǎng)絡(luò)安全領(lǐng)域手冊(cè)系列是所有ICS安全專業(yè)人員的重要工具,全球所有工業(yè)控制系統(tǒng)領(lǐng)域的每個(gè)控制系統(tǒng)操作人員、關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)防御者和ICS/OT風(fēng)險(xiǎn)管理人員都應(yīng)該學(xué)習(xí)和掌握。”
6.CISA更新跨行業(yè)網(wǎng)絡(luò)安全績(jī)效目標(biāo)
今年3月,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)更新了其跨部門網(wǎng)絡(luò)安全績(jī)效目標(biāo)(CPG),以幫助為關(guān)鍵基礎(chǔ)設(shè)施建立一套通用的基本網(wǎng)絡(luò)安全實(shí)踐。網(wǎng)絡(luò)安全績(jī)效目標(biāo)(CPG)是IT和OT網(wǎng)絡(luò)安全實(shí)踐的優(yōu)先子集,關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營(yíng)商可以實(shí)施網(wǎng)絡(luò)安全績(jī)效目標(biāo)(CPG),以有效降低已知風(fēng)險(xiǎn)。
1.0.1版本對(duì)網(wǎng)絡(luò)安全績(jī)效目標(biāo)(CPG)進(jìn)行了重新排序和編號(hào),以更緊密地與NIST網(wǎng)絡(luò)安全框架保持一致。該更新包括與對(duì)抗網(wǎng)絡(luò)釣魚的多因素身份驗(yàn)證(MFA)和事件恢復(fù)計(jì)劃相關(guān)的新指南。
7.網(wǎng)絡(luò)安全公司組成精英網(wǎng)絡(luò)衛(wèi)士計(jì)劃
今年4月,埃森哲、IBM和Mandiant公司加入了“精英網(wǎng)絡(luò)衛(wèi)士計(jì)劃”——這是由Nozomi Networks公司牽頭的一項(xiàng)新的合作計(jì)劃,旨在幫助保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。該項(xiàng)目旨在為全球工業(yè)和政府客戶提供強(qiáng)大的網(wǎng)絡(luò)安全防御工具、事件響應(yīng)團(tuán)隊(duì)和威脅情報(bào)。
項(xiàng)目的每個(gè)參與者將為他們的客戶提供定制的事件響應(yīng)和評(píng)估程序,同時(shí)承諾與Nozomi Networks公司網(wǎng)絡(luò)實(shí)驗(yàn)室合作共享威脅情報(bào)和聯(lián)合研究,重點(diǎn)是識(shí)別新型惡意軟件和威脅參與者使用的新https。
8. OT巨頭合作建立早期威脅和攻擊預(yù)警系統(tǒng)
今年4月,一些相互競(jìng)爭(zhēng)的OT安全公司宣布,他們將合作開發(fā)一個(gè)新的供應(yīng)商中立、開源和匿名的OT威脅預(yù)警系統(tǒng),該系統(tǒng)名稱為ETHOS。
ETHOS系統(tǒng)旨在分享早期威脅指標(biāo)的數(shù)據(jù),并發(fā)現(xiàn)威脅運(yùn)營(yíng)基本服務(wù)(包括電力、供水、石油和天然氣生產(chǎn)以及制造系統(tǒng))的工業(yè)組織的新型攻擊。它已經(jīng)獲得了美國(guó)CISA的認(rèn)可,這可能會(huì)給該倡議帶來(lái)更大的吸引力。包括公共和私人資產(chǎn)所有者的所有組織,都可以為ETHOS做出貢獻(xiàn),創(chuàng)始人設(shè)想這個(gè)系統(tǒng)將沿著開源軟件Linux的路線發(fā)展。
