美國國土安全部通過網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)制定并發(fā)布了關(guān)鍵基礎(chǔ)設(shè)施的新網(wǎng)絡(luò)安全性能目標(biāo)。關(guān)鍵基礎(chǔ)設(shè)施面臨的網(wǎng)絡(luò)威脅正在上升，這些新目標(biāo)旨在為利益相關(guān)者提供降低網(wǎng)絡(luò)風(fēng)險(xiǎn)所需的基礎(chǔ)。

關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)威脅

FBI 的互聯(lián)網(wǎng)犯罪投訴中心 (IC3) 報(bào)告了 2021 年針對(duì)關(guān)鍵基礎(chǔ)設(shè)施勒索軟件攻擊的 649 起投訴，預(yù)計(jì)今年勒索軟件受害人數(shù)將增加。

關(guān)鍵基礎(chǔ)設(shè)施部門，如醫(yī)療保健、食品、能源和交通運(yùn)輸，對(duì)經(jīng)濟(jì)和國家安全至關(guān)重要。勒索軟件攻擊的財(cái)務(wù)后果可能很嚴(yán)重。

“鑒于運(yùn)營關(guān)鍵基礎(chǔ)設(shè)施的行業(yè)受到高度監(jiān)管，因訴訟監(jiān)管處罰、生產(chǎn)力損失以及勒索軟件攻擊導(dǎo)致的恢復(fù)成本而造成財(cái)務(wù)損失的風(fēng)險(xiǎn)非常高，”合伙人 Dan Pepper 說在全球律師事務(wù)所 Norton Rose Fulbright。

除了嚴(yán)重的財(cái)務(wù)后果外，對(duì)關(guān)鍵基礎(chǔ)設(shè)施提供商的網(wǎng)絡(luò)攻擊還可能導(dǎo)致生命損失。

“各種規(guī)模的關(guān)鍵基礎(chǔ)設(shè)施所有者和運(yùn)營商對(duì)于包括民族國家在內(nèi)的威脅行為者來說都是特別有吸引力的目標(biāo)，因?yàn)樗鼈儗?duì)生命和重要服務(wù)具有潛在的高可見性影響（無論是真實(shí)的還是感知的），”公共事務(wù)高級(jí)主管 Katherine Ledesma 解釋說網(wǎng)絡(luò)安全評(píng)級(jí)公司 SecurityScorecard 的政策和政府事務(wù)，前 CISA 高級(jí)顧問。

供應(yīng)鏈日益互聯(lián)的性質(zhì)和云的快速采用擴(kuò)大了關(guān)鍵基礎(chǔ)設(shè)施組織的攻擊面，這些組織并不總是有足夠的資源來充分理解和防御他們面臨的網(wǎng)絡(luò)威脅。

“缺乏身份情報(bào)和對(duì)新興網(wǎng)絡(luò)威脅的可見性是當(dāng)今關(guān)鍵基礎(chǔ)設(shè)施部門面臨的最大挑戰(zhàn)，”網(wǎng)絡(luò)安全公司 SpyCloud 的聯(lián)邦業(yè)務(wù)主管 Joel Bagnal 說。

CISA 的網(wǎng)絡(luò)安全績(jī)效目標(biāo)

CISA 與公共和私營部門的數(shù)百個(gè)合作伙伴合作制定網(wǎng)絡(luò)安全績(jī)效目標(biāo)或 CPG，以應(yīng)對(duì)關(guān)鍵基礎(chǔ)設(shè)施面臨的關(guān)鍵挑戰(zhàn)，包括缺乏基本的安全保護(hù)、中小型組織資源有限、缺乏一致的標(biāo)準(zhǔn)和資源不足的運(yùn)營技術(shù) (OT) 網(wǎng)絡(luò)安全。

“目標(biāo)的范圍很大程度上取決于 CISA 和利益相關(guān)者在與關(guān)鍵基礎(chǔ)設(shè)施的接觸中始終看到的運(yùn)營現(xiàn)實(shí)，”CISA 網(wǎng)絡(luò)安全執(zhí)行助理總監(jiān) Eric Goldstein 說。

