關鍵基礎設施的安全已成為2023年的重要議程，網(wǎng)絡攻擊及其他風險對能源、食品、電力和醫(yī)療保健等基本服務所依賴的技術和系統(tǒng)構成了持續(xù)性威脅。

網(wǎng)絡安全服務公司Bridewell的研究報告評估了英美關鍵國家基礎設施（CNI）的現(xiàn)狀，并警告稱全球經(jīng)濟衰退、地緣政治緊張局勢、政府撐腰的威脅分子和勒索軟件在共同加大CNI 領域的組織和供應商面臨的威脅。

今年4月，對VoIP公司3CX實施嚴重供應鏈攻擊的黑客組織還闖入了能源領域的兩家關鍵基礎設施組織，一家位于美國，另一家位于歐洲。與此同時，英國國家網(wǎng)絡安全中心（NCSC）發(fā)布了關于一類新的俄羅斯網(wǎng)絡攻擊者威脅英國關鍵基礎設施的警報。3月，在食品供應商、醫(yī)院和學校等CNI服務遭到一系列攻擊之后，美國白宮的國家網(wǎng)絡安全戰(zhàn)略將勒索軟件重新歸類為一級國家安全威脅。

相應之下，今年已出臺了多項舉措、計劃、指南和標準，以加強關鍵系統(tǒng)的網(wǎng)絡安全，并應對威脅CNI的日益加大的風險。供應商、政府、行業(yè)機構和非營利組織都貢獻了力量，而信息共享和協(xié)作是提升CNI領域網(wǎng)絡彈性的許多工作的一大主題。以下是今年迄今為止10 個值得關注的舉措：

英國出臺《產(chǎn)品安全和電信基礎設施法案》

2022 年 12 月，《產(chǎn)品安全和電信基礎設施法案》（PSTI）正式成為英國法律，組織獲得了2023年寬限期，以確保遵守新法規(guī)。該法案針對聯(lián)網(wǎng)產(chǎn)品、能夠連接到此類產(chǎn)品的產(chǎn)品以有電子通信基礎設施的安全性列出了條款?，F(xiàn)有立法涵蓋的產(chǎn)品（包括醫(yī)療保健監(jiān)控產(chǎn)品和智能水電表）或者有一天可能迎來相應法案的復雜產(chǎn)品（比如自動駕駛汽車）不在 PSTI 法案的適用范圍內。

三個關鍵方面需要合規(guī)：

有關支持期限的明確信息，準確表明制造商將在多長時間內繼續(xù)提供更新。

不允許使用默認密碼，這意味著用戶需要在首次使用時被提供唯一的產(chǎn)品密碼，隨后密碼需要更改。

有關任何發(fā)現(xiàn)漏洞的人可以從哪個途徑通知制造商以及制造商向客戶告知漏洞并及時提供修正版的信息。

歐盟 NIS2 指令為基本實體闡明了新標準

1月，《網(wǎng)絡和信息安全指令》（NIS2）在歐盟生效，引入了適用于關鍵基礎設施的新監(jiān)管條例。根據(jù)NIS2，被歸類為能源、交通運輸和醫(yī)療保健供應商等“基本實體”的組織將受到最嚴格的要求和最全面的監(jiān)管，包括（可能）現(xiàn)場檢查和針對性的獨立安全審計。NIS2 取代了2018年在歐盟生效的NIS指令，歐盟國家必須在2024年10月之前滿足更新后的規(guī)則。

鑒于NIS2帶來了變化，歐盟監(jiān)管機構認識到針對關鍵基礎設施及其第三方網(wǎng)絡的網(wǎng)絡攻擊風險越來越大。Sectigo首席體驗官Tim Callan表示：“值得注意的是，修訂后的立法涵蓋了更廣泛的組織和企業(yè)，規(guī)定了在網(wǎng)絡攻擊發(fā)生后24小時內及時通知相關當局的強制性義務，并設定了這些實體要遵守的最低基本安全標準。”

北約與歐盟成立關鍵基礎設施彈性特別工作組

今年1月，北約和歐盟同意成立一個彈性和關鍵基礎設施保護特別工作組。在俄羅斯總統(tǒng)普京將能源變成武器和破壞北溪輸油管道之后，北約和歐盟表示，特別工作組的重點是確保關鍵基礎設施、技術和供應鏈遭到潛在威脅后更具彈性，并采取行動以修復漏洞。

