關(guān)鍵基礎(chǔ)設(shè)施的安全已成為2023年的重要議程，網(wǎng)絡(luò)攻擊及其他風(fēng)險(xiǎn)對(duì)能源、食品、電力和醫(yī)療保健等基本服務(wù)所依賴(lài)的技術(shù)和系統(tǒng)構(gòu)成了持續(xù)性威脅。

網(wǎng)絡(luò)安全服務(wù)公司Bridewell的研究報(bào)告評(píng)估了英美關(guān)鍵國(guó)家基礎(chǔ)設(shè)施（CNI）的現(xiàn)狀，并警告稱(chēng)全球經(jīng)濟(jì)衰退、地緣政治緊張局勢(shì)、政府撐腰的威脅分子和勒索軟件在共同加大CNI 領(lǐng)域的組織和供應(yīng)商面臨的威脅。

今年4月，對(duì)VoIP公司3CX實(shí)施嚴(yán)重供應(yīng)鏈攻擊的黑客組織還闖入了能源領(lǐng)域的兩家關(guān)鍵基礎(chǔ)設(shè)施組織，一家位于美國(guó)，另一家位于歐洲。與此同時(shí)，英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）發(fā)布了關(guān)于一類(lèi)新的俄羅斯網(wǎng)絡(luò)攻擊者威脅英國(guó)關(guān)鍵基礎(chǔ)設(shè)施的警報(bào)。3月，在食品供應(yīng)商、醫(yī)院和學(xué)校等CNI服務(wù)遭到一系列攻擊之后，美國(guó)白宮的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略將勒索軟件重新歸類(lèi)為一級(jí)國(guó)家安全威脅。

相應(yīng)之下，今年已出臺(tái)了多項(xiàng)舉措、計(jì)劃、指南和標(biāo)準(zhǔn)，以加強(qiáng)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全，并應(yīng)對(duì)威脅CNI的日益加大的風(fēng)險(xiǎn)。供應(yīng)商、政府、行業(yè)機(jī)構(gòu)和非營(yíng)利組織都貢獻(xiàn)了力量，而信息共享和協(xié)作是提升CNI領(lǐng)域網(wǎng)絡(luò)彈性的許多工作的一大主題。以下是今年迄今為止10 個(gè)值得關(guān)注的舉措：

英國(guó)出臺(tái)《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》

2022 年 12 月，《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》（PSTI）正式成為英國(guó)法律，組織獲得了2023年寬限期，以確保遵守新法規(guī)。該法案針對(duì)聯(lián)網(wǎng)產(chǎn)品、能夠連接到此類(lèi)產(chǎn)品的產(chǎn)品以有電子通信基礎(chǔ)設(shè)施的安全性列出了條款。現(xiàn)有立法涵蓋的產(chǎn)品（包括醫(yī)療保健監(jiān)控產(chǎn)品和智能水電表）或者有一天可能迎來(lái)相應(yīng)法案的復(fù)雜產(chǎn)品（比如自動(dòng)駕駛汽車(chē)）不在 PSTI 法案的適用范圍內(nèi)。

三個(gè)關(guān)鍵方面需要合規(guī)：

有關(guān)支持期限的明確信息，準(zhǔn)確表明制造商將在多長(zhǎng)時(shí)間內(nèi)繼續(xù)提供更新。

不允許使用默認(rèn)密碼，這意味著用戶(hù)需要在首次使用時(shí)被提供唯一的產(chǎn)品密碼，隨后密碼需要更改。

有關(guān)任何發(fā)現(xiàn)漏洞的人可以從哪個(gè)途徑通知制造商以及制造商向客戶(hù)告知漏洞并及時(shí)提供修正版的信息。

歐盟 NIS2 指令為基本實(shí)體闡明了新標(biāo)準(zhǔn)

1月，《網(wǎng)絡(luò)和信息安全指令》（NIS2）在歐盟生效，引入了適用于關(guān)鍵基礎(chǔ)設(shè)施的新監(jiān)管條例。根據(jù)NIS2，被歸類(lèi)為能源、交通運(yùn)輸和醫(yī)療保健供應(yīng)商等“基本實(shí)體”的組織將受到最嚴(yán)格的要求和最全面的監(jiān)管，包括（可能）現(xiàn)場(chǎng)檢查和針對(duì)性的獨(dú)立安全審計(jì)。NIS2 取代了2018年在歐盟生效的NIS指令，歐盟國(guó)家必須在2024年10月之前滿(mǎn)足更新后的規(guī)則。

