近年来,远程工作和混合工作实践的广泛采用为各行业组织带来了许多好处,同时也带来了新的网络威胁,特别是在关键基础设施领域。
这些威胁不仅扩展到IT网络,还扩展到运营技术(OT)和网络物理系统,这些系统可以直接影响关键的物理过程。
最近,美国网络安全基础设施与安全局(CISA)更新了网络安全绩效目标(CPG),以与美国国家标准与技术研究院(NIST)的标准网络安全框架保持一致,将五个CPG目标中的每一个目标都建立为IT和OT网络安全实践的优先子集。
本文将更详细地介绍美国网络安全基础设施与安全局(CISA)改进后的网络安全绩效目标(CPG),并讨论可用于帮助企业实现这些关键目标的潜在解决方案。
CPG1.0识别:找出OT环境中的漏洞
美国网络安全基础设施与安全局的第一个CPG目标是“识别”,其中包括识别IT和OT资产清单中的漏洞,建立供应链事件报告和漏洞披露计划,验证第三方安全控制在IT和OT网络中的有效性,设立OT安全领导层,以及减轻已知漏洞。关键基础设施组织必须专门解决所有这些子类别,以实现第一个CPG目标。
处理这些事项需要持续的努力。首先,企业必须通过在两个部门的安全团队之间培养更有效的协作来加强他们的IT和OT关系。最重要的是,IT和OT团队必须齐心协力,了解每种环境的潜在网络威胁和风险,以及它如何影响对方。为了实现第一个CPG目标,至关重要的是,这些部门不能孤立运营,而是要经常协作和沟通。
与此同时,企业必须通过明确确定负责OT特定网络安全的特定领导者来主导OT。在这一基础上,企业必须创建资产清单或术语表,以清楚地标识和跟踪整个生态系统中的所有OT和IT资产。这些资产应该根据其漏洞管理程序进行定期审计。拥有一个开放的、公开的、易于访问的沟通渠道也是非常重要的,在这个渠道中,供应商、第三方或员工可以披露与OT和IT资产相关的任何潜在漏洞。
CPG2.0保护:保护对OT资产的特权访问
美国网络安全基础设施与安全局的第二个CPG目标是“保护”,强调OT资产的账户安全方面。为了实现这一目标,关键基础设施组织需要加强其密码策略,更改跨OT远程访问系统的默认凭据,应用网络分段来隔离OT和IT网络,并将普通用户和特权帐户分开。
对于大多数企业来说,解决帐户安全的所有这些方面可能是一件麻烦的事情,但是他们可以求助于统一的安全远程访问(SRA)解决方案,该解决方案可以通过实施多因素身份验证(MFA)、最小特权策略和基于角色的访问,将多个帐户级安全控制扩展到OT远程用户。此类解决方案还可以支持高级凭据策略,以进一步降低未经授权访问和拒绝服务攻击的风险。
同样重要的是,企业只能利用基于零信任策略的安全远程访问(SRA)解决方案。这将有助于企业建立有效的网络分段,消除对OT资产的直接、不受约束的远程连接,并在所有远程OT连接期间持续监控人员活动。
CPG3.0检测:意识到OT环境中的关键威胁和潜在攻击向量
美国网络安全基础设施与安全局的第三个CPG目标强调相关威胁的检测和潜在攻击媒介和TTP(战术、技术和程序)的知识的重要性,这些攻击媒介和TTP可能危及OT安全性并可能破坏关键服务。
检测OT资产和网络中的相关威胁和TTP需要一种结合高级监控和分析的主动方法。实时监控解决方案应与全面的网络可见性相辅相成,能够快速检测异常模式。
OT环境中威胁检测和满足CPG目标要求的一个关键方面是各利益相关者之间的信息共享和协作。威胁情报平台在收集和传播有关当前和新出现的威胁的信息方面发挥着至关重要的作用。通过利用这些有价值的数据,企业可以预知潜在的风险,微调他们的防御,并确保他们的OT资产的安全性。此外,定期进行安全评估、渗透测试和漏洞扫描将有助于发现基础设施中的任何弱点,从而及时进行补救,提高抵御网络攻击的能力。
CPG4.0和CPG5.0:响应和恢复
美国网络安全基础设施与安全局的最后两个CPG目标强调了事件报告和计划的重要性。无论企业的OT安全实践有多强大,在当今互联和日益远程的网络时代,网络威胁几乎是不可避免的。因此,虽然主动的安全解决方案是必要的,但网络攻击仍然是不可避免的,特别是在关键基础设施等高度针对性的领域。
因此,美国网络安全基础设施与安全局强调企业必须有一个全面的计划和流程来报告安全事件,并在违规时有效地恢复受影响的系统或服务。
高级安全远程访问(SRA)解决方案可以通过自动记录用户活动和资产相关数据,以及创建关键数据的自动备份,帮助企业实现这些目标。更具体地说,它们可以记录所有用户会话,加密所有与用户和资产相关的数据,并保留OT远程用户活动的日志。这些措施有助于确保关键信息的存储符合所有相关的法规要求以及备份和恢复需求。
结论
总的来说,老化的OT资产和孤立的OT和IT网络的脆弱性对关键基础设施实体造成了重大威胁,远程访问的普及进一步加剧了这种威胁。
美国网络安全基础设施与安全局在CPG内的OT特定目标和行动为关键基础设施(CNI)组织提供了一套急需的指导方针,以加强其安全态势并提高网络弹性。通过遵循美国网络安全基础设施与安全局的建议并采用创新的安全技术,企业可以将网络攻击影响物理世界和公共安全的风险降至最低。