2月，北約和歐盟的高級官員舉行會晤，正式成立了北約-歐盟關鍵基礎設施彈性特別工作組。該舉措將雙方的官員聚集在一起，共享最佳實踐和態(tài)勢感知，并且制定提高彈性的原則。該特別工作組首先關注四個行業(yè)領域：能源、交通運輸、數(shù)字基礎設施和空間。

2022年12月，北約試驗了AI保護關鍵基礎設施的能力，結果表明AI可以顯著幫助識別關鍵基礎設施網(wǎng)絡攻擊模式/網(wǎng)絡活動，并檢測惡意軟件，從而改進防御性響應方面的決策。

國際特別工作組打擊勒索軟件國家安全威脅

1月，全球36國政府和歐盟共同成立了國際反勒索軟件特別工作組，以打擊對國家安全構成威脅的勒索軟件攻擊，尤其是那些影響CNI行業(yè)領域企業(yè)的攻擊。在澳大利亞政府的領導下，該聯(lián)盟旨在通過信息和情報交流、共享最佳實踐政策和法律權威框架以及執(zhí)法部門與網(wǎng)絡監(jiān)管當局之間的協(xié)作，實現(xiàn)可持續(xù)、有影響力的國際合作，旨在破壞、打擊和防御日益增加的勒索軟件威脅。

托管檢測和響應提供商Ontinue的安全運營副總裁Craig Jones表示，與其他行業(yè)舉措相比，國際反勒索軟件特別工作組具有立竿見影的巨大潛力。這是由于其從全球層面關注勒索軟件，勒索軟件對企業(yè)和整個基礎設施而言是最可怕的全球威脅。

SANS Institute發(fā)布《ICS網(wǎng)絡安全現(xiàn)場手冊》第2卷和第3卷

SANS Institute發(fā)布了兩卷新的《工業(yè)控制系統(tǒng)（ICS）網(wǎng)絡安全現(xiàn)場手冊》，為ICS網(wǎng)絡安全專業(yè)人員和風險管理人員提供了新渠道，以便了解事件響應、漏洞管理、防御者技能組合、團隊管理以及防御系統(tǒng)的安全工具/協(xié)議。第2卷已在1月出版，第3卷已在5月出版。

Dean Parsons是一名ICS專家、現(xiàn)場手冊編寫者兼認證SANS講師，他說：“《SANS ICS網(wǎng)絡安全現(xiàn)場手冊》系列是所有ICS安全專業(yè)人員的必備工具，它應該擺放在全球所有工業(yè)控制系統(tǒng)行業(yè)領域的每個控制系統(tǒng)操作員、關鍵基礎設施網(wǎng)絡防御者和ICS/OT風險經(jīng)理的案頭上?！?/span>

CISA更新跨行業(yè)部門的網(wǎng)絡安全績效目標

3月，美國網(wǎng)絡安全和基礎設施安全局（CISA）更新了其《跨行業(yè)部門的網(wǎng)絡安全績效目標（CPG）》，以幫助為關鍵基礎設施建立一套通用的基本網(wǎng)絡安全實踐。CPG是一套優(yōu)先考慮的IT和OT網(wǎng)絡安全實踐，關鍵基礎設施的所有者和運營者可以實施這些實踐，以大幅降低已知風險和攻擊技術的可能性和影響。

版本1.0.1對CPG進行了重新排序和編號，以便與NIST網(wǎng)絡安全框架更緊密地保持一致。更新版加入了與防止網(wǎng)絡釣魚的多因素身份驗證（MFA）和事件恢復規(guī)劃相關的新指南。

多家網(wǎng)絡安全公司設立精英網(wǎng)絡防御者計劃

4月，全球網(wǎng)絡安全公司埃森哲、IBM和Mandiant加入了精英網(wǎng)絡防御者計劃，由Nozomi Networks牽頭的這項新的協(xié)作計劃旨在幫助保護關鍵基礎設施。該計劃旨在讓全球工業(yè)和政府客戶可以享用強大的網(wǎng)絡安全防御工具、事件響應團隊和威脅情報。

