摘要：供应商、政府部门、行业机构和非营利组织在2023年如何为提高关键国家基础设施的网络弹性做出贡献?需要采取一些网络安全措施。

   供应商、政府部门、行业机构和非营利组织在2023年如何为提高关键国家基础设施的网络弹性做出贡献?需要采取一些网络安全措施。

关键基础设施的安全已经成为各行业组织在2023年议程上的重要议题，网络攻击和其他风险对能源、食品、电力和医疗保健等基本服务所依赖的技术和系统构成了持续威胁。

今年4月，黑客组织针对VoIP服务提供商3CX公司进行了重大供应链攻击，该组织还攻击了能源领域的两个关键基础设施组织，一个位于美国，另一个位于欧洲。与此同时，英国国家网络安全中心(NCSC)发布了一份警报，声称有一类新的网络对手正在威胁英国的关键基础设施。今年3月，在食品供应商、医院和学校等关键国家基础设施(CNI)服务遭受一系列网络攻击之后，美国政府发布的《国家网络安全战略》将勒索软件重新列为一级国家安全威胁。

作为回应，美国在今年已经启动了多项举措、计划、指南和标准，以增强关键系统的网络安全，并应对威胁关键国家基础设施(CNI)的日益增长的风险。供应商、政府、行业机构和非营利组织都做出了贡献，信息共享和协作是提高关键国家基础设施(CNI)范围内网络弹性的许多努力的关键主题。以下是在2023年的10个值得关注的网络安全方面的举措：

1.英国推出产品安全和电信基础设施法案

2022年12月，产品安全和电信基础设施(PSTI)法案被引入英国法律，2023年作为宽限期，各组织和机构需要遵守其新规则。该法案规定了可连接互联网的产品以及能够连接到此类产品和电子通信基础设施的产品的安全性。现有立法涵盖的产品(包括医疗保健监控产品和智能电表)或复杂的产品(例如自动驾驶汽车)可能有一天会有自己的立法，不包括在PSTI法案中。

需要遵守的三个关键事项：

·支持期限的明确信息，明确说明制造商将持续提供多长时间的更新。

·不允许使用默认密码，这意味着用户在首次使用时需要提供唯一的密码，然后需要更改这些密码。

·发现漏洞的任何人都可以通知制造商，制造商通知其客户并及时提供修复的信息。

2.欧盟NIS2指令为基本实体制定了新的标准

今年1月，《网络和信息安全指令》(NIS2)在欧盟生效，引入了一个扩展到关键基础设施的新的监管标准。根据《网络和信息安全指令》(NIS2)，被归类为“基本实体”的企业和组织(例如能源、运输和医疗保健行业的供应商)，将受到最严格的要求和最全面的监管监督，包括现场检查和有针对性的、独立的安全审计。《网络和信息安全指令》(NIS2)取代了2018年在欧盟生效的NIS指令，欧盟国家必须在2024年10月之前符合更新后的指令。

随着实施NIS2带来的变化，欧盟监管机构认识到关键基础设施及其第三方网络遭受网络攻击的风险日益增加。Sectigo公司的首席体验官TimCallan表示：“值得注意的是，修订后的立法涵盖了更广泛的组织，规定了在遭遇网络攻击后24小时内立即通知相关部门的强制性义务，并设定了这些基本实体必须遵守的最低安全标准。”

3.北约和欧盟启动关键基础设施复原特别工作组

在俄乌发生冲突以及北溪管道遭到破坏之后，北约和欧盟在今年1月成立了一个有关恢复和关键基础设施保护的特别工作组。这个工作组的重点是提高关键基础设施、技术和供应链对潜在威胁的抵御能力，并采取行动降低脆弱性。

北约和欧盟的高级官员在今年2月举办一次会议上，正式启动了北约-欧盟关键基础设施恢复工作组。该倡议将北约和欧盟的官员聚集在一起，分享最佳实践和态势感知，以及制定提高弹性的原则。该工作组将重点放在四个领域：能源、交通、数字基础设施和太空。

2022年12月，北约对人工智能保护关键基础设施的能力进行了试验，试验结果表明，人工智能可以显著帮助识别关键基础设施的网络攻击模式/网络活动，并检测恶意软件，从而增强有关防御反应的决策。

4.国际特遣部队打击勒索软件国家安全威胁

全球36个国家的政府和欧盟(EU)在今年1月成立了国际反勒索软件特别工作组，以打击对国家安全构成威胁的勒索软件攻击，尤其是那些影响关键国家基础设施(CNI)的勒索软件攻击。该联盟由澳大利亚政府领导，旨在通过信息和情报交流，分享最佳实践政策和法律权威框架，以及执法部门和网络当局之间的合作，实现持续和有影响力的国际合作，旨在破坏、打击和防御日益增加的勒索软件威胁。

管理检测和响应提供商Continue公司的安全运营副总裁CraigJones表示，与其他行业举措相比，国际反勒索软件特别工作组具有巨大的潜力，可以立即产生效果。他说，“这是因为将在国际上关注勒索软件攻击，这是对企业和基础设施整体构成的最可怕的全球威胁。”

