近日,美国网络安全和基础设施安全局(CISA)发布了一份新报告,概述了所有关键基础设施部门的基准网络安全性能目标(CPG)。该文件是由拜登总统在2021年7月签署的安全备忘录而来。已成为CISA和国家标准与技术研究所(NIST)为关键基础设施创建基本的网络安全实践,主要是为了帮助中小型企业(SMEs)改善其网络安全工作。
(资料图)
CPG旨在成为:
一套广泛适用于关键基础设施的网络安全做法的基线,具有已知的降低风险的价值。
关键基础设施运营商衡量和提高其网络安全成熟度的基准。
为IT和OT所有者推荐的实践组合,包括一套优先的安全实践。
与其他控制框架不同的是,它们不仅考虑了解决单个实体风险的做法,而且还考虑了国家的总体风险。
CISA指出:"CPG是IT和操作技术(OT)网络安全实践的一个优先子集,关键基础设施的所有者和经营者可以实施,以有意义地减少已知风险和对手技术的可能性和影响。这些目标是根据现有的网络安全框架和指南制定的。它们还依赖于CISA及其合作伙伴观察到的现实世界的威胁和对手的战术、技术和程序(TTPs)。
通过实施这些目标,业主和运营商将不仅减少对关键基础设施运营的风险,而且也减少对美国人民的风险。
CISA计划每6到12个月进行目标更新
Hexagon公司网络生态系统的全球总监Edward Liebig指出:"随着技术的发展,风险、TTP和范围自然会改变。这一点,再加上工业革命4.0的演变,将使建议和结果适当变形。”
在他看来CISA与监管机构一起起草具体部门目标的计划,如果没有行业垂直运营商的密切参与,随着时间的推移,可能会变得难以维持。应该共同努力,建立并鼓励参与特定行业的信息共享和分析中心(ISAC),如电力信息共享和分析中心(E-ISAC),因为供应商之间的合作将进一步解决OT安全中的问题。”
据悉,在Cyble研究人员发现超过8000个暴露的虚拟网络计算(VNC)实例,可能导致对关键基础设施组织的远程妥协攻击后的几个月,CISA报告出台。