近年來(lái)，遠(yuǎn)程工作和混合工作實(shí)踐的廣泛采用為各行業(yè)組織帶來(lái)了許多好處，同時(shí)也帶來(lái)了新的網(wǎng)絡(luò)威脅，特別是在關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。

這些威脅不僅擴(kuò)展到IT網(wǎng)絡(luò)，還擴(kuò)展到運(yùn)營(yíng)技術(shù)(OT)和網(wǎng)絡(luò)物理系統(tǒng)，這些系統(tǒng)可以直接影響關(guān)鍵的物理過(guò)程。

最近，美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局(CISA)更新了網(wǎng)絡(luò)安全績(jī)效目標(biāo)(CPG)，以與美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的標(biāo)準(zhǔn)網(wǎng)絡(luò)安全框架保持一致，將五個(gè)CPG目標(biāo)中的每一個(gè)目標(biāo)都建立為IT和OT網(wǎng)絡(luò)安全實(shí)踐的優(yōu)先子集。

本文將更詳細(xì)地介紹美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局(CISA)改進(jìn)后的網(wǎng)絡(luò)安全績(jī)效目標(biāo)(CPG)，并討論可用于幫助企業(yè)實(shí)現(xiàn)這些關(guān)鍵目標(biāo)的潛在解決方案。

CPG 1.0 識(shí)別：找出OT環(huán)境中的漏洞

美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的第一個(gè)CPG目標(biāo)是“識(shí)別”，其中包括識(shí)別IT和OT資產(chǎn)清單中的漏洞，建立供應(yīng)鏈?zhǔn)录?bào)告和漏洞披露計(jì)劃，驗(yàn)證第三方安全控制在IT和OT網(wǎng)絡(luò)中的有效性，設(shè)立OT安全領(lǐng)導(dǎo)層，以及減輕已知漏洞。關(guān)鍵基礎(chǔ)設(shè)施組織必須專門解決所有這些子類別，以實(shí)現(xiàn)第一個(gè)CPG目標(biāo)。

處理這些事項(xiàng)需要持續(xù)的努力。首先，企業(yè)必須通過(guò)在兩個(gè)部門的安全團(tuán)隊(duì)之間培養(yǎng)更有效的協(xié)作來(lái)加強(qiáng)他們的IT和OT關(guān)系。最重要的是，IT和OT團(tuán)隊(duì)必須齊心協(xié)力，了解每種環(huán)境的潛在網(wǎng)絡(luò)威脅和風(fēng)險(xiǎn)，以及它如何影響對(duì)方。為了實(shí)現(xiàn)第一個(gè)CPG目標(biāo)，至關(guān)重要的是，這些部門不能孤立運(yùn)營(yíng)，而是要經(jīng)常協(xié)作和溝通。

與此同時(shí)，企業(yè)必須通過(guò)明確確定負(fù)責(zé)OT特定網(wǎng)絡(luò)安全的特定領(lǐng)導(dǎo)者來(lái)主導(dǎo)OT。在這一基礎(chǔ)上，企業(yè)必須創(chuàng)建資產(chǎn)清單或術(shù)語(yǔ)表，以清楚地標(biāo)識(shí)和跟蹤整個(gè)生態(tài)系統(tǒng)中的所有OT和IT資產(chǎn)。這些資產(chǎn)應(yīng)該根據(jù)其漏洞管理程序進(jìn)行定期審計(jì)。擁有一個(gè)開放的、公開的、易于訪問(wèn)的溝通渠道也是非常重要的，在這個(gè)渠道中，供應(yīng)商、第三方或員工可以披露與OT和IT資產(chǎn)相關(guān)的任何潛在漏洞。

CPG 2.0 保護(hù)：保護(hù)對(duì)OT資產(chǎn)的特權(quán)訪問(wèn)

美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的第二個(gè)CPG目標(biāo)是“保護(hù)”，強(qiáng)調(diào)OT資產(chǎn)的賬戶安全方面。為了實(shí)現(xiàn)這一目標(biāo)，關(guān)鍵基礎(chǔ)設(shè)施組織需要加強(qiáng)其密碼策略，更改跨OT遠(yuǎn)程訪問(wèn)系統(tǒng)的默認(rèn)憑據(jù)，應(yīng)用網(wǎng)絡(luò)分段來(lái)隔離OT和IT網(wǎng)絡(luò)，并將普通用戶和特權(quán)帳戶分開。

對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，解決帳戶安全的所有這些方面可能是一件麻煩的事情，但是他們可以求助于統(tǒng)一的安全遠(yuǎn)程訪問(wèn)(SRA)解決方案，該解決方案可以通過(guò)實(shí)施多因素身份驗(yàn)證(MFA)、最小特權(quán)策略和基于角色的訪問(wèn)，將多個(gè)帳戶級(jí)安全控制擴(kuò)展到OT遠(yuǎn)程用戶。此類解決方案還可以支持高級(jí)憑據(jù)策略，以進(jìn)一步降低未經(jīng)授權(quán)訪問(wèn)和拒絕服務(wù)攻擊的風(fēng)險(xiǎn)。

