本文来自微信公众号“嘶吼专业版”,作者/布加迪。
关键基础设施的安全已成为2023年的重要议程,网络攻击及其他风险对能源、食品、电力和医疗保健等基本服务所依赖的技术和系统构成了持续性威胁。
网络安全服务公司Bridewell的研究报告评估了英美关键国家基础设施(CNI)的现状,并警告称全球经济衰退、地缘政治紧张局势、政府撑腰的威胁分子和勒索软件在共同加大CNI领域的组织和供应商面临的威胁。
今年4月,对VoIP公司3CX实施严重供应链攻击的黑客组织还闯入了能源领域的两家关键基础设施组织,一家位于美国,另一家位于欧洲。与此同时,英国国家网络安全中心(NCSC)发布了关于一类新的俄罗斯网络攻击者威胁英国关键基础设施的警报。3月,在食品供应商、医院和学校等CNI服务遭到一系列攻击之后,美国白宫的国家网络安全战略将勒索软件重新归类为一级国家安全威胁。
相应之下,今年已出台了多项举措、计划、指南和标准,以加强关键系统的网络安全,并应对威胁CNI的日益加大的风险。供应商、政府、行业机构和非营利组织都贡献了力量,而信息共享和协作是提升CNI领域网络弹性的许多工作的一大主题。以下是今年迄今为止10个值得关注的举措:
英国出台《产品安全和电信基础设施法案》
2022年12月,《产品安全和电信基础设施法案》(PSTI)正式成为英国法律,组织获得了2023年宽限期,以确保遵守新法规。该法案针对联网产品、能够连接到此类产品的产品以有电子通信基础设施的安全性列出了条款。现有立法涵盖的产品(包括医疗保健监控产品和智能水电表)或者有一天可能迎来相应法案的复杂产品(比如自动驾驶汽车)不在PSTI法案的适用范围内。
三个关键方面需要合规:
有关支持期限的明确信息,准确表明制造商将在多长时间内继续提供更新。
不允许使用默认密码,这意味着用户需要在首次使用时被提供唯一的产品密码,随后密码需要更改。
有关任何发现漏洞的人可以从哪个途径通知制造商以及制造商向客户告知漏洞并及时提供修正版的信息。
欧盟NIS2指令为基本实体阐明了新标准
1月,《网络和信息安全指令》(NIS2)在欧盟生效,引入了适用于关键基础设施的新监管条例。根据NIS2,被归类为能源、交通运输和医疗保健供应商等“基本实体”的组织将受到最严格的要求和最全面的监管,包括(可能)现场检查和针对性的独立安全审计。NIS2取代了2018年在欧盟生效的NIS指令,欧盟国家必须在2024年10月之前满足更新后的规则。
鉴于NIS2带来了变化,欧盟监管机构认识到针对关键基础设施及其第三方网络的网络攻击风险越来越大。Sectigo首席体验官Tim Callan表示:“值得注意的是,修订后的立法涵盖了更广泛的组织和企业,规定了在网络攻击发生后24小时内及时通知相关当局的强制性义务,并设定了这些实体要遵守的最低基本安全标准。”
北约与欧盟成立关键基础设施弹性特别工作组
今年1月,北约和欧盟同意成立一个弹性和关键基础设施保护特别工作组。在俄罗斯总统普京将能源变成武器和破坏北溪输油管道之后,北约和欧盟表示,特别工作组的重点是确保关键基础设施、技术和供应链遭到潜在威胁后更具弹性,并采取行动以修复漏洞。
2月,北约和欧盟的高级官员举行会晤,正式成立了北约-欧盟关键基础设施弹性特别工作组。该举措将双方的官员聚集在一起,共享最佳实践和态势感知,并且制定提高弹性的原则。该特别工作组首先关注四个行业领域:能源、交通运输、数字基础设施和空间。
2022年12月,北约试验了AI保护关键基础设施的能力,结果表明AI可以显著帮助识别关键基础设施网络攻击模式/网络活动,并检测恶意软件,从而改进防御性响应方面的决策。
国际特别工作组打击勒索软件国家安全威胁
1月,全球36国政府和欧盟共同成立了国际反勒索软件特别工作组,以打击对国家安全构成威胁的勒索软件攻击,尤其是那些影响CNI行业领域企业的攻击。在澳大利亚政府的领导下,该联盟旨在通过信息和情报交流、共享最佳实践政策和法律权威框架以及执法部门与网络监管当局之间的协作,实现可持续、有影响力的国际合作,旨在破坏、打击和防御日益增加的勒索软件威胁。
托管检测和响应提供商Ontinue的安全运营副总裁Craig Jones表示,与其他行业举措相比,国际反勒索软件特别工作组具有立竿见影的巨大潜力。这是由于其从全球层面关注勒索软件,勒索软件对企业和整个基础设施而言是最可怕的全球威胁。
SANS Institute发布《ICS网络安全现场手册》第2卷和第3卷
