信息化觀察網(wǎng)

本文來自微信公眾號“嘶吼專業(yè)版”，作者/布加迪。

關(guān)鍵基礎(chǔ)設(shè)施的安全已成為2023年的重要議程，網(wǎng)絡(luò)攻擊及其他風(fēng)險對能源、食品、電力和醫(yī)療保健等基本服務(wù)所依賴的技術(shù)和系統(tǒng)構(gòu)成了持續(xù)性威脅。

網(wǎng)絡(luò)安全服務(wù)公司Bridewell的研究報告評估了英美關(guān)鍵國家基礎(chǔ)設(shè)施（CNI）的現(xiàn)狀，并警告稱全球經(jīng)濟(jì)衰退、地緣政治緊張局勢、政府撐腰的威脅分子和勒索軟件在共同加大CNI領(lǐng)域的組織和供應(yīng)商面臨的威脅。

今年4月，對VoIP公司3CX實(shí)施嚴(yán)重供應(yīng)鏈攻擊的黑客組織還闖入了能源領(lǐng)域的兩家關(guān)鍵基礎(chǔ)設(shè)施組織，一家位于美國，另一家位于歐洲。與此同時，英國國家網(wǎng)絡(luò)安全中心（NCSC）發(fā)布了關(guān)于一類新的俄羅斯網(wǎng)絡(luò)攻擊者威脅英國關(guān)鍵基礎(chǔ)設(shè)施的警報。3月，在食品供應(yīng)商、醫(yī)院和學(xué)校等CNI服務(wù)遭到一系列攻擊之后，美國白宮的國家網(wǎng)絡(luò)安全戰(zhàn)略將勒索軟件重新歸類為一級國家安全威脅。

相應(yīng)之下，今年已出臺了多項(xiàng)舉措、計劃、指南和標(biāo)準(zhǔn)，以加強(qiáng)關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全，并應(yīng)對威脅CNI的日益加大的風(fēng)險。供應(yīng)商、政府、行業(yè)機(jī)構(gòu)和非營利組織都貢獻(xiàn)了力量，而信息共享和協(xié)作是提升CNI領(lǐng)域網(wǎng)絡(luò)彈性的許多工作的一大主題。以下是今年迄今為止10個值得關(guān)注的舉措：

英國出臺《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》

2022年12月，《產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案》（PSTI）正式成為英國法律，組織獲得了2023年寬限期，以確保遵守新法規(guī)。該法案針對聯(lián)網(wǎng)產(chǎn)品、能夠連接到此類產(chǎn)品的產(chǎn)品以有電子通信基礎(chǔ)設(shè)施的安全性列出了條款。現(xiàn)有立法涵蓋的產(chǎn)品（包括醫(yī)療保健監(jiān)控產(chǎn)品和智能水電表）或者有一天可能迎來相應(yīng)法案的復(fù)雜產(chǎn)品（比如自動駕駛汽車）不在PSTI法案的適用范圍內(nèi)。

三個關(guān)鍵方面需要合規(guī)：

有關(guān)支持期限的明確信息，準(zhǔn)確表明制造商將在多長時間內(nèi)繼續(xù)提供更新。

不允許使用默認(rèn)密碼，這意味著用戶需要在首次使用時被提供唯一的產(chǎn)品密碼，隨后密碼需要更改。

有關(guān)任何發(fā)現(xiàn)漏洞的人可以從哪個途徑通知制造商以及制造商向客戶告知漏洞并及時提供修正版的信息。

歐盟NIS2指令為基本實(shí)體闡明了新標(biāo)準(zhǔn)

1月，《網(wǎng)絡(luò)和信息安全指令》（NIS2）在歐盟生效，引入了適用于關(guān)鍵基礎(chǔ)設(shè)施的新監(jiān)管條例。根據(jù)NIS2，被歸類為能源、交通運(yùn)輸和醫(yī)療保健供應(yīng)商等“基本實(shí)體”的組織將受到最嚴(yán)格的要求和最全面的監(jiān)管，包括（可能）現(xiàn)場檢查和針對性的獨(dú)立安全審計。NIS2取代了2018年在歐盟生效的NIS指令，歐盟國家必須在2024年10月之前滿足更新后的規(guī)則。

鑒于NIS2帶來了變化，歐盟監(jiān)管機(jī)構(gòu)認(rèn)識到針對關(guān)鍵基礎(chǔ)設(shè)施及其第三方網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊風(fēng)險越來越大。Sectigo首席體驗(yàn)官Tim Callan表示：“值得注意的是，修訂后的立法涵蓋了更廣泛的組織和企業(yè)，規(guī)定了在網(wǎng)絡(luò)攻擊發(fā)生后24小時內(nèi)及時通知相關(guān)當(dāng)局的強(qiáng)制性義務(wù)，并設(shè)定了這些實(shí)體要遵守的最低基本安全標(biāo)準(zhǔn)。”

