近年來�,遠程工作和混合工作實踐的廣泛采用為各行業(yè)組織帶來了許多好處,同時也帶來了新的網(wǎng)絡(luò)威脅�,特別是在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域����。
這些威脅不僅擴展到IT網(wǎng)絡(luò)���,還擴展到運營技術(shù)(OT)和網(wǎng)絡(luò)物理系統(tǒng)�,這些系統(tǒng)可以直接影響關(guān)鍵的物理過程�����。
(資料圖片僅供參考)
最近,美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局(CISA)更新了網(wǎng)絡(luò)安全績效目標(CPG)����,以與美國國家標準與技術(shù)研究院(NIST)的標準網(wǎng)絡(luò)安全框架保持一致,將五個CPG目標中的每一個目標都建立為IT和OT網(wǎng)絡(luò)安全實踐的優(yōu)先子集�。
本文將更詳細地介紹美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局(CISA)改進后的網(wǎng)絡(luò)安全績效目標(CPG),并討論可用于幫助企業(yè)實現(xiàn)這些關(guān)鍵目標的潛在解決方案�����。
CPG 1.0 識別:找出OT環(huán)境中的漏洞
美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的第一個CPG目標是“識別”����,其中包括識別IT和OT資產(chǎn)清單中的漏洞,建立供應鏈事件報告和漏洞披露計劃�,驗證第三方安全控制在IT和OT網(wǎng)絡(luò)中的有效性,設(shè)立OT安全領(lǐng)導層����,以及減輕已知漏洞。關(guān)鍵基礎(chǔ)設(shè)施組織必須專門解決所有這些子類別����,以實現(xiàn)第一個CPG目標。
處理這些事項需要持續(xù)的努力����。首先�����,企業(yè)必須通過在兩個部門的安全團隊之間培養(yǎng)更有效的協(xié)作來加強他們的IT和OT關(guān)系����。最重要的是�����,IT和OT團隊必須齊心協(xié)力�,了解每種環(huán)境的潛在網(wǎng)絡(luò)威脅和風險�,以及它如何影響對方。為了實現(xiàn)第一個CPG目標��,至關(guān)重要的是�����,這些部門不能孤立運營���,而是要經(jīng)常協(xié)作和溝通���。
與此同時�����,企業(yè)必須通過明確確定負責OT特定網(wǎng)絡(luò)安全的特定領(lǐng)導者來主導OT���。在這一基礎(chǔ)上,企業(yè)必須創(chuàng)建資產(chǎn)清單或術(shù)語表��,以清楚地標識和跟蹤整個生態(tài)系統(tǒng)中的所有OT和IT資產(chǎn)�。這些資產(chǎn)應該根據(jù)其漏洞管理程序進行定期審計。擁有一個開放的����、公開的、易于訪問的溝通渠道也是非常重要的�����,在這個渠道中����,供應商、第三方或員工可以披露與OT和IT資產(chǎn)相關(guān)的任何潛在漏洞。
CPG 2.0 保護:保護對OT資產(chǎn)的特權(quán)訪問
美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的第二個CPG目標是“保護”��,強調(diào)OT資產(chǎn)的賬戶安全方面����。為了實現(xiàn)這一目標,關(guān)鍵基礎(chǔ)設(shè)施組織需要加強其密碼策略��,更改跨OT遠程訪問系統(tǒng)的默認憑據(jù)�,應用網(wǎng)絡(luò)分段來隔離OT和IT網(wǎng)絡(luò),并將普通用戶和特權(quán)帳戶分開�����。
對于大多數(shù)企業(yè)來說����,解決帳戶安全的所有這些方面可能是一件麻煩的事情�����,但是他們可以求助于統(tǒng)一的安全遠程訪問(SRA)解決方案����,該解決方案可以通過實施多因素身份驗證(MFA)、最小特權(quán)策略和基于角色的訪問��,將多個帳戶級安全控制擴展到OT遠程用戶。此類解決方案還可以支持高級憑據(jù)策略�,以進一步降低未經(jīng)授權(quán)訪問和拒絕服務攻擊的風險。
