新的CISA目标解决关键基础设施网络安全问题

美国国土安全部通过网络安全和基础设施安全局 (CISA)制定并发布了关键基础设施的新网络安全性能目标。关键基础设施面临的网络威胁正在上升，这些新目标旨在为利益相关者提供降低网络风险所需的基础。

关键基础设施网络威胁

FBI 的互联网犯罪投诉中心 (IC3) 报告了 2021 年针对关键基础设施勒索软件攻击的 649 起投诉，预计今年勒索软件受害人数将增加。

关键基础设施部门，如医疗保健、食品、能源和交通运输，对经济和国家安全至关重要。勒索软件攻击的财务后果可能很严重。

“鉴于运营关键基础设施的行业受到高度监管，因诉讼监管处罚、生产力损失以及勒索软件攻击导致的恢复成本而造成财务损失的风险非常高，”合伙人 Dan Pepper 说在全球律师事务所 Norton Rose Fulbright。

除了严重的财务后果外，对关键基础设施提供商的网络攻击还可能导致生命损失。

“各种规模的关键基础设施所有者和运营商对于包括民族国家在内的威胁行为者来说都是特别有吸引力的目标，因为它们对生命和重要服务具有潜在的高可见性影响（无论是真实的还是感知的），”公共事务高级主管 Katherine Ledesma 解释说网络安全评级公司 SecurityScorecard 的政策和政府事务，前 CISA 高级顾问。

供应链日益互联的性质和云的快速采用扩大了关键基础设施组织的攻击面，这些组织并不总是有足够的资源来充分理解和防御他们面临的网络威胁。

“缺乏身份情报和对新兴网络威胁的可见性是当今关键基础设施部门面临的最大挑战，”网络安全公司 SpyCloud 的联邦业务主管 Joel Bagnal 说。

CISA 的网络安全绩效目标

CISA 与公共和私营部门的数百个合作伙伴合作制定网络安全绩效目标或 CPG，以应对关键基础设施面临的关键挑战，包括缺乏基本的安全保护、中小型组织资源有限、缺乏一致的标准和资源不足的运营技术 (OT) 网络安全。

“目标的范围很大程度上取决于 CISA 和利益相关者在与关键基础设施的接触中始终看到的运营现实，”CISA 网络安全执行助理总监 Eric Goldstein 说。

目标分为八大类：

• 账户安全
• 设备安全
• 数据安全
• 治理和培训
• 漏洞管理
• 供应链/第三方
• 响应和恢复
• 其他（网络分段、检测相关威胁和 TTP 以及电子邮件安全）

“CPG 是根据三个标准确定的：(1) 显着和直接降低由普遍观察到的跨部门威胁和对手 TTP 造成的风险或影响；(2) 清晰、可操作且易于定义；(3) 即使是中小型实体也能成功实施相当简单且成本不高，”Goldstein 阐述道。

CPG 与 NIST 网络安全框架相一致，旨在成为关键基础设施组织加强网络安全的起点，即使它们是从零开始。“如果一个组织从零开始，我建议根据已知的网络安全漏洞对 CPG 进行优先级排序，然后对高优先级 CPG 采用爬行、步行、运行的方法，以取得渐进式进展，”联合创始人兼联合创始人 Robin Berthier 说。网络安全审计和合规解决方案 Network Perception 的首席执行官。

CPG 的实施需要关键基础设施领导层的支持。IT 高级副总裁 Kelly Rozumalski 说：“理想情况下，特定行业的绩效目标将使安全领导者能够在他们的风险管理方法中衡量他们当前的网络安全状况并量化他们想要改进多少以及改进的成本是多少。”咨询公司 Booz Allen Hamilton。

为关键基础设施实现 CISA 的 CPG 还需要公共部门和私营部门之间的持续协调。“这些目标应该成为加强公共和私营部门关系并帮助所有利益相关者保持一致的催化剂。例如，网络安全供应商可以将 CPG 作为其报告包的一部分进行整合，以帮助组织确定优先级并实现其高优先级目标，”Berthier 说。

如果 CPG 要成功，它们需要是可衡量的。Goldstein 表示，CISA 计划利用公共和私营部门的关系，包括与部门风险管理机构的合作，帮助关键基础设施组织衡量其对 CPG 的使用和安全结果。

Ledesma 指出：“重要的是要展示网络安全投资和实施满足 CPG 的建议如何有效地提高了关键基础设施的网络安全标准。”

目标（如网络威胁）不会保持不变。CISA 计划构建特定行业的 CPG，并每 6 到 12 个月更新一次 CPG。

Pepper 预计随着 CGP 的发展，将更加关注监督控制和数据采集程序开发、业务连续性和恢复计划。Bagnal 希望看到未来的目标解决“......身份智能和基础设施之间的交叉点，以提高 IT 基础设施和受损 OT 设备之间的可见性。”

CISA 建立了一个GitHub 讨论页面，用于提供反馈和新的 CPG 想法。