本文来自微信公众号“网络研究院”。
关键基础设施的安全已成为2023年的重要议程,网络攻击和其他风险对能源、食品、电力和医疗保健等基本服务所依赖的技术和系统构成持续威胁。
网络安全服务公司Bridewell的研究评估了英国和美国关键国家基础设施(CNI)威胁的现状,并警告说全球经济衰退、地缘政治紧张局势、民族国家行为者和勒索软件都在加剧组织面临的威胁和CNI领域的供应商。
4月,据透露,负责针对VoIP公司3CX的重大供应链攻击的黑客组织还破坏了能源领域的两个关键基础设施组织,一个位于美国,另一个位于欧洲。与此同时,英国国家网络安全中心(NCSC)发布了关于威胁英国关键基础设施的新型俄罗斯网络对手的警报。
3月,在一系列针对食品供应商、医院和学校等CNI服务的攻击之后,白宫的国家网络安全战略将勒索软件重新归类为一级国家安全威胁。
作为回应,今年推出了多项举措、计划、指南和标准,以加强关键系统的网络安全并应对威胁CNI的日益增长的风险。供应商、政府、行业机构和非营利组织都做出了贡献,信息共享和协作是提高CNI频谱网络弹性的许多努力的关键主题。
以下是今年迄今为止的10个值得注意的例子:
英国出台产品安全和电信基础设施法案
2022年12月,产品安全和电信基础设施(PSTI)法案被引入英国法律,组织获得2023年的期限作为宽限期,以实现对新规则的遵守。
该法案规定了有关可连接互联网的产品和能够连接到此类产品和电子通信基础设施的产品的安全性的规定。
现有立法涵盖的产品(包括医疗保健监控产品和智能电表)或复杂且有朝一日可能有自己的立法的产品(例如自动驾驶汽车)不在PSTI法案的涵盖范围内。
三个关键领域需要合规:
●有关支持期限的明确信息,准确说明制造商将继续提供更新的时间。
●不允许使用默认密码,这意味着用户需要在首次使用时提供唯一的产品密码,然后需要更改。
●关于任何发现漏洞的人可以在哪里通知制造商以及制造商将漏洞通知其客户并及时提供修复的信息。
欧盟NIS2指令威基本实体制定了新标准
1月,网络和信息安全指令(NIS2)在欧盟生效,引入了一个扩展到关键基础设施的新监管组件。根据NIS2,能源、运输和医疗保健供应商等被归类为“重要实体”的组织将受到最严格的要求和最全面的监管,包括(可能)现场检查和有针对性的独立安全审计。
NIS2取代了2018年在欧盟生效的NIS指令,欧盟国家必须在2024年10月之前满足更新后的规则。
随着通过NIS2实施的更改,欧盟监管机构认识到对关键基础设施及其第三方网络的网络攻击风险越来越大。
值得注意的是,修订后的立法涵盖了更广泛的组织和企业,规定了在网络攻击发生后24小时内及时通知相关当局的强制性义务,并设定了这些实体要维护的最低基线安全标准。
北约与欧盟成立关键基础设施弹性工作组
1月,北约和欧盟同意成立一个复原力和关键基础设施保护工作组。在俄罗斯总统弗拉基米尔普京将能源武器化和破坏北溪管道之后,两人表示,特别工作组的重点是使关键基础设施、技术和供应链对潜在威胁更具弹性,并采取行动减轻漏洞。
接下来的一个月,北约和欧盟的高级官员举行会议,正式成立了北约-欧盟关键基础设施恢复力工作组。该倡议将两个组织的官员聚集在一起,分享最佳实践和态势感知,以及制定提高弹性的原则。
该工作组首先关注四个领域:能源、交通、数字基础设施和空间。
2022年12月,北约试验了AI保护关键基础设施的能力,结果表明它可以显着帮助识别关键基础设施网络攻击模式/网络活动和检测恶意软件,从而增强防御响应决策。
国际工作组打击勒索软件国家安全威胁
1月,36个政府和欧盟成立了国际反勒索软件特别工作组,以打击对国家安全构成威胁的勒索软件攻击,尤其是那些影响CNI行业企业的攻击。
在澳大利亚政府的领导下,该联盟旨在通过信息和情报交流、共享最佳实践政策和法律权威框架以及执法部门和网络之间的协作,实现持续和有影响力的国际合作,旨在破坏、打击和防御日益增加的勒索软件威胁当局。
与其他行业举措相比,国际反勒索软件特别工作组具有立竿见影的巨大潜力。这是由于其国际关注勒索软件,这是对企业和整个基础设施最可怕的全球威胁。
SANS研究所发布ICS网络安全现场手册第2卷和第3卷