目標(biāo)分為八大類：

• 賬戶安全
• 設(shè)備安全
• 數(shù)據(jù)安全
• 治理和培訓(xùn)
• 漏洞管理
• 供應(yīng)鏈/第三方
• 響應(yīng)和恢復(fù)
• 其他（網(wǎng)絡(luò)分段、檢測(cè)相關(guān)威脅和 TTP 以及電子郵件安全）

“CPG 是根據(jù)三個(gè)標(biāo)準(zhǔn)確定的：(1) 顯著和直接降低由普遍觀察到的跨部門威脅和對(duì)手 TTP 造成的風(fēng)險(xiǎn)或影響；(2) 清晰、可操作且易于定義；(3) 即使是中小型實(shí)體也能成功實(shí)施相當(dāng)簡(jiǎn)單且成本不高，”Goldstein 闡述道。

CPG 與 NIST 網(wǎng)絡(luò)安全框架相一致，旨在成為關(guān)鍵基礎(chǔ)設(shè)施組織加強(qiáng)網(wǎng)絡(luò)安全的起點(diǎn)，即使它們是從零開始。“如果一個(gè)組織從零開始，我建議根據(jù)已知的網(wǎng)絡(luò)安全漏洞對(duì) CPG 進(jìn)行優(yōu)先級(jí)排序，然后對(duì)高優(yōu)先級(jí) CPG 采用爬行、步行、運(yùn)行的方法，以取得漸進(jìn)式進(jìn)展，”聯(lián)合創(chuàng)始人兼聯(lián)合創(chuàng)始人 Robin Berthier 說。網(wǎng)絡(luò)安全審計(jì)和合規(guī)解決方案 Network Perception 的首席執(zhí)行官。

CPG 的實(shí)施需要關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)導(dǎo)層的支持。IT 高級(jí)副總裁 Kelly Rozumalski 說：“理想情況下，特定行業(yè)的績(jī)效目標(biāo)將使安全領(lǐng)導(dǎo)者能夠在他們的風(fēng)險(xiǎn)管理方法中衡量他們當(dāng)前的網(wǎng)絡(luò)安全狀況并量化他們想要改進(jìn)多少以及改進(jìn)的成本是多少。”咨詢公司 Booz Allen Hamilton。

為關(guān)鍵基礎(chǔ)設(shè)施實(shí)現(xiàn) CISA 的 CPG 還需要公共部門和私營部門之間的持續(xù)協(xié)調(diào)。“這些目標(biāo)應(yīng)該成為加強(qiáng)公共和私營部門關(guān)系并幫助所有利益相關(guān)者保持一致的催化劑。例如，網(wǎng)絡(luò)安全供應(yīng)商可以將 CPG 作為其報(bào)告包的一部分進(jìn)行整合，以幫助組織確定優(yōu)先級(jí)并實(shí)現(xiàn)其高優(yōu)先級(jí)目標(biāo)，”Berthier 說。

如果 CPG 要成功，它們需要是可衡量的。Goldstein 表示，CISA 計(jì)劃利用公共和私營部門的關(guān)系，包括與部門風(fēng)險(xiǎn)管理機(jī)構(gòu)的合作，幫助關(guān)鍵基礎(chǔ)設(shè)施組織衡量其對(duì) CPG 的使用和安全結(jié)果。

Ledesma 指出：“重要的是要展示網(wǎng)絡(luò)安全投資和實(shí)施滿足 CPG 的建議如何有效地提高了關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)。”

目標(biāo)（如網(wǎng)絡(luò)威脅）不會(huì)保持不變。CISA 計(jì)劃構(gòu)建特定行業(yè)的 CPG，并每 6 到 12 個(gè)月更新一次 CPG。

Pepper 預(yù)計(jì)隨著 CGP 的發(fā)展，將更加關(guān)注監(jiān)督控制和數(shù)據(jù)采集程序開發(fā)、業(yè)務(wù)連續(xù)性和恢復(fù)計(jì)劃。Bagnal 希望看到未來的目標(biāo)解決“......身份智能和基礎(chǔ)設(shè)施之間的交叉點(diǎn)，以提高 IT 基礎(chǔ)設(shè)施和受損 OT 設(shè)備之間的可見性。”

CISA 建立了一個(gè)GitHub 討論頁面，用于提供反饋和新的 CPG 想法。