OT安全的本質:實現CISA網絡安全績效目標的前瞻性指南
近年來,遠程工作和混合工作實踐的廣泛采用為各行業組織帶來了許多好處,同時也帶來了新的網絡威脅,特別是在關鍵基礎設施領域。
這些威脅不僅擴展到IT網絡,還擴展到運營技術(OT)和網絡物理系統,這些系統可以直接影響關鍵的物理過程。
最近,美國網絡安全基礎設施與安全局(CISA)更新了網絡安全績效目標(CPG),以與美國國家標準與技術研究院(NIST)的標準網絡安全框架保持一致,將五個CPG目標中的每一個目標都建立為IT和OT網絡安全實踐的優先子集。
本文將更詳細地介紹美國網絡安全基礎設施與安全局(CISA)改進后的網絡安全績效目標(CPG),并討論可用于幫助企業實現這些關鍵目標的潛在解決方案。
CPG 1.0 識別:找出OT環境中的漏洞
美國網絡安全基礎設施與安全局的第一個CPG目標是“識別”,其中包括識別IT和OT資產清單中的漏洞,建立供應鏈事件報告和漏洞披露計劃,驗證第三方安全控制在IT和OT網絡中的有效性,設立OT安全領導層,以及減輕已知漏洞。關鍵基礎設施組織必須專門解決所有這些子類別,以實現第一個CPG目標。
處理這些事項需要持續的努力。首先,企業必須通過在兩個部門的安全團隊之間培養更有效的協作來加強他們的IT和OT關系。最重要的是,IT和OT團隊必須齊心協力,了解每種環境的潛在網絡威脅和風險,以及它如何影響對方。為了實現第一個CPG目標,至關重要的是,這些部門不能孤立運營,而是要經常協作和溝通。
與此同時,企業必須通過明確確定負責OT特定網絡安全的特定領導者來主導OT。在這一基礎上,企業必須創建資產清單或術語表,以清楚地標識和跟蹤整個生態系統中的所有OT和IT資產。這些資產應該根據其漏洞管理程序進行定期審計。擁有一個開放的、公開的、易于訪問的溝通渠道也是非常重要的,在這個渠道中,供應商、第三方或員工可以披露與OT和IT資產相關的任何潛在漏洞。
CPG 2.0 保護:保護對OT資產的特權訪問
美國網絡安全基礎設施與安全局的第二個CPG目標是“保護”,強調OT資產的賬戶安全方面。為了實現這一目標,關鍵基礎設施組織需要加強其密碼策略,更改跨OT遠程訪問系統的默認憑據,應用網絡分段來隔離OT和IT網絡,并將普通用戶和特權帳戶分開。
對于大多數企業來說,解決帳戶安全的所有這些方面可能是一件麻煩的事情,但是他們可以求助于統一的安全遠程訪問(SRA)解決方案,該解決方案可以通過實施多因素身份驗證(MFA)、最小特權策略和基于角色的訪問,將多個帳戶級安全控制擴展到OT遠程用戶。此類解決方案還可以支持高級憑據策略,以進一步降低未經授權訪問和拒絕服務攻擊的風險。
同樣重要的是,企業只能利用基于零信任策略的安全遠程訪問(SRA)解決方案。這將有助于企業建立有效的網絡分段,消除對OT資產的直接、不受約束的遠程連接,并在所有遠程OT連接期間持續監控人員活動。
CPG 3.0 檢測:意識到OT環境中的關鍵威脅和潛在攻擊向量
美國網絡安全基礎設施與安全局的第三個CPG目標強調相關威脅的檢測和潛在攻擊媒介和TTP(戰術、技術和程序)的知識的重要性,這些攻擊媒介和TTP可能危及OT安全性并可能破壞關鍵服務。
檢測OT資產和網絡中的相關威脅和TTP需要一種結合高級監控和分析的主動方法。實時監控解決方案應與全面的網絡可見性相輔相成,能夠快速檢測異常模式。
OT環境中威脅檢測和滿足CPG目標要求的一個關鍵方面是各利益相關者之間的信息共享和協作。威脅情報平臺在收集和傳播有關當前和新出現的威脅的信息方面發揮著至關重要的作用。通過利用這些有價值的數據,企業可以預知潛在的風險,微調他們的防御,并確保他們的OT資產的安全性。此外,定期進行安全評估、滲透測試和漏洞掃描將有助于發現基礎設施中的任何弱點,從而及時進行補救,提高抵御網絡攻擊的能力。
CPG 4.0和CPG 5.0:響應和恢復
美國網絡安全基礎設施與安全局的最后兩個CPG目標強調了事件報告和計劃的重要性。無論企業的OT安全實踐有多強大,在當今互聯和日益遠程的網絡時代,網絡威脅幾乎是不可避免的。因此,雖然主動的安全解決方案是必要的,但網絡攻擊仍然是不可避免的,特別是在關鍵基礎設施等高度針對性的領域。
因此,美國網絡安全基礎設施與安全局強調企業必須有一個全面的計劃和流程來報告安全事件,并在違規時有效地恢復受影響的系統或服務。
高級安全遠程訪問(SRA)解決方案可以通過自動記錄用戶活動和資產相關數據,以及創建關鍵數據的自動備份,幫助企業實現這些目標。更具體地說,它們可以記錄所有用戶會話,加密所有與用戶和資產相關的數據,并保留OT遠程用戶活動的日志。這些措施有助于確保關鍵信息的存儲符合所有相關的法規要求以及備份和恢復需求。
結論
總的來說,老化的OT資產和孤立的OT和IT網絡的脆弱性對關鍵基礎設施實體造成了重大威脅,遠程訪問的普及進一步加劇了這種威脅。
美國網絡安全基礎設施與安全局在CPG內的OT特定目標和行動為關鍵基礎設施(CNI)組織提供了一套急需的指導方針,以加強其安全態勢并提高網絡彈性。通過遵循美國網絡安全基礎設施與安全局的建議并采用創新的安全技術,企業可以將網絡攻擊影響物理世界和公共安全的風險降至最低。
