關鍵基礎設施的安全已成為2023年的重要議程，網絡攻擊及其他風險對能源、食品、電力和醫療保健等基本服務所依賴的技術和系統構成了持續性威脅。

網絡安全服務公司Bridewell的研究報告評估了英美關鍵國家基礎設施（CNI）的現狀，并警告稱全球經濟衰退、地緣政治緊張局勢、政府撐腰的威脅分子和勒索軟件在共同加大CNI 領域的組織和供應商面臨的威脅。

今年4月，對VoIP公司3CX實施嚴重供應鏈攻擊的黑客組織還闖入了能源領域的兩家關鍵基礎設施組織，一家位于美國，另一家位于歐洲。與此同時，英國國家網絡安全中心（NCSC）發布了關于一類新的俄羅斯網絡攻擊者威脅英國關鍵基礎設施的警報。3月，在食品供應商、醫院和學校等CNI服務遭到一系列攻擊之后，美國白宮的國家網絡安全戰略將勒索軟件重新歸類為一級國家安全威脅。

相應之下，今年已出臺了多項舉措、計劃、指南和標準，以加強關鍵系統的網絡安全，并應對威脅CNI的日益加大的風險。供應商、政府、行業機構和非營利組織都貢獻了力量，而信息共享和協作是提升CNI領域網絡彈性的許多工作的一大主題。以下是今年迄今為止10 個值得關注的舉措：

英國出臺《產品安全和電信基礎設施法案》

2022 年 12 月，《產品安全和電信基礎設施法案》（PSTI）正式成為英國法律，組織獲得了2023年寬限期，以確保遵守新法規。該法案針對聯網產品、能夠連接到此類產品的產品以有電子通信基礎設施的安全性列出了條款。現有立法涵蓋的產品（包括醫療保健監控產品和智能水電表）或者有一天可能迎來相應法案的復雜產品（比如自動駕駛汽車）不在 PSTI 法案的適用范圍內。

三個關鍵方面需要合規：

有關支持期限的明確信息，準確表明制造商將在多長時間內繼續提供更新。

不允許使用默認密碼，這意味著用戶需要在首次使用時被提供唯一的產品密碼，隨后密碼需要更改。

有關任何發現漏洞的人可以從哪個途徑通知制造商以及制造商向客戶告知漏洞并及時提供修正版的信息。

歐盟 NIS2 指令為基本實體闡明了新標準

1月，《網絡和信息安全指令》（NIS2）在歐盟生效，引入了適用于關鍵基礎設施的新監管條例。根據NIS2，被歸類為能源、交通運輸和醫療保健供應商等“基本實體”的組織將受到最嚴格的要求和最全面的監管，包括（可能）現場檢查和針對性的獨立安全審計。NIS2 取代了2018年在歐盟生效的NIS指令，歐盟國家必須在2024年10月之前滿足更新后的規則。

鑒于NIS2帶來了變化，歐盟監管機構認識到針對關鍵基礎設施及其第三方網絡的網絡攻擊風險越來越大。Sectigo首席體驗官Tim Callan表示：“值得注意的是，修訂后的立法涵蓋了更廣泛的組織和企業，規定了在網絡攻擊發生后24小時內及時通知相關當局的強制性義務，并設定了這些實體要遵守的最低基本安全標準。”

北約與歐盟成立關鍵基礎設施彈性特別工作組

今年1月，北約和歐盟同意成立一個彈性和關鍵基礎設施保護特別工作組。在俄羅斯總統普京將能源變成武器和破壞北溪輸油管道之后，北約和歐盟表示，特別工作組的重點是確保關鍵基礎設施、技術和供應鏈遭到潛在威脅后更具彈性，并采取行動以修復漏洞。

2月，北約和歐盟的高級官員舉行會晤，正式成立了北約-歐盟關鍵基礎設施彈性特別工作組。該舉措將雙方的官員聚集在一起，共享最佳實踐和態勢感知，并且制定提高彈性的原則。該特別工作組首先關注四個行業領域：能源、交通運輸、數字基礎設施和空間。

2022年12月，北約試驗了AI保護關鍵基礎設施的能力，結果表明AI可以顯著幫助識別關鍵基礎設施網絡攻擊模式/網絡活動，并檢測惡意軟件，從而改進防御性響應方面的決策。

國際特別工作組打擊勒索軟件國家安全威脅

1月，全球36國政府和歐盟共同成立了國際反勒索軟件特別工作組，以打擊對國家安全構成威脅的勒索軟件攻擊，尤其是那些影響CNI行業領域企業的攻擊。在澳大利亞政府的領導下，該聯盟旨在通過信息和情報交流、共享最佳實踐政策和法律權威框架以及執法部門與網絡監管當局之間的協作，實現可持續、有影響力的國際合作，旨在破壞、打擊和防御日益增加的勒索軟件威脅。

托管檢測和響應提供商Ontinue的安全運營副總裁Craig Jones表示，與其他行業舉措相比，國際反勒索軟件特別工作組具有立竿見影的巨大潛力。這是由于其從全球層面關注勒索軟件，勒索軟件對企業和整個基礎設施而言是最可怕的全球威脅。