ETHOS社區(qū)和董事會(huì)成員包括一些頂級(jí)的OT安全公司,例如1898&Co、Claroty、Dragos、ForeScout、NetRise、Network Percept、Nozomi Networks、施耐德電氣、Table和Waterfall Security。
Tenable公司負(fù)責(zé)運(yùn)營(yíng)技術(shù)(OT)和物聯(lián)網(wǎng)的副首席技術(shù)官M(fèi)arty Edwards說(shuō), “這是社區(qū)的努力,我們希望能找到一個(gè)技術(shù)中立的第三方來(lái)支持ETHOS,無(wú)論是政府部門,還是信息共享和分析中心,或者坦率地說(shuō),我們必須在非營(yíng)利組織下支持自己的實(shí)體。”
9.英國(guó)NCSC宣布基于原則的保證框架
今年4月,英國(guó)國(guó)家網(wǎng)絡(luò)安全中心 ( NCSC )宣布,該中心正在建立基于原則的(PBA)框架,以衡量和認(rèn)證產(chǎn)品和系統(tǒng)的網(wǎng)絡(luò)彈性,如果受到損害,可能會(huì)對(duì)人們的工作和生活造成重大影響。英國(guó)國(guó)家網(wǎng)絡(luò)安全中心 ( NCSC )表示,這包括關(guān)鍵國(guó)家基礎(chǔ)設(shè)施(CNI),它面臨著重大的網(wǎng)絡(luò)威脅,而網(wǎng)絡(luò)攻擊者有資源、技能和時(shí)間以有針對(duì)性的方式進(jìn)行攻擊。
PBA將有一個(gè)三層流程:第一層是基于風(fēng)險(xiǎn)的方法,而不是合規(guī)性驅(qū)動(dòng)的方法。第二層是開發(fā)可遵循的一致方法,以及要使用的文檔和模板。最后一層是如何以一致和可信的方式將方法作為服務(wù)在市場(chǎng)中由供應(yīng)商和買家進(jìn)行部署和訪問(wèn)。
當(dāng)基于原則的(PBA)方法可用時(shí),英國(guó)國(guó)家網(wǎng)絡(luò)安全中心 ( NCSC )將對(duì)外發(fā)布,以便人們可以開始使用。目前正在進(jìn)行服務(wù)層的工作,以設(shè)計(jì)一種通過(guò)行業(yè)合作伙伴擴(kuò)展PBA理念的方法。英國(guó)國(guó)家網(wǎng)絡(luò)安全中心 ( NCSC )計(jì)劃在2024年建立一個(gè)經(jīng)批準(zhǔn)的網(wǎng)絡(luò)彈性測(cè)試設(shè)施的雛形網(wǎng)絡(luò)。
10.英國(guó)推出“安全連接場(chǎng)所”網(wǎng)絡(luò)安全手冊(cè)
今年5月,英國(guó)政府發(fā)布了《安全連接場(chǎng)所:網(wǎng)絡(luò)安全手冊(cè)》的“alpha”版本,以支持地方當(dāng)局提高其連接場(chǎng)所的安全性,包括關(guān)鍵基礎(chǔ)設(shè)施和公用事業(yè)設(shè)施,例如減少電網(wǎng)供電壓力的智能能源系統(tǒng)。這個(gè)手冊(cè)是與六個(gè)地方當(dāng)局合作設(shè)計(jì)的,包括多個(gè)網(wǎng)絡(luò)安全資源,涵蓋治理、采購(gòu)和供應(yīng)鏈管理以及如何進(jìn)行良好的威脅分析等主題。
該手冊(cè)稱,互聯(lián)互通的地方為地方當(dāng)局提供了提高市民生活質(zhì)量的機(jī)會(huì)。然而,如果沒(méi)有必要的保護(hù),運(yùn)營(yíng)互聯(lián)場(chǎng)所所需技術(shù)的多樣性和互聯(lián)性也使它們?nèi)菀资艿骄W(wǎng)絡(luò)攻擊。這些攻擊可能導(dǎo)致聲譽(yù)受損、敏感數(shù)據(jù)丟失,以及居民所依賴的物理基礎(chǔ)設(shè)施遭到破壞。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國(guó)內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。