美國國土安全部通過網絡安全和基礎設施安全局 (CISA)制定并發(fā)布了關鍵基礎設施的新網絡安全性能目標。關鍵基礎設施面臨的網絡威脅正在上升，這些新目標旨在為利益相關者提供降低網絡風險所需的基礎。

關鍵基礎設施網絡威脅

FBI 的互聯(lián)網犯罪投訴中心 (IC3) 報告了 2021 年針對關鍵基礎設施勒索軟件攻擊的 649 起投訴，預計今年勒索軟件受害人數(shù)將增加。

關鍵基礎設施部門，如醫(yī)療保健、食品、能源和交通運輸，對經濟和國家安全至關重要。勒索軟件攻擊的財務后果可能很嚴重。

“鑒于運營關鍵基礎設施的行業(yè)受到高度監(jiān)管，因訴訟監(jiān)管處罰、生產力損失以及勒索軟件攻擊導致的恢復成本而造成財務損失的風險非常高，”合伙人 Dan Pepper 說在全球律師事務所 Norton Rose Fulbright。

除了嚴重的財務后果外，對關鍵基礎設施提供商的網絡攻擊還可能導致生命損失。

“各種規(guī)模的關鍵基礎設施所有者和運營商對于包括民族國家在內的威脅行為者來說都是特別有吸引力的目標，因為它們對生命和重要服務具有潛在的高可見性影響（無論是真實的還是感知的），”公共事務高級主管 Katherine Ledesma 解釋說網絡安全評級公司 SecurityScorecard 的政策和政府事務，前 CISA 高級顧問。

供應鏈日益互聯(lián)的性質和云的快速采用擴大了關鍵基礎設施組織的攻擊面，這些組織并不總是有足夠的資源來充分理解和防御他們面臨的網絡威脅。

“缺乏身份情報和對新興網絡威脅的可見性是當今關鍵基礎設施部門面臨的最大挑戰(zhàn)，”網絡安全公司 SpyCloud 的聯(lián)邦業(yè)務主管 Joel Bagnal 說。

CISA 的網絡安全績效目標

CISA 與公共和私營部門的數(shù)百個合作伙伴合作制定網絡安全績效目標或 CPG，以應對關鍵基礎設施面臨的關鍵挑戰(zhàn)，包括缺乏基本的安全保護、中小型組織資源有限、缺乏一致的標準和資源不足的運營技術 (OT) 網絡安全。

“目標的范圍很大程度上取決于 CISA 和利益相關者在與關鍵基礎設施的接觸中始終看到的運營現(xiàn)實，”CISA 網絡安全執(zhí)行助理總監(jiān) Eric Goldstein 說。

目標分為八大類：

• 賬戶安全
• 設備安全
• 數(shù)據(jù)安全
• 治理和培訓
• 漏洞管理
• 供應鏈/第三方
• 響應和恢復
• 其他（網絡分段、檢測相關威脅和 TTP 以及電子郵件安全）

“CPG 是根據(jù)三個標準確定的：(1) 顯著和直接降低由普遍觀察到的跨部門威脅和對手 TTP 造成的風險或影響；(2) 清晰、可操作且易于定義；(3) 即使是中小型實體也能成功實施相當簡單且成本不高，”Goldstein 闡述道。

CPG 與 NIST 網絡安全框架相一致，旨在成為關鍵基礎設施組織加強網絡安全的起點，即使它們是從零開始。“如果一個組織從零開始，我建議根據(jù)已知的網絡安全漏洞對 CPG 進行優(yōu)先級排序，然后對高優(yōu)先級 CPG 采用爬行、步行、運行的方法，以取得漸進式進展，”聯(lián)合創(chuàng)始人兼聯(lián)合創(chuàng)始人 Robin Berthier 說。網絡安全審計和合規(guī)解決方案 Network Perception 的首席執(zhí)行官。

CPG 的實施需要關鍵基礎設施領導層的支持。IT 高級副總裁 Kelly Rozumalski 說：“理想情況下，特定行業(yè)的績效目標將使安全領導者能夠在他們的風險管理方法中衡量他們當前的網絡安全狀況并量化他們想要改進多少以及改進的成本是多少。”咨詢公司 Booz Allen Hamilton。

為關鍵基礎設施實現(xiàn) CISA 的 CPG 還需要公共部門和私營部門之間的持續(xù)協(xié)調。“這些目標應該成為加強公共和私營部門關系并幫助所有利益相關者保持一致的催化劑。例如，網絡安全供應商可以將 CPG 作為其報告包的一部分進行整合，以幫助組織確定優(yōu)先級并實現(xiàn)其高優(yōu)先級目標，”Berthier 說。

如果 CPG 要成功，它們需要是可衡量的。Goldstein 表示，CISA 計劃利用公共和私營部門的關系，包括與部門風險管理機構的合作，幫助關鍵基礎設施組織衡量其對 CPG 的使用和安全結果。

Ledesma 指出：“重要的是要展示網絡安全投資和實施滿足 CPG 的建議如何有效地提高了關鍵基礎設施的網絡安全標準。”

目標（如網絡威脅）不會保持不變。CISA 計劃構建特定行業(yè)的 CPG，并每 6 到 12 個月更新一次 CPG。

Pepper 預計隨著 CGP 的發(fā)展，將更加關注監(jiān)督控制和數(shù)據(jù)采集程序開發(fā)、業(yè)務連續(xù)性和恢復計劃。Bagnal 希望看到未來的目標解決“......身份智能和基礎設施之間的交叉點，以提高 IT 基礎設施和受損 OT 設備之間的可見性。”

CISA 建立了一個GitHub 討論頁面，用于提供反饋和新的 CPG 想法。