鑒于NIS2帶來(lái)了變化，歐盟監(jiān)管機(jī)構(gòu)認(rèn)識(shí)到針對(duì)關(guān)鍵基礎(chǔ)設(shè)施及其第三方網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)越來(lái)越大。Sectigo首席體驗(yàn)官Tim Callan表示：“值得注意的是，修訂后的立法涵蓋了更廣泛的組織和企業(yè)，規(guī)定了在網(wǎng)絡(luò)攻擊發(fā)生后24小時(shí)內(nèi)及時(shí)通知相關(guān)當(dāng)局的強(qiáng)制性義務(wù)，并設(shè)定了這些實(shí)體要遵守的最低基本安全標(biāo)準(zhǔn)。”

北約與歐盟成立關(guān)鍵基礎(chǔ)設(shè)施彈性特別工作組

今年1月，北約和歐盟同意成立一個(gè)彈性和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)特別工作組。在俄羅斯總統(tǒng)普京將能源變成武器和破壞北溪輸油管道之后，北約和歐盟表示，特別工作組的重點(diǎn)是確保關(guān)鍵基礎(chǔ)設(shè)施、技術(shù)和供應(yīng)鏈遭到潛在威脅后更具彈性，并采取行動(dòng)以修復(fù)漏洞。

2月，北約和歐盟的高級(jí)官員舉行會(huì)晤，正式成立了北約-歐盟關(guān)鍵基礎(chǔ)設(shè)施彈性特別工作組。該舉措將雙方的官員聚集在一起，共享最佳實(shí)踐和態(tài)勢(shì)感知，并且制定提高彈性的原則。該特別工作組首先關(guān)注四個(gè)行業(yè)領(lǐng)域：能源、交通運(yùn)輸、數(shù)字基礎(chǔ)設(shè)施和空間。

2022年12月，北約試驗(yàn)了AI保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的能力，結(jié)果表明AI可以顯著幫助識(shí)別關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊模式/網(wǎng)絡(luò)活動(dòng)，并檢測(cè)惡意軟件，從而改進(jìn)防御性響應(yīng)方面的決策。

國(guó)際特別工作組打擊勒索軟件國(guó)家安全威脅

1月，全球36國(guó)政府和歐盟共同成立了國(guó)際反勒索軟件特別工作組，以打擊對(duì)國(guó)家安全構(gòu)成威脅的勒索軟件攻擊，尤其是那些影響CNI行業(yè)領(lǐng)域企業(yè)的攻擊。在澳大利亞政府的領(lǐng)導(dǎo)下，該聯(lián)盟旨在通過(guò)信息和情報(bào)交流、共享最佳實(shí)踐政策和法律權(quán)威框架以及執(zhí)法部門(mén)與網(wǎng)絡(luò)監(jiān)管當(dāng)局之間的協(xié)作，實(shí)現(xiàn)可持續(xù)、有影響力的國(guó)際合作，旨在破壞、打擊和防御日益增加的勒索軟件威脅。

托管檢測(cè)和響應(yīng)提供商O(píng)ntinue的安全運(yùn)營(yíng)副總裁Craig Jones表示，與其他行業(yè)舉措相比，國(guó)際反勒索軟件特別工作組具有立竿見(jiàn)影的巨大潛力。這是由于其從全球?qū)用骊P(guān)注勒索軟件，勒索軟件對(duì)企業(yè)和整個(gè)基礎(chǔ)設(shè)施而言是最可怕的全球威脅。

SANS Institute發(fā)布《ICS網(wǎng)絡(luò)安全現(xiàn)場(chǎng)手冊(cè)》第2卷和第3卷

SANS Institute發(fā)布了兩卷新的《工業(yè)控制系統(tǒng)（ICS）網(wǎng)絡(luò)安全現(xiàn)場(chǎng)手冊(cè)》，為ICS網(wǎng)絡(luò)安全專(zhuān)業(yè)人員和風(fēng)險(xiǎn)管理人員提供了新渠道，以便了解事件響應(yīng)、漏洞管理、防御者技能組合、團(tuán)隊(duì)管理以及防御系統(tǒng)的安全工具/協(xié)議。第2卷已在1月出版，第3卷已在5月出版。

