近日,美國網絡安全和基礎設施安全局(CISA)發(fā)布了一份新報告,概述了所有關鍵基礎設施部門的基準網絡安全性能目標(CPG)��。該文件是由拜登總統(tǒng)在2021年7月簽署的安全備忘錄而來�����。已成為CISA和國家標準與技術研究所(NIST)為關鍵基礎設施創(chuàng)建基本的網絡安全實踐��,主要是為了幫助中小型企業(yè)(SMEs)改善其網絡安全工作���。
CPG旨在成為:
一套廣泛適用于關鍵基礎設施的網絡安全做法的基線���,具有已知的降低風險的價值。
關鍵基礎設施運營商衡量和提高其網絡安全成熟度的基準��。
為IT和OT所有者推薦的實踐組合�����,包括一套優(yōu)先的安全實踐����。
與其他控制框架不同的是,它們不僅考慮了解決單個實體風險的做法�����,而且還考慮了國家的總體風險。
CISA指出:"CPG是IT和操作技術(OT)網絡安全實踐的一個優(yōu)先子集�����,關鍵基礎設施的所有者和經營者可以實施��,以有意義地減少已知風險和對手技術的可能性和影響�。這些目標是根據現(xiàn)有的網絡安全框架和指南制定的��。它們還依賴于CISA及其合作伙伴觀察到的現(xiàn)實世界的威脅和對手的戰(zhàn)術����、技術和程序(TTPs)。
通過實施這些目標����,業(yè)主和運營商將不僅減少對關鍵基礎設施運營的風險,而且也減少對美國人民的風險����。
CISA計劃每6到12個月進行目標更新
Hexagon公司網絡生態(tài)系統(tǒng)的全球總監(jiān)Edward Liebig指出:"隨著技術的發(fā)展,風險����、TTP和范圍自然會改變����。這一點���,再加上工業(yè)革命4.0的演變�,將使建議和結果適當變形����。”
在他看來CISA與監(jiān)管機構一起起草具體部門目標的計劃����,如果沒有行業(yè)垂直運營商的密切參與,隨著時間的推移����,可能會變得難以維持。應該共同努力���,建立并鼓勵參與特定行業(yè)的信息共享和分析中心(ISAC)����,如電力信息共享和分析中心(E-ISAC),因為供應商之間的合作將進一步解決OT安全中的問題����。”
據悉��,在Cyble研究人員發(fā)現(xiàn)超過8000個暴露的虛擬網絡計算(VNC)實例����,可能導致對關鍵基礎設施組織的遠程妥協(xié)攻擊后的幾個月,CISA報告出臺���。