該計劃的每個參與者都將為共同客戶提供定制設計的事件響應和評估計劃，同時承諾與Nozomi Networks Labs在共享威脅情報和聯(lián)合安全研究方面展開合作，致力于識別威脅分子使用的新穎惡意軟件和新型策略、技術和程序（TTP）。

OT 巨頭合作開發(fā)ETHOS 早期威脅和攻擊警告系統(tǒng)

4月，一群通常相互競爭的OT安全公司宣布，它們將捐棄前嫌，合作開發(fā)一種新的供應商中立的開源匿名OT威脅警告系統(tǒng)：ETHOS（新興威脅開放共享）。

作為一家非營利組織，ETHOS旨在共享有關早期威脅指標的數(shù)據(jù)，并發(fā)現(xiàn)對運行基本服務（包括電力、水、石油天然氣生產(chǎn)以及制造系統(tǒng)）的工業(yè)組織構成威脅的新型攻擊。它已經(jīng)獲得了美國CISA的認可，這可能會給該倡議帶來更大的吸引力。所有組織（包括公共和私人資產(chǎn)所有者）都可以無償為ETHOS做貢獻，創(chuàng)始人設想它能夠像開源軟件Linux那樣發(fā)展壯大。

ETHOS社區(qū)和理事會成員包括一些頭部OT安全公司：1898 & Co.、ABS Group、Claroty、Dragos、Forescout、NetRise、Network Perception、Nozomi Networks、Schneider Electric、Tenable 和Waterfall Security。

Tenable的OT和物聯(lián)網(wǎng)代理首席技術官Marty Edwards說：“這是社區(qū)的一項努力，我們希望我們能夠找到一家技術中立的第三方來支撐ETHOS，無論這是政府實體、信息共享及分析中心，還是坦率地說我們想在這家非營利組織之下自行設立的實體。”

英國NCSC宣布基于原則的保證框架

4月，英國NCSC宣布設立基于原則的保證（PBA）框架，以衡量和認證產(chǎn)品和系統(tǒng)的網(wǎng)絡彈性：如果這些產(chǎn)品和系統(tǒng)遭到破壞，可能會對人們的生活造成重大影響。這包括CNI，由于攻擊者擁有發(fā)動針對性攻擊所需的資源、技能和時間，CNI面臨重大的網(wǎng)絡威脅。

PBA將包括三層：第一層即基礎層是基于風險的理念，而不是基于合規(guī)驅動的方法；第二階段是開發(fā)一種可以遵循的一致方法，以及要使用的文檔和模板；最后階段是供應商和買家如何以一致可信的方式將該方法作為市場中的一項服務進行部署和訪問。

NCSC將在第一時間公布PBA方法，以便人們可以開始使用它。服務層方面的工作正在進行中，以設計一種通過行業(yè)合作伙伴擴展PBA 理念和方法的方式。到明年，NCSC計劃建立一個由獲得批準的網(wǎng)絡彈性測試設施組成的雛形網(wǎng)絡。

英國發(fā)布安全聯(lián)網(wǎng)場所網(wǎng)絡安全手冊

5月，英國政府發(fā)布了《安全聯(lián)網(wǎng)場所：網(wǎng)絡安全手冊》的alpha版本，以支持地方當局提高其聯(lián)網(wǎng)場所的安全性，包括關鍵基礎設施和公用事業(yè)系統(tǒng)（比如可減輕電網(wǎng)壓力的智慧能源系統(tǒng)）。這份手冊是與六個地方當局共同設計制定的，牽涉多方網(wǎng)絡安全資源，涵蓋的主題包括治理、采購和供應鏈管理，以及如何進行良好的威脅分析。

手冊顯示，聯(lián)網(wǎng)場所為地方當局提供了改善公民生活質量的機會。然而，如果必要的保護沒有實施到位，運營聯(lián)網(wǎng)場所需要的技術具有的多樣性和關聯(lián)性也使它們很容易受到網(wǎng)絡攻擊。這些攻擊可能導致聲譽受損、敏感數(shù)據(jù)丟失以及居民依賴的物理基礎設施遭到破壞。

聲明：以上內容由匡安網(wǎng)絡整理編輯，部分圖文來源于互聯(lián)網(wǎng)及公眾平臺，如有侵犯版權請告知，我們將及時刪除！