近年來,遠(yuǎn)程工作和混合工作實(shí)踐的廣泛采用為各行業(yè)組織帶來了許多好處����,同時也帶來了新的網(wǎng)絡(luò)威脅�����,特別是在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域����。
這些威脅不僅擴(kuò)展到IT網(wǎng)絡(luò)�,還擴(kuò)展到運(yùn)營技術(shù)(OT)和網(wǎng)絡(luò)物理系統(tǒng),這些系統(tǒng)可以直接影響關(guān)鍵的物理過程�。
(資料圖片僅供參考)
最近,美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局(CISA)更新了網(wǎng)絡(luò)安全績效目標(biāo)(CPG)�,以與美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全框架保持一致,將五個CPG目標(biāo)中的每一個目標(biāo)都建立為IT和OT網(wǎng)絡(luò)安全實(shí)踐的優(yōu)先子集�。
本文將更詳細(xì)地介紹美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局(CISA)改進(jìn)后的網(wǎng)絡(luò)安全績效目標(biāo)(CPG),并討論可用于幫助企業(yè)實(shí)現(xiàn)這些關(guān)鍵目標(biāo)的潛在解決方案�。
CPG 1.0 識別:找出OT環(huán)境中的漏洞
美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的第一個CPG目標(biāo)是“識別”,其中包括識別IT和OT資產(chǎn)清單中的漏洞�,建立供應(yīng)鏈?zhǔn)录蟾婧吐┒磁队?jì)劃,驗(yàn)證第三方安全控制在IT和OT網(wǎng)絡(luò)中的有效性��,設(shè)立OT安全領(lǐng)導(dǎo)層��,以及減輕已知漏洞��。關(guān)鍵基礎(chǔ)設(shè)施組織必須專門解決所有這些子類別��,以實(shí)現(xiàn)第一個CPG目標(biāo)���。
處理這些事項(xiàng)需要持續(xù)的努力��。首先�����,企業(yè)必須通過在兩個部門的安全團(tuán)隊(duì)之間培養(yǎng)更有效的協(xié)作來加強(qiáng)他們的IT和OT關(guān)系���。最重要的是,IT和OT團(tuán)隊(duì)必須齊心協(xié)力���,了解每種環(huán)境的潛在網(wǎng)絡(luò)威脅和風(fēng)險�����,以及它如何影響對方�����。為了實(shí)現(xiàn)第一個CPG目標(biāo)�,至關(guān)重要的是,這些部門不能孤立運(yùn)營�����,而是要經(jīng)常協(xié)作和溝通���。
與此同時��,企業(yè)必須通過明確確定負(fù)責(zé)OT特定網(wǎng)絡(luò)安全的特定領(lǐng)導(dǎo)者來主導(dǎo)OT�。在這一基礎(chǔ)上�,企業(yè)必須創(chuàng)建資產(chǎn)清單或術(shù)語表,以清楚地標(biāo)識和跟蹤整個生態(tài)系統(tǒng)中的所有OT和IT資產(chǎn)�����。這些資產(chǎn)應(yīng)該根據(jù)其漏洞管理程序進(jìn)行定期審計(jì)�。擁有一個開放的、公開的��、易于訪問的溝通渠道也是非常重要的�����,在這個渠道中,供應(yīng)商��、第三方或員工可以披露與OT和IT資產(chǎn)相關(guān)的任何潛在漏洞�。
CPG 2.0 保護(hù):保護(hù)對OT資產(chǎn)的特權(quán)訪問
美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的第二個CPG目標(biāo)是“保護(hù)”���,強(qiáng)調(diào)OT資產(chǎn)的賬戶安全方面�。為了實(shí)現(xiàn)這一目標(biāo)�,關(guān)鍵基礎(chǔ)設(shè)施組織需要加強(qiáng)其密碼策略,更改跨OT遠(yuǎn)程訪問系統(tǒng)的默認(rèn)憑據(jù)����,應(yīng)用網(wǎng)絡(luò)分段來隔離OT和IT網(wǎng)絡(luò),并將普通用戶和特權(quán)帳戶分開�����。
對于大多數(shù)企業(yè)來說����,解決帳戶安全的所有這些方面可能是一件麻煩的事情,但是他們可以求助于統(tǒng)一的安全遠(yuǎn)程訪問(SRA)解決方案�����,該解決方案可以通過實(shí)施多因素身份驗(yàn)證(MFA)、最小特權(quán)策略和基于角色的訪問�����,將多個帳戶級安全控制擴(kuò)展到OT遠(yuǎn)程用戶���。此類解決方案還可以支持高級憑據(jù)策略���,以進(jìn)一步降低未經(jīng)授權(quán)訪問和拒絕服務(wù)攻擊的風(fēng)險。
