近日,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布了一份新報(bào)告���,概述了所有關(guān)鍵基礎(chǔ)設(shè)施部門(mén)的基準(zhǔn)網(wǎng)絡(luò)安全性能目標(biāo)(CPG)����。該文件是由拜登總統(tǒng)在2021年7月簽署的安全備忘錄而來(lái)���。已成為CISA和國(guó)家標(biāo)準(zhǔn)與技術(shù)研究所(NIST)為關(guān)鍵基礎(chǔ)設(shè)施創(chuàng)建基本的網(wǎng)絡(luò)安全實(shí)踐���,主要是為了幫助中小型企業(yè)(SMEs)改善其網(wǎng)絡(luò)安全工作。
CPG旨在成為:
一套廣泛適用于關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全做法的基線��,具有已知的降低風(fēng)險(xiǎn)的價(jià)值�。
關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商衡量和提高其網(wǎng)絡(luò)安全成熟度的基準(zhǔn)。
為IT和OT所有者推薦的實(shí)踐組合�,包括一套優(yōu)先的安全實(shí)踐。
與其他控制框架不同的是�����,它們不僅考慮了解決單個(gè)實(shí)體風(fēng)險(xiǎn)的做法����,而且還考慮了國(guó)家的總體風(fēng)險(xiǎn)。
CISA指出:"CPG是IT和操作技術(shù)(OT)網(wǎng)絡(luò)安全實(shí)踐的一個(gè)優(yōu)先子集����,關(guān)鍵基礎(chǔ)設(shè)施的所有者和經(jīng)營(yíng)者可以實(shí)施,以有意義地減少已知風(fēng)險(xiǎn)和對(duì)手技術(shù)的可能性和影響�����。這些目標(biāo)是根據(jù)現(xiàn)有的網(wǎng)絡(luò)安全框架和指南制定的��。它們還依賴(lài)于CISA及其合作伙伴觀察到的現(xiàn)實(shí)世界的威脅和對(duì)手的戰(zhàn)術(shù)��、技術(shù)和程序(TTPs)�。
通過(guò)實(shí)施這些目標(biāo)����,業(yè)主和運(yùn)營(yíng)商將不僅減少對(duì)關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)的風(fēng)險(xiǎn)���,而且也減少對(duì)美國(guó)人民的風(fēng)險(xiǎn)��。
CISA計(jì)劃每6到12個(gè)月進(jìn)行目標(biāo)更新
Hexagon公司網(wǎng)絡(luò)生態(tài)系統(tǒng)的全球總監(jiān)Edward Liebig指出:"隨著技術(shù)的發(fā)展����,風(fēng)險(xiǎn)��、TTP和范圍自然會(huì)改變�����。這一點(diǎn)��,再加上工業(yè)革命4.0的演變�,將使建議和結(jié)果適當(dāng)變形?!?/span>
在他看來(lái)CISA與監(jiān)管機(jī)構(gòu)一起起草具體部門(mén)目標(biāo)的計(jì)劃,如果沒(méi)有行業(yè)垂直運(yùn)營(yíng)商的密切參與����,隨著時(shí)間的推移��,可能會(huì)變得難以維持�����。應(yīng)該共同努力,建立并鼓勵(lì)參與特定行業(yè)的信息共享和分析中心(ISAC)�,如電力信息共享和分析中心(E-ISAC),因?yàn)楣?yīng)商之間的合作將進(jìn)一步解決OT安全中的問(wèn)題���?���!?/span>
據(jù)悉�����,在Cyble研究人員發(fā)現(xiàn)超過(guò)8000個(gè)暴露的虛擬網(wǎng)絡(luò)計(jì)算(VNC)實(shí)例���,可能導(dǎo)致對(duì)關(guān)鍵基礎(chǔ)設(shè)施組織的遠(yuǎn)程妥協(xié)攻擊后的幾個(gè)月����,CISA報(bào)告出臺(tái)�。