北約與歐盟成立關(guān)鍵基礎(chǔ)設(shè)施彈性特別工作組

今年1月，北約和歐盟同意成立一個彈性和關(guān)鍵基礎(chǔ)設(shè)施保護(hù)特別工作組。在俄羅斯總統(tǒng)普京將能源變成武器和破壞北溪輸油管道之后，北約和歐盟表示，特別工作組的重點(diǎn)是確保關(guān)鍵基礎(chǔ)設(shè)施、技術(shù)和供應(yīng)鏈遭到潛在威脅后更具彈性，并采取行動以修復(fù)漏洞。

2月，北約和歐盟的高級官員舉行會晤，正式成立了北約-歐盟關(guān)鍵基礎(chǔ)設(shè)施彈性特別工作組。該舉措將雙方的官員聚集在一起，共享最佳實(shí)踐和態(tài)勢感知，并且制定提高彈性的原則。該特別工作組首先關(guān)注四個行業(yè)領(lǐng)域：能源、交通運(yùn)輸、數(shù)字基礎(chǔ)設(shè)施和空間。

2022年12月，北約試驗(yàn)了AI保護(hù)關(guān)鍵基礎(chǔ)設(shè)施的能力，結(jié)果表明AI可以顯著幫助識別關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)攻擊模式/網(wǎng)絡(luò)活動，并檢測惡意軟件，從而改進(jìn)防御性響應(yīng)方面的決策。

國際特別工作組打擊勒索軟件國家安全威脅

1月，全球36國政府和歐盟共同成立了國際反勒索軟件特別工作組，以打擊對國家安全構(gòu)成威脅的勒索軟件攻擊，尤其是那些影響CNI行業(yè)領(lǐng)域企業(yè)的攻擊。在澳大利亞政府的領(lǐng)導(dǎo)下，該聯(lián)盟旨在通過信息和情報交流、共享最佳實(shí)踐政策和法律權(quán)威框架以及執(zhí)法部門與網(wǎng)絡(luò)監(jiān)管當(dāng)局之間的協(xié)作，實(shí)現(xiàn)可持續(xù)、有影響力的國際合作，旨在破壞、打擊和防御日益增加的勒索軟件威脅。

托管檢測和響應(yīng)提供商Ontinue的安全運(yùn)營副總裁Craig Jones表示，與其他行業(yè)舉措相比，國際反勒索軟件特別工作組具有立竿見影的巨大潛力。這是由于其從全球?qū)用骊P(guān)注勒索軟件，勒索軟件對企業(yè)和整個基礎(chǔ)設(shè)施而言是最可怕的全球威脅。

SANS Institute發(fā)布《ICS網(wǎng)絡(luò)安全現(xiàn)場手冊》第2卷和第3卷

SANS Institute發(fā)布了兩卷新的《工業(yè)控制系統(tǒng)（ICS）網(wǎng)絡(luò)安全現(xiàn)場手冊》，為ICS網(wǎng)絡(luò)安全專業(yè)人員和風(fēng)險管理人員提供了新渠道，以便了解事件響應(yīng)、漏洞管理、防御者技能組合、團(tuán)隊(duì)管理以及防御系統(tǒng)的安全工具/協(xié)議。第2卷已在1月出版，第3卷已在5月出版。

Dean Parsons是一名ICS專家、現(xiàn)場手冊編寫者兼認(rèn)證SANS講師，他說：“《SANS ICS網(wǎng)絡(luò)安全現(xiàn)場手冊》系列是所有ICS安全專業(yè)人員的必備工具，它應(yīng)該擺放在全球所有工業(yè)控制系統(tǒng)行業(yè)領(lǐng)域的每個控制系統(tǒng)操作員、關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)防御者和ICS/OT風(fēng)險經(jīng)理的案頭上。”

CISA更新跨行業(yè)部門的網(wǎng)絡(luò)安全績效目標(biāo)

3月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）更新了其《跨行業(yè)部門的網(wǎng)絡(luò)安全績效目標(biāo)（CPG）》，以幫助為關(guān)鍵基礎(chǔ)設(shè)施建立一套通用的基本網(wǎng)絡(luò)安全實(shí)踐。CPG是一套優(yōu)先考慮的IT和OT網(wǎng)絡(luò)安全實(shí)踐，關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營者可以實(shí)施這些實(shí)踐，以大幅降低已知風(fēng)險和攻擊技術(shù)的可能性和影響。

版本1.0.1對CPG進(jìn)行了重新排序和編號，以便與NIST網(wǎng)絡(luò)安全框架更緊密地保持一致。更新版加入了與防止網(wǎng)絡(luò)釣魚的多因素身份驗(yàn)證（MFA）和事件恢復(fù)規(guī)劃相關(guān)的新指南。

多家網(wǎng)絡(luò)安全公司設(shè)立精英網(wǎng)絡(luò)防御者計劃

4月，全球網(wǎng)絡(luò)安全公司埃森哲、IBM和Mandiant加入了精英網(wǎng)絡(luò)防御者計劃，由Nozomi Networks牽頭的這項(xiàng)新的協(xié)作計劃旨在幫助保護(hù)關(guān)鍵基礎(chǔ)設(shè)施。該計劃旨在讓全球工業(yè)和政府客戶可以享用強(qiáng)大的網(wǎng)絡(luò)安全防御工具、事件響應(yīng)團(tuán)隊(duì)和威脅情報。