同樣重要的是���,企業(yè)只能利用基于零信任策略的安全遠(yuǎn)程訪問(SRA)解決方案�。這將有助于企業(yè)建立有效的網(wǎng)絡(luò)分段���,消除對OT資產(chǎn)的直接�����、不受約束的遠(yuǎn)程連接�,并在所有遠(yuǎn)程OT連接期間持續(xù)監(jiān)控人員活動��。
CPG 3.0 檢測:意識到OT環(huán)境中的關(guān)鍵威脅和潛在攻擊向量
美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的第三個CPG目標(biāo)強(qiáng)調(diào)相關(guān)威脅的檢測和潛在攻擊媒介和TTP(戰(zhàn)術(shù)�、技術(shù)和程序)的知識的重要性�,這些攻擊媒介和TTP可能危及OT安全性并可能破壞關(guān)鍵服務(wù)��。
檢測OT資產(chǎn)和網(wǎng)絡(luò)中的相關(guān)威脅和TTP需要一種結(jié)合高級監(jiān)控和分析的主動方法��。實(shí)時監(jiān)控解決方案應(yīng)與全面的網(wǎng)絡(luò)可見性相輔相成����,能夠快速檢測異常模式���。
OT環(huán)境中威脅檢測和滿足CPG目標(biāo)要求的一個關(guān)鍵方面是各利益相關(guān)者之間的信息共享和協(xié)作����。威脅情報平臺在收集和傳播有關(guān)當(dāng)前和新出現(xiàn)的威脅的信息方面發(fā)揮著至關(guān)重要的作用��。通過利用這些有價值的數(shù)據(jù)����,企業(yè)可以預(yù)知潛在的風(fēng)險,微調(diào)他們的防御��,并確保他們的OT資產(chǎn)的安全性����。此外���,定期進(jìn)行安全評估、滲透測試和漏洞掃描將有助于發(fā)現(xiàn)基礎(chǔ)設(shè)施中的任何弱點(diǎn)�����,從而及時進(jìn)行補(bǔ)救���,提高抵御網(wǎng)絡(luò)攻擊的能力����。
CPG 4.0和CPG 5.0:響應(yīng)和恢復(fù)
美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的最后兩個CPG目標(biāo)強(qiáng)調(diào)了事件報告和計(jì)劃的重要性��。無論企業(yè)的OT安全實(shí)踐有多強(qiáng)大�,在當(dāng)今互聯(lián)和日益遠(yuǎn)程的網(wǎng)絡(luò)時代,網(wǎng)絡(luò)威脅幾乎是不可避免的���。因此��,雖然主動的安全解決方案是必要的��,但網(wǎng)絡(luò)攻擊仍然是不可避免的��,特別是在關(guān)鍵基礎(chǔ)設(shè)施等高度針對性的領(lǐng)域���。
因此���,美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局強(qiáng)調(diào)企業(yè)必須有一個全面的計(jì)劃和流程來報告安全事件,并在違規(guī)時有效地恢復(fù)受影響的系統(tǒng)或服務(wù)�����。
高級安全遠(yuǎn)程訪問(SRA)解決方案可以通過自動記錄用戶活動和資產(chǎn)相關(guān)數(shù)據(jù)���,以及創(chuàng)建關(guān)鍵數(shù)據(jù)的自動備份,幫助企業(yè)實(shí)現(xiàn)這些目標(biāo)��。更具體地說�����,它們可以記錄所有用戶會話�,加密所有與用戶和資產(chǎn)相關(guān)的數(shù)據(jù),并保留OT遠(yuǎn)程用戶活動的日志��。這些措施有助于確保關(guān)鍵信息的存儲符合所有相關(guān)的法規(guī)要求以及備份和恢復(fù)需求�。
結(jié)論
總的來說,老化的OT資產(chǎn)和孤立的OT和IT網(wǎng)絡(luò)的脆弱性對關(guān)鍵基礎(chǔ)設(shè)施實(shí)體造成了重大威脅���,遠(yuǎn)程訪問的普及進(jìn)一步加劇了這種威脅����。
美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局在CPG內(nèi)的OT特定目標(biāo)和行動為關(guān)鍵基礎(chǔ)設(shè)施(CNI)組織提供了一套急需的指導(dǎo)方針,以加強(qiáng)其安全態(tài)勢并提高網(wǎng)絡(luò)彈性�。通過遵循美國網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的建議并采用創(chuàng)新的安全技術(shù),企業(yè)可以將網(wǎng)絡(luò)攻擊影響物理世界和公共安全的風(fēng)險降至最低����。