Dean Parsons是一名ICS專(zhuān)家、現(xiàn)場(chǎng)手冊(cè)編寫(xiě)者兼認(rèn)證SANS講師，他說(shuō)：“《SANS ICS網(wǎng)絡(luò)安全現(xiàn)場(chǎng)手冊(cè)》系列是所有ICS安全專(zhuān)業(yè)人員的必備工具，它應(yīng)該擺放在全球所有工業(yè)控制系統(tǒng)行業(yè)領(lǐng)域的每個(gè)控制系統(tǒng)操作員、關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)防御者和ICS/OT風(fēng)險(xiǎn)經(jīng)理的案頭上。”

CISA更新跨行業(yè)部門(mén)的網(wǎng)絡(luò)安全績(jī)效目標(biāo)

3月，美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）更新了其《跨行業(yè)部門(mén)的網(wǎng)絡(luò)安全績(jī)效目標(biāo)（CPG）》，以幫助為關(guān)鍵基礎(chǔ)設(shè)施建立一套通用的基本網(wǎng)絡(luò)安全實(shí)踐。CPG是一套優(yōu)先考慮的IT和OT網(wǎng)絡(luò)安全實(shí)踐，關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營(yíng)者可以實(shí)施這些實(shí)踐，以大幅降低已知風(fēng)險(xiǎn)和攻擊技術(shù)的可能性和影響。

版本1.0.1對(duì)CPG進(jìn)行了重新排序和編號(hào)，以便與NIST網(wǎng)絡(luò)安全框架更緊密地保持一致。更新版加入了與防止網(wǎng)絡(luò)釣魚(yú)的多因素身份驗(yàn)證（MFA）和事件恢復(fù)規(guī)劃相關(guān)的新指南。

多家網(wǎng)絡(luò)安全公司設(shè)立精英網(wǎng)絡(luò)防御者計(jì)劃

4月，全球網(wǎng)絡(luò)安全公司埃森哲、IBM和Mandiant加入了精英網(wǎng)絡(luò)防御者計(jì)劃，由Nozomi Networks牽頭的這項(xiàng)新的協(xié)作計(jì)劃旨在幫助保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。該計(jì)劃旨在讓全球工業(yè)和政府客戶(hù)可以享用強(qiáng)大的網(wǎng)絡(luò)安全防御工具、事件響應(yīng)團(tuán)隊(duì)和威脅情報(bào)。

該計(jì)劃的每個(gè)參與者都將為共同客戶(hù)提供定制設(shè)計(jì)的事件響應(yīng)和評(píng)估計(jì)劃，同時(shí)承諾與Nozomi Networks Labs在共享威脅情報(bào)和聯(lián)合安全研究方面展開(kāi)合作，致力于識(shí)別威脅分子使用的新穎惡意軟件和新型策略、技術(shù)和程序（TTP）。

OT 巨頭合作開(kāi)發(fā)ETHOS 早期威脅和攻擊警告系統(tǒng)

4月，一群通常相互競(jìng)爭(zhēng)的OT安全公司宣布，它們將捐棄前嫌，合作開(kāi)發(fā)一種新的供應(yīng)商中立的開(kāi)源匿名OT威脅警告系統(tǒng)：ETHOS（新興威脅開(kāi)放共享）。

作為一家非營(yíng)利組織，ETHOS旨在共享有關(guān)早期威脅指標(biāo)的數(shù)據(jù)，并發(fā)現(xiàn)對(duì)運(yùn)行基本服務(wù)（包括電力、水、石油天然氣生產(chǎn)以及制造系統(tǒng)）的工業(yè)組織構(gòu)成威脅的新型攻擊。它已經(jīng)獲得了美國(guó)CISA的認(rèn)可，這可能會(huì)給該倡議帶來(lái)更大的吸引力。所有組織（包括公共和私人資產(chǎn)所有者）都可以無(wú)償為ETHOS做貢獻(xiàn)，創(chuàng)始人設(shè)想它能夠像開(kāi)源軟件Linux那樣發(fā)展壯大。