SANS Institute发布了两卷新的《工业控制系统(ICS)网络安全现场手册》,为ICS网络安全专业人员和风险管理人员提供了新渠道,以便了解事件响应、漏洞管理、防御者技能组合、团队管理以及防御系统的安全工具/协议。第2卷已在1月出版,第3卷已在5月出版。
Dean Parsons是一名ICS专家、现场手册编写者兼认证SANS讲师,他说:“《SANS ICS网络安全现场手册》系列是所有ICS安全专业人员的必备工具,它应该摆放在全球所有工业控制系统行业领域的每个控制系统操作员、关键基础设施网络防御者和ICS/OT风险经理的案头上。”
CISA更新跨行业部门的网络安全绩效目标
3月,美国网络安全和基础设施安全局(CISA)更新了其《跨行业部门的网络安全绩效目标(CPG)》,以帮助为关键基础设施建立一套通用的基本网络安全实践。CPG是一套优先考虑的IT和OT网络安全实践,关键基础设施的所有者和运营者可以实施这些实践,以大幅降低已知风险和攻击技术的可能性和影响。
版本1.0.1对CPG进行了重新排序和编号,以便与NIST网络安全框架更紧密地保持一致。更新版加入了与防止网络钓鱼的多因素身份验证(MFA)和事件恢复规划相关的新指南。
多家网络安全公司设立精英网络防御者计划
4月,全球网络安全公司埃森哲、IBM和Mandiant加入了精英网络防御者计划,由Nozomi Networks牵头的这项新的协作计划旨在帮助保护关键基础设施。该计划旨在让全球工业和政府客户可以享用强大的网络安全防御工具、事件响应团队和威胁情报。
该计划的每个参与者都将为共同客户提供定制设计的事件响应和评估计划,同时承诺与Nozomi Networks Labs在共享威胁情报和联合安全研究方面展开合作,致力于识别威胁分子使用的新颖恶意软件和新型策略、技术和程序(TTP)。
OT巨头合作开发ETHOS早期威胁和攻击警告系统
4月,一群通常相互竞争的OT安全公司宣布,它们将捐弃前嫌,合作开发一种新的供应商中立的开源匿名OT威胁警告系统:ETHOS(新兴威胁开放共享)。
作为一家非营利组织,ETHOS旨在共享有关早期威胁指标的数据,并发现对运行基本服务(包括电力、水、石油天然气生产以及制造系统)的工业组织构成威胁的新型攻击。它已经获得了美国CISA的认可,这可能会给该倡议带来更大的吸引力。所有组织(包括公共和私人资产所有者)都可以无偿为ETHOS做贡献,创始人设想它能够像开源软件Linux那样发展壮大。
ETHOS社区和理事会成员包括一些头部OT安全公司:1898&Co.、ABS Group、Claroty、Dragos、Forescout、NetRise、Network Perception、Nozomi Networks、Schneider Electric、Tenable和Waterfall Security。
Tenable的OT和物联网代理首席技术官Marty Edwards说:“这是社区的一项努力,我们希望我们能够找到一家技术中立的第三方来支撑ETHOS,无论这是政府实体、信息共享及分析中心,还是坦率地说我们想在这家非营利组织之下自行设立的实体。”
英国NCSC宣布基于原则的保证框架
4月,英国NCSC宣布设立基于原则的保证(PBA)框架,以衡量和认证产品和系统的网络弹性:如果这些产品和系统遭到破坏,可能会对人们的生活造成重大影响。这包括CNI,由于攻击者拥有发动针对性攻击所需的资源、技能和时间,CNI面临重大的网络威胁。
PBA将包括三层:第一层即基础层是基于风险的理念,而不是基于合规驱动的方法;第二阶段是开发一种可以遵循的一致方法,以及要使用的文档和模板;最后阶段是供应商和买家如何以一致可信的方式将该方法作为市场中的一项服务进行部署和访问。
NCSC将在第一时间公布PBA方法,以便人们可以开始使用它。服务层方面的工作正在进行中,以设计一种通过行业合作伙伴扩展PBA理念和方法的方式。到明年,NCSC计划建立一个由获得批准的网络弹性测试设施组成的雏形网络。
英国发布安全联网场所网络安全手册
5月,英国政府发布了《安全联网场所:网络安全手册》的alpha版本,以支持地方当局提高其联网场所的安全性,包括关键基础设施和公用事业系统(比如可减轻电网压力的智慧能源系统)。这份手册是与六个地方当局共同设计制定的,牵涉多方网络安全资源,涵盖的主题包括治理、采购和供应链管理,以及如何进行良好的威胁分析。
手册显示,联网场所为地方当局提供了改善公民生活质量的机会。然而,如果必要的保护没有实施到位,运营联网场所需要的技术具有的多样性和关联性也使它们很容易受到网络攻击。这些攻击可能导致声誉受损、敏感数据丢失以及居民依赖的物理基础设施遭到破坏。