同樣重要的是��,企業(yè)只能利用基于零信任策略的安全遠程訪問(SRA)解決方案���。這將有助于企業(yè)建立有效的網(wǎng)絡(luò)分段����,消除對OT資產(chǎn)的直接�����、不受約束的遠程連接����,并在所有遠程OT連接期間持續(xù)監(jiān)控人員活動。
CPG 3.0 檢測:意識到OT環(huán)境中的關(guān)鍵威脅和潛在攻擊向量
美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的第三個CPG目標強調(diào)相關(guān)威脅的檢測和潛在攻擊媒介和TTP(戰(zhàn)術(shù)���、技術(shù)和程序)的知識的重要性�,這些攻擊媒介和TTP可能危及OT安全性并可能破壞關(guān)鍵服務���。
檢測OT資產(chǎn)和網(wǎng)絡(luò)中的相關(guān)威脅和TTP需要一種結(jié)合高級監(jiān)控和分析的主動方法�����。實時監(jiān)控解決方案應與全面的網(wǎng)絡(luò)可見性相輔相成�,能夠快速檢測異常模式。
OT環(huán)境中威脅檢測和滿足CPG目標要求的一個關(guān)鍵方面是各利益相關(guān)者之間的信息共享和協(xié)作��。威脅情報平臺在收集和傳播有關(guān)當前和新出現(xiàn)的威脅的信息方面發(fā)揮著至關(guān)重要的作用���。通過利用這些有價值的數(shù)據(jù)��,企業(yè)可以預知潛在的風險����,微調(diào)他們的防御�,并確保他們的OT資產(chǎn)的安全性。此外����,定期進行安全評估��、滲透測試和漏洞掃描將有助于發(fā)現(xiàn)基礎(chǔ)設(shè)施中的任何弱點�,從而及時進行補救,提高抵御網(wǎng)絡(luò)攻擊的能力。
CPG 4.0和CPG 5.0:響應和恢復
美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的最后兩個CPG目標強調(diào)了事件報告和計劃的重要性���。無論企業(yè)的OT安全實踐有多強大�����,在當今互聯(lián)和日益遠程的網(wǎng)絡(luò)時代��,網(wǎng)絡(luò)威脅幾乎是不可避免的��。因此���,雖然主動的安全解決方案是必要的,但網(wǎng)絡(luò)攻擊仍然是不可避免的�,特別是在關(guān)鍵基礎(chǔ)設(shè)施等高度針對性的領(lǐng)域。
因此���,美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局強調(diào)企業(yè)必須有一個全面的計劃和流程來報告安全事件���,并在違規(guī)時有效地恢復受影響的系統(tǒng)或服務。
高級安全遠程訪問(SRA)解決方案可以通過自動記錄用戶活動和資產(chǎn)相關(guān)數(shù)據(jù)����,以及創(chuàng)建關(guān)鍵數(shù)據(jù)的自動備份�����,幫助企業(yè)實現(xiàn)這些目標����。更具體地說�����,它們可以記錄所有用戶會話���,加密所有與用戶和資產(chǎn)相關(guān)的數(shù)據(jù)�����,并保留OT遠程用戶活動的日志�����。這些措施有助于確保關(guān)鍵信息的存儲符合所有相關(guān)的法規(guī)要求以及備份和恢復需求���。
結(jié)論
總的來說��,老化的OT資產(chǎn)和孤立的OT和IT網(wǎng)絡(luò)的脆弱性對關(guān)鍵基礎(chǔ)設(shè)施實體造成了重大威脅,遠程訪問的普及進一步加劇了這種威脅���。
美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局在CPG內(nèi)的OT特定目標和行動為關(guān)鍵基礎(chǔ)設(shè)施(CNI)組織提供了一套急需的指導方針���,以加強其安全態(tài)勢并提高網(wǎng)絡(luò)彈性。通過遵循美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的建議并采用創(chuàng)新的安全技術(shù)����,企業(yè)可以將網(wǎng)絡(luò)攻擊影響物理世界和公共安全的風險降至最低。