SANS研究所发布了两卷新的工业控制系统(ICS)网络安全现场手册,为ICS网络安全专业人员和风险管理人员提供了有关事件响应、漏洞管理、防御者技能组合、团队管理和安全工具/协议以保护系统的新见解。
第2卷于1月出版,而第3卷于5月出版。
SANS ICS网络安全现场手册系列是所有ICS安全专业人员的必备工具,它应该在全球所有工业控制系统领域的每个控制系统操作员、关键基础设施网络防御者和ICS/OT风险经理的办公桌上找到一个家。
CISA更新跨部门网络安全绩效目标
3月,美国网络安全和基础设施安全局(CISA)更新了其跨部门网络安全绩效目标(CPG),以帮助为关键基础设施建立一套通用的基本网络安全实践。
CPG是IT和OT网络安全实践的优先子集,关键基础设施所有者和运营商可以实施这些实践,以有意义地降低已知风险和对手技术的可能性和影响。
1.0.1版对CPG进行了重新排序和编号,以更紧密地与NIST网络安全框架保持一致。该更新包括与抗网络钓鱼多因素身份验证(MFA)和事件恢复计划相关的新指南。
网络安全公司组成精英网络防御者计划
4月,全球网络安全公司Accenture、IBM和Mandiant加入了Elite Cyber Defenders Program,一项由Nozomi Networks牵头的新协作计划,旨在帮助保护关键基础设施。
该计划旨在为全球工业和政府客户提供强大的网络安全防御工具、事件响应团队和威胁情报。
该计划的每个参与者都将为共同客户提供定制设计的事件响应和评估计划,同时承诺与Nozomi Networks Labs合作共享威胁情报和联合安全研究,重点是识别威胁行为者使用的新型恶意软件和新TTP。
OT巨头合作开发ETHOS早期威胁、攻击预警系统
4月,一群通常相互竞争的OT安全公司宣布,他们将搁置竞争,合作开发一种新的供应商中立、开源和匿名的OT威胁警告系统,称为ETHOS(新兴威胁开放共享)。
作为一个非营利组织,ETHOS旨在共享有关早期威胁指标的数据,并发现威胁运行基本服务(包括电力、水、石油和天然气生产以及制造系统)的工业组织的新型攻击。
它已经获得了美国CISA的认可,这可能会给该倡议带来更大的吸引力。所有组织,包括公共和私人资产所有者,都可以免费为ETHOS做出贡献,创始人设想它沿着开源软件Linux的路线发展。
ETHOS社区和董事会成员包括一些顶级OT安全公司1898&Co.、ABS Group、Claroty、Dragos、Forescout、NetRise、Network Perception、Nozomi Networks、Schneider Electric、Tenable和Waterfall Security。
这是社区的努力,我们希望我们能够找到一个技术中立的第三方,无论是政府实体、信息共享和分析中心,还是坦率地说,我们是否必须在非盈利机构。
英国NCSC宣布基于原则的保证框架
4月,英国NCSC宣布它正在建立基于原则的(PBA)框架来衡量和认证产品和系统的网络弹性,如果这些产品和系统遭到破坏,可能会对人们的生活造成重大影响。
NCSC表示,这包括CNI,它面临着以有针对性的方式工作的资源、技能和时间的重大网络威胁和攻击者。
PBA将有一个三层过程:第一层,基础层是基于风险而非合规驱动方法的理念;第二阶段是开发一种可以遵循的一致方法,以及要使用的文档和模板;最后阶段是供应商和买家如何以一致和可信的方式将该方法作为市场中的服务进行部署和访问。
NCSC将在可用时发布PBA方法,以便人们可以开始使用它。服务层的工作正在进行中,以设计一种通过行业合作伙伴扩展PBA理念和方法的方法。
到明年,NCSC计划建立一个由经批准的网络弹性测试设施组成的雏形网络。
英国推出安全互联场所网络安全手册
5月,英国政府发布了“安全互联场所:网络安全手册”的“alpha”版本,以支持地方当局提高其互联场所的安全性,包括关键基础设施和公用事业,例如可减轻电网压力的智能能源系统。
它是与六个地方当局合作设计的,包含多个网络安全资源,涵盖的主题包括治理、采购和供应链管理,以及如何进行良好的威胁分析。
互联地方为地方当局提供了提高公民生活质量的机会。然而,如果没有到位的必要保护,运营互联场所所需的技术的多样性和相互关联性也使它们容易受到网络攻击。
这些攻击可能导致声誉受损、敏感数据丢失以及居民依赖的物理基础设施遭到破坏。