SANS Institute發布《ICS網絡安全現場手冊》第2卷和第3卷

SANS Institute發布了兩卷新的《工業控制系統（ICS）網絡安全現場手冊》，為ICS網絡安全專業人員和風險管理人員提供了新渠道，以便了解事件響應、漏洞管理、防御者技能組合、團隊管理以及防御系統的安全工具/協議。第2卷已在1月出版，第3卷已在5月出版。

Dean Parsons是一名ICS專家、現場手冊編寫者兼認證SANS講師，他說：“《SANS ICS網絡安全現場手冊》系列是所有ICS安全專業人員的必備工具，它應該擺放在全球所有工業控制系統行業領域的每個控制系統操作員、關鍵基礎設施網絡防御者和ICS/OT風險經理的案頭上。”

CISA更新跨行業部門的網絡安全績效目標

3月，美國網絡安全和基礎設施安全局（CISA）更新了其《跨行業部門的網絡安全績效目標（CPG）》，以幫助為關鍵基礎設施建立一套通用的基本網絡安全實踐。CPG是一套優先考慮的IT和OT網絡安全實踐，關鍵基礎設施的所有者和運營者可以實施這些實踐，以大幅降低已知風險和攻擊技術的可能性和影響。

版本1.0.1對CPG進行了重新排序和編號，以便與NIST網絡安全框架更緊密地保持一致。更新版加入了與防止網絡釣魚的多因素身份驗證（MFA）和事件恢復規劃相關的新指南。

多家網絡安全公司設立精英網絡防御者計劃

4月，全球網絡安全公司埃森哲、IBM和Mandiant加入了精英網絡防御者計劃，由Nozomi Networks牽頭的這項新的協作計劃旨在幫助保護關鍵基礎設施。該計劃旨在讓全球工業和政府客戶可以享用強大的網絡安全防御工具、事件響應團隊和威脅情報。

該計劃的每個參與者都將為共同客戶提供定制設計的事件響應和評估計劃，同時承諾與Nozomi Networks Labs在共享威脅情報和聯合安全研究方面展開合作，致力于識別威脅分子使用的新穎惡意軟件和新型策略、技術和程序（TTP）。

OT 巨頭合作開發ETHOS 早期威脅和攻擊警告系統

4月，一群通常相互競爭的OT安全公司宣布，它們將捐棄前嫌，合作開發一種新的供應商中立的開源匿名OT威脅警告系統：ETHOS（新興威脅開放共享）。

作為一家非營利組織，ETHOS旨在共享有關早期威脅指標的數據，并發現對運行基本服務（包括電力、水、石油天然氣生產以及制造系統）的工業組織構成威脅的新型攻擊。它已經獲得了美國CISA的認可，這可能會給該倡議帶來更大的吸引力。所有組織（包括公共和私人資產所有者）都可以無償為ETHOS做貢獻，創始人設想它能夠像開源軟件Linux那樣發展壯大。

ETHOS社區和理事會成員包括一些頭部OT安全公司：1898 & Co.、ABS Group、Claroty、Dragos、Forescout、NetRise、Network Perception、Nozomi Networks、Schneider Electric、Tenable 和Waterfall Security。

Tenable的OT和物聯網代理首席技術官Marty Edwards說：“這是社區的一項努力，我們希望我們能夠找到一家技術中立的第三方來支撐ETHOS，無論這是政府實體、信息共享及分析中心，還是坦率地說我們想在這家非營利組織之下自行設立的實體。”

英國NCSC宣布基于原則的保證框架

4月，英國NCSC宣布設立基于原則的保證（PBA）框架，以衡量和認證產品和系統的網絡彈性：如果這些產品和系統遭到破壞，可能會對人們的生活造成重大影響。這包括CNI，由于攻擊者擁有發動針對性攻擊所需的資源、技能和時間，CNI面臨重大的網絡威脅。

PBA將包括三層：第一層即基礎層是基于風險的理念，而不是基于合規驅動的方法；第二階段是開發一種可以遵循的一致方法，以及要使用的文檔和模板；最后階段是供應商和買家如何以一致可信的方式將該方法作為市場中的一項服務進行部署和訪問。

NCSC將在第一時間公布PBA方法，以便人們可以開始使用它。服務層方面的工作正在進行中，以設計一種通過行業合作伙伴擴展PBA 理念和方法的方式。到明年，NCSC計劃建立一個由獲得批準的網絡彈性測試設施組成的雛形網絡。

英國發布安全聯網場所網絡安全手冊

5月，英國政府發布了《安全聯網場所：網絡安全手冊》的alpha版本，以支持地方當局提高其聯網場所的安全性，包括關鍵基礎設施和公用事業系統（比如可減輕電網壓力的智慧能源系統）。這份手冊是與六個地方當局共同設計制定的，牽涉多方網絡安全資源，涵蓋的主題包括治理、采購和供應鏈管理，以及如何進行良好的威脅分析。

手冊顯示，聯網場所為地方當局提供了改善公民生活質量的機會。然而，如果必要的保護沒有實施到位，運營聯網場所需要的技術具有的多樣性和關聯性也使它們很容易受到網絡攻擊。這些攻擊可能導致聲譽受損、敏感數據丟失以及居民依賴的物理基礎設施遭到破壞。

聲明：以上內容由匡安網絡整理編輯，部分圖文來源于互聯網及公眾平臺，如有侵犯版權請告知，我們將及時刪除！