5.SANS研究所发布ICS网络安全领域手册第2卷和第3卷

美国系统网络安全协会(SANS)发布了两个新的工业控制系统(ICS)网络安全领域手册，为ICS网络安全专业人员和风险管理人员提供了关于事件响应、漏洞管理、防御技能、团队管理和安全工具/协议的新见解，以保护工业控制系统。ICS网络安全领域手册第2卷于今年1月出版，第3卷于今年5月出版。

工业控制系统(ICS)专家、ICS网络安全领域手册作者和SANS认证讲师DeanParsons说，“SANSICS网络安全领域手册系列是所有ICS安全专业人员的重要工具，全球所有工业控制系统领域的每个控制系统操作人员、关键基础设施网络防御者和ICS/OT风险管理人员都应该学习和掌握。”

6.CISA更新跨行业网络安全绩效目标

今年3月，美国网络安全和基础设施安全局(CISA)更新了其跨部门网络安全绩效目标(CPG)，以帮助为关键基础设施建立一套通用的基本网络安全实践。网络安全绩效目标(CPG)是IT和OT网络安全实践的优先子集，关键基础设施所有者和运营商可以实施网络安全绩效目标(CPG)，以有效降低已知风险。

1.0.1版本对网络安全绩效目标(CPG)进行了重新排序和编号，以更紧密地与NIST网络安全框架保持一致。该更新包括与对抗网络钓鱼的多因素身份验证(MFA)和事件恢复计划相关的新指南。

7.网络安全公司组成精英网络卫士计划

今年4月，埃森哲、IBM和Mandiant公司加入了“精英网络卫士计划”——这是由NozomiNetworks公司牵头的一项新的合作计划，旨在帮助保护关键基础设施。该项目旨在为全球工业和政府客户提供强大的网络安全防御工具、事件响应团队和威胁情报。

项目的每个参与者将为他们的客户提供定制的事件响应和评估程序，同时承诺与NozomiNetworks公司网络实验室合作共享威胁情报和联合研究，重点是识别新型恶意软件和威胁参与者使用的新https。

8.OT巨头合作建立早期威胁和攻击预警系统

今年4月，一些相互竞争的OT安全公司宣布，他们将合作开发一个新的供应商中立、开源和匿名的OT威胁预警系统，该系统名称为ETHOS。

ETHOS系统旨在分享早期威胁指标的数据，并发现威胁运营基本服务(包括电力、供水、石油和天然气生产以及制造系统)的工业组织的新型攻击。它已经获得了美国CISA的认可，这可能会给该倡议带来更大的吸引力。包括公共和私人资产所有者的所有组织，都可以为ETHOS做出贡献，创始人设想这个系统将沿着开源软件Linux的路线发展。

ETHOS社区和董事会成员包括一些顶级的OT安全公司，例如1898&Co、Claroty、Dragos、ForeScout、NetRise、NetworkPercept、NozomiNetworks、施耐德电气、Table和WaterfallSecurity。

Tenable公司负责运营技术(OT)和物联网的副首席技术官MartyEdwards说，“这是社区的努力，我们希望能找到一个技术中立的第三方来支持ETHOS，无论是政府部门，还是信息共享和分析中心，或者坦率地说，我们必须在非营利组织下支持自己的实体。”

9.英国NCSC宣布基于原则的保证框架

今年4月，英国国家网络安全中心(NCSC)宣布，该中心正在建立基于原则的(PBA)框架，以衡量和认证产品和系统的网络弹性，如果受到损害，可能会对人们的工作和生活造成重大影响。英国国家网络安全中心(NCSC)表示，这包括关键国家基础设施(CNI)，它面临着重大的网络威胁，而网络攻击者有资源、技能和时间以有针对性的方式进行攻击。

PBA将有一个三层流程：第一层是基于风险的方法，而不是合规性驱动的方法。第二层是开发可遵循的一致方法，以及要使用的文档和模板。最后一层是如何以一致和可信的方式将方法作为服务在市场中由供应商和买家进行部署和访问。

当基于原则的(PBA)方法可用时，英国国家网络安全中心(NCSC)将对外发布，以便人们可以开始使用。目前正在进行服务层的工作，以设计一种通过行业合作伙伴扩展PBA理念的方法。英国国家网络安全中心(NCSC)计划在2024年建立一个经批准的网络弹性测试设施的雏形网络。

10.英国推出“安全连接场所”网络安全手册

今年5月，英国政府发布了《安全连接场所：网络安全手册》的“alpha”版本，以支持地方当局提高其连接场所的安全性，包括关键基础设施和公用事业设施，例如减少电网供电压力的智能能源系统。这个手册是与六个地方当局合作设计的，包括多个网络安全资源，涵盖治理、采购和供应链管理以及如何进行良好的威胁分析等主题。

该手册称，互联互通的地方为地方当局提供了提高市民生活质量的机会。然而，如果没有必要的保护，运营互联场所所需技术的多样性和互联性也使它们容易受到网络攻击。这些攻击可能导致声誉受损、敏感数据丢失，以及居民所依赖的物理基础设施遭到破坏。

编辑：Harris