該計劃的每個參與者都將為共同客戶提供定制設(shè)計的事件響應(yīng)和評估計劃，同時承諾與Nozomi Networks Labs在共享威脅情報和聯(lián)合安全研究方面展開合作，致力于識別威脅分子使用的新穎惡意軟件和新型策略、技術(shù)和程序（TTP）。

OT巨頭合作開發(fā)ETHOS早期威脅和攻擊警告系統(tǒng)

4月，一群通常相互競爭的OT安全公司宣布，它們將捐棄前嫌，合作開發(fā)一種新的供應(yīng)商中立的開源匿名OT威脅警告系統(tǒng)：ETHOS（新興威脅開放共享）。

作為一家非營利組織，ETHOS旨在共享有關(guān)早期威脅指標(biāo)的數(shù)據(jù)，并發(fā)現(xiàn)對運(yùn)行基本服務(wù)（包括電力、水、石油天然氣生產(chǎn)以及制造系統(tǒng)）的工業(yè)組織構(gòu)成威脅的新型攻擊。它已經(jīng)獲得了美國CISA的認(rèn)可，這可能會給該倡議帶來更大的吸引力。所有組織（包括公共和私人資產(chǎn)所有者）都可以無償為ETHOS做貢獻(xiàn)，創(chuàng)始人設(shè)想它能夠像開源軟件Linux那樣發(fā)展壯大。

ETHOS社區(qū)和理事會成員包括一些頭部OT安全公司：1898&Co.、ABS Group、Claroty、Dragos、Forescout、NetRise、Network Perception、Nozomi Networks、Schneider Electric、Tenable和Waterfall Security。

Tenable的OT和物聯(lián)網(wǎng)代理首席技術(shù)官M(fèi)arty Edwards說：“這是社區(qū)的一項(xiàng)努力，我們希望我們能夠找到一家技術(shù)中立的第三方來支撐ETHOS，無論這是政府實(shí)體、信息共享及分析中心，還是坦率地說我們想在這家非營利組織之下自行設(shè)立的實(shí)體。”

英國NCSC宣布基于原則的保證框架

4月，英國NCSC宣布設(shè)立基于原則的保證（PBA）框架，以衡量和認(rèn)證產(chǎn)品和系統(tǒng)的網(wǎng)絡(luò)彈性：如果這些產(chǎn)品和系統(tǒng)遭到破壞，可能會對人們的生活造成重大影響。這包括CNI，由于攻擊者擁有發(fā)動針對性攻擊所需的資源、技能和時間，CNI面臨重大的網(wǎng)絡(luò)威脅。

PBA將包括三層：第一層即基礎(chǔ)層是基于風(fēng)險的理念，而不是基于合規(guī)驅(qū)動的方法；第二階段是開發(fā)一種可以遵循的一致方法，以及要使用的文檔和模板；最后階段是供應(yīng)商和買家如何以一致可信的方式將該方法作為市場中的一項(xiàng)服務(wù)進(jìn)行部署和訪問。

NCSC將在第一時間公布PBA方法，以便人們可以開始使用它。服務(wù)層方面的工作正在進(jìn)行中，以設(shè)計一種通過行業(yè)合作伙伴擴(kuò)展PBA理念和方法的方式。到明年，NCSC計劃建立一個由獲得批準(zhǔn)的網(wǎng)絡(luò)彈性測試設(shè)施組成的雛形網(wǎng)絡(luò)。

英國發(fā)布安全聯(lián)網(wǎng)場所網(wǎng)絡(luò)安全手冊

5月，英國政府發(fā)布了《安全聯(lián)網(wǎng)場所：網(wǎng)絡(luò)安全手冊》的alpha版本，以支持地方當(dāng)局提高其聯(lián)網(wǎng)場所的安全性，包括關(guān)鍵基礎(chǔ)設(shè)施和公用事業(yè)系統(tǒng)（比如可減輕電網(wǎng)壓力的智慧能源系統(tǒng)）。這份手冊是與六個地方當(dāng)局共同設(shè)計制定的，牽涉多方網(wǎng)絡(luò)安全資源，涵蓋的主題包括治理、采購和供應(yīng)鏈管理，以及如何進(jìn)行良好的威脅分析。

手冊顯示，聯(lián)網(wǎng)場所為地方當(dāng)局提供了改善公民生活質(zhì)量的機(jī)會。然而，如果必要的保護(hù)沒有實(shí)施到位，運(yùn)營聯(lián)網(wǎng)場所需要的技術(shù)具有的多樣性和關(guān)聯(lián)性也使它們很容易受到網(wǎng)絡(luò)攻擊。這些攻擊可能導(dǎo)致聲譽(yù)受損、敏感數(shù)據(jù)丟失以及居民依賴的物理基礎(chǔ)設(shè)施遭到破壞。