同樣重要的是，企業(yè)只能利用基于零信任策略的安全遠(yuǎn)程訪問(wèn)(SRA)解決方案。這將有助于企業(yè)建立有效的網(wǎng)絡(luò)分段，消除對(duì)OT資產(chǎn)的直接、不受約束的遠(yuǎn)程連接，并在所有遠(yuǎn)程OT連接期間持續(xù)監(jiān)控人員活動(dòng)。

CPG 3.0 檢測(cè)：意識(shí)到OT環(huán)境中的關(guān)鍵威脅和潛在攻擊向量

美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的第三個(gè)CPG目標(biāo)強(qiáng)調(diào)相關(guān)威脅的檢測(cè)和潛在攻擊媒介和TTP(戰(zhàn)術(shù)、技術(shù)和程序)的知識(shí)的重要性，這些攻擊媒介和TTP可能危及OT安全性并可能破壞關(guān)鍵服務(wù)。

檢測(cè)OT資產(chǎn)和網(wǎng)絡(luò)中的相關(guān)威脅和TTP需要一種結(jié)合高級(jí)監(jiān)控和分析的主動(dòng)方法。實(shí)時(shí)監(jiān)控解決方案應(yīng)與全面的網(wǎng)絡(luò)可見性相輔相成，能夠快速檢測(cè)異常模式。

OT環(huán)境中威脅檢測(cè)和滿足CPG目標(biāo)要求的一個(gè)關(guān)鍵方面是各利益相關(guān)者之間的信息共享和協(xié)作。威脅情報(bào)平臺(tái)在收集和傳播有關(guān)當(dāng)前和新出現(xiàn)的威脅的信息方面發(fā)揮著至關(guān)重要的作用。通過(guò)利用這些有價(jià)值的數(shù)據(jù)，企業(yè)可以預(yù)知潛在的風(fēng)險(xiǎn)，微調(diào)他們的防御，并確保他們的OT資產(chǎn)的安全性。此外，定期進(jìn)行安全評(píng)估、滲透測(cè)試和漏洞掃描將有助于發(fā)現(xiàn)基礎(chǔ)設(shè)施中的任何弱點(diǎn)，從而及時(shí)進(jìn)行補(bǔ)救，提高抵御網(wǎng)絡(luò)攻擊的能力。

CPG 4.0和CPG 5.0：響應(yīng)和恢復(fù)

美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的最后兩個(gè)CPG目標(biāo)強(qiáng)調(diào)了事件報(bào)告和計(jì)劃的重要性。無(wú)論企業(yè)的OT安全實(shí)踐有多強(qiáng)大，在當(dāng)今互聯(lián)和日益遠(yuǎn)程的網(wǎng)絡(luò)時(shí)代，網(wǎng)絡(luò)威脅幾乎是不可避免的。因此，雖然主動(dòng)的安全解決方案是必要的，但網(wǎng)絡(luò)攻擊仍然是不可避免的，特別是在關(guān)鍵基礎(chǔ)設(shè)施等高度針對(duì)性的領(lǐng)域。

因此，美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局強(qiáng)調(diào)企業(yè)必須有一個(gè)全面的計(jì)劃和流程來(lái)報(bào)告安全事件，并在違規(guī)時(shí)有效地恢復(fù)受影響的系統(tǒng)或服務(wù)。

高級(jí)安全遠(yuǎn)程訪問(wèn)(SRA)解決方案可以通過(guò)自動(dòng)記錄用戶活動(dòng)和資產(chǎn)相關(guān)數(shù)據(jù)，以及創(chuàng)建關(guān)鍵數(shù)據(jù)的自動(dòng)備份，幫助企業(yè)實(shí)現(xiàn)這些目標(biāo)。更具體地說(shuō)，它們可以記錄所有用戶會(huì)話，加密所有與用戶和資產(chǎn)相關(guān)的數(shù)據(jù)，并保留OT遠(yuǎn)程用戶活動(dòng)的日志。這些措施有助于確保關(guān)鍵信息的存儲(chǔ)符合所有相關(guān)的法規(guī)要求以及備份和恢復(fù)需求。

結(jié)論

總的來(lái)說(shuō)，老化的OT資產(chǎn)和孤立的OT和IT網(wǎng)絡(luò)的脆弱性對(duì)關(guān)鍵基礎(chǔ)設(shè)施實(shí)體造成了重大威脅，遠(yuǎn)程訪問(wèn)的普及進(jìn)一步加劇了這種威脅。

美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局在CPG內(nèi)的OT特定目標(biāo)和行動(dòng)為關(guān)鍵基礎(chǔ)設(shè)施(CNI)組織提供了一套急需的指導(dǎo)方針，以加強(qiáng)其安全態(tài)勢(shì)并提高網(wǎng)絡(luò)彈性。通過(guò)遵循美國(guó)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施與安全局的建議并采用創(chuàng)新的安全技術(shù)，企業(yè)可以將網(wǎng)絡(luò)攻擊影響物理世界和公共安全的風(fēng)險(xiǎn)降至最低。