ETHOS社區(qū)和理事會(huì)成員包括一些頭部OT安全公司：1898 & Co.、ABS Group、Claroty、Dragos、Forescout、NetRise、Network Perception、Nozomi Networks、Schneider Electric、Tenable 和Waterfall Security。

Tenable的OT和物聯(lián)網(wǎng)代理首席技術(shù)官M(fèi)arty Edwards說(shuō)：“這是社區(qū)的一項(xiàng)努力，我們希望我們能夠找到一家技術(shù)中立的第三方來(lái)支撐ETHOS，無(wú)論這是政府實(shí)體、信息共享及分析中心，還是坦率地說(shuō)我們想在這家非營(yíng)利組織之下自行設(shè)立的實(shí)體。”

英國(guó)NCSC宣布基于原則的保證框架

4月，英國(guó)NCSC宣布設(shè)立基于原則的保證（PBA）框架，以衡量和認(rèn)證產(chǎn)品和系統(tǒng)的網(wǎng)絡(luò)彈性：如果這些產(chǎn)品和系統(tǒng)遭到破壞，可能會(huì)對(duì)人們的生活造成重大影響。這包括CNI，由于攻擊者擁有發(fā)動(dòng)針對(duì)性攻擊所需的資源、技能和時(shí)間，CNI面臨重大的網(wǎng)絡(luò)威脅。

PBA將包括三層：第一層即基礎(chǔ)層是基于風(fēng)險(xiǎn)的理念，而不是基于合規(guī)驅(qū)動(dòng)的方法；第二階段是開(kāi)發(fā)一種可以遵循的一致方法，以及要使用的文檔和模板；最后階段是供應(yīng)商和買(mǎi)家如何以一致可信的方式將該方法作為市場(chǎng)中的一項(xiàng)服務(wù)進(jìn)行部署和訪問(wèn)。

NCSC將在第一時(shí)間公布PBA方法，以便人們可以開(kāi)始使用它。服務(wù)層方面的工作正在進(jìn)行中，以設(shè)計(jì)一種通過(guò)行業(yè)合作伙伴擴(kuò)展PBA 理念和方法的方式。到明年，NCSC計(jì)劃建立一個(gè)由獲得批準(zhǔn)的網(wǎng)絡(luò)彈性測(cè)試設(shè)施組成的雛形網(wǎng)絡(luò)。

英國(guó)發(fā)布安全聯(lián)網(wǎng)場(chǎng)所網(wǎng)絡(luò)安全手冊(cè)

5月，英國(guó)政府發(fā)布了《安全聯(lián)網(wǎng)場(chǎng)所：網(wǎng)絡(luò)安全手冊(cè)》的alpha版本，以支持地方當(dāng)局提高其聯(lián)網(wǎng)場(chǎng)所的安全性，包括關(guān)鍵基礎(chǔ)設(shè)施和公用事業(yè)系統(tǒng)（比如可減輕電網(wǎng)壓力的智慧能源系統(tǒng)）。這份手冊(cè)是與六個(gè)地方當(dāng)局共同設(shè)計(jì)制定的，牽涉多方網(wǎng)絡(luò)安全資源，涵蓋的主題包括治理、采購(gòu)和供應(yīng)鏈管理，以及如何進(jìn)行良好的威脅分析。

手冊(cè)顯示，聯(lián)網(wǎng)場(chǎng)所為地方當(dāng)局提供了改善公民生活質(zhì)量的機(jī)會(huì)。然而，如果必要的保護(hù)沒(méi)有實(shí)施到位，運(yùn)營(yíng)聯(lián)網(wǎng)場(chǎng)所需要的技術(shù)具有的多樣性和關(guān)聯(lián)性也使它們很容易受到網(wǎng)絡(luò)攻擊。這些攻擊可能導(dǎo)致聲譽(yù)受損、敏感數(shù)據(jù)丟失以及居民依賴(lài)的物理基礎(chǔ)設(shè)施遭到破壞。

聲明：以上內(nèi)容由匡安網(wǎng)絡(luò)整理編輯，部分圖文來(lái)源于互聯(lián)網(wǎng)及公眾平臺(tái)，如有侵犯版權(quán)請(qǐng)告知，我們將及時(shí)刪除！