供應商、政府部門、行業機構和非營利組織在2023年如何為提高關鍵國家基礎設施的網絡彈性做出貢獻?需要采取一些網絡安全措施。

關鍵基礎設施的安全已經成為各行業組織在2023年議程上的重要議題，網絡攻擊和其他風險對能源、食品、電力和醫療保健等基本服務所依賴的技術和系統構成了持續威脅。

今年4月，黑客組織針對VoIP服務提供商3CX公司進行了重大供應鏈攻擊，該組織還攻擊了能源領域的兩個關鍵基礎設施組織，一個位于美國，另一個位于歐洲。與此同時，英國國家網絡安全中心(NCSC)發布了一份警報，聲稱有一類新的網絡對手正在威脅英國的關鍵基礎設施。今年3月，在食品供應商、醫院和學校等關鍵國家基礎設施(CNI)服務遭受一系列網絡攻擊之后，美國政府發布的《國家網絡安全戰略》將勒索軟件重新列為一級國家安全威脅。

作為回應，美國在今年已經啟動了多項舉措、計劃、指南和標準，以增強關鍵系統的網絡安全，并應對威脅關鍵國家基礎設施(CNI)的日益增長的風險。供應商、政府、行業機構和非營利組織都做出了貢獻，信息共享和協作是提高關鍵國家基礎設施(CNI)范圍內網絡彈性的許多努力的關鍵主題。以下是在2023年的10個值得關注的網絡安全方面的舉措：

1、英國推出產品安全和電信基礎設施法案

2022年12月，產品安全和電信基礎設施(PSTI)法案被引入英國法律，2023年作為寬限期，各組織和機構需要遵守其新規則。該法案規定了可連接互聯網的產品以及能夠連接到此類產品和電子通信基礎設施的產品的安全性。現有立法涵蓋的產品(包括醫療保健監控產品和智能電表)或復雜的產品(例如自動駕駛汽車)可能有一天會有自己的立法，不包括在PSTI法案中。

需要遵守的三個關鍵事項：

• 支持期限的明確信息，明確說明制造商將持續提供多長時間的更新。
• 不允許使用默認密碼，這意味著用戶在首次使用時需要提供唯一的密碼，然后需要更改這些密碼。
• 發現漏洞的任何人都可以通知制造商，制造商通知其客戶并及時提供修復的信息。

2、歐盟NIS2指令為基本實體制定了新的標準

今年1月，《網絡和信息安全指令》(NIS2)在歐盟生效，引入了一個擴展到關鍵基礎設施的新的監管標準。根據《網絡和信息安全指令》(NIS2)，被歸類為“基本實體”的企業和組織(例如能源、運輸和醫療保健行業的供應商)，將受到最嚴格的要求和最全面的監管監督，包括現場檢查和有針對性的、獨立的安全審計。《網絡和信息安全指令》(NIS 2)取代了2018年在歐盟生效的NIS指令，歐盟國家必須在2024年10月之前符合更新后的指令。

隨著實施NIS 2帶來的變化，歐盟監管機構認識到關鍵基礎設施及其第三方網絡遭受網絡攻擊的風險日益增加。Sectigo公司的首席體驗官Tim Callan表示：“值得注意的是，修訂后的立法涵蓋了更廣泛的組織，規定了在遭遇網絡攻擊后24小時內立即通知相關部門的強制性義務，并設定了這些基本實體必須遵守的最低安全標準。”

3、北約和歐盟啟動關鍵基礎設施復原特別工作組

在俄烏發生沖突以及北溪管道遭到破壞之后，北約和歐盟在今年1月成立了一個有關恢復和關鍵基礎設施保護的特別工作組。這個工作組的重點是提高關鍵基礎設施、技術和供應鏈對潛在威脅的抵御能力，并采取行動降低脆弱性。

北約和歐盟的高級官員在今年2月舉辦一次會議上，正式啟動了北約-歐盟關鍵基礎設施恢復工作組。該倡議將北約和歐盟的官員聚集在一起，分享最佳實踐和態勢感知，以及制定提高彈性的原則。該工作組將重點放在四個領域：能源、交通、數字基礎設施和太空。

2022年12月，北約對人工智能保護關鍵基礎設施的能力進行了試驗，試驗結果表明，人工智能可以顯著幫助識別關鍵基礎設施的網絡攻擊模式/網絡活動，并檢測惡意軟件，從而增強有關防御反應的決策。

4、國際特遣部隊打擊勒索軟件國家安全威脅

全球36個國家的政府和歐盟(EU) 在今年1月成立了國際反勒索軟件特別工作組，以打擊對國家安全構成威脅的勒索軟件攻擊，尤其是那些影響關鍵國家基礎設施(CNI)的勒索軟件攻擊。該聯盟由澳大利亞政府領導，旨在通過信息和情報交流，分享最佳實踐政策和法律權威框架，以及執法部門和網絡當局之間的合作，實現持續和有影響力的國際合作，旨在破壞、打擊和防御日益增加的勒索軟件威脅。

管理檢測和響應提供商Continue公司的安全運營副總裁CraigJones表示，與其他行業舉措相比，國際反勒索軟件特別工作組具有巨大的潛力，可以立即產生效果。他說，“這是因為將在國際上關注勒索軟件攻擊，這是對企業和基礎設施整體構成的最可怕的全球威脅。”

5、SANS研究所發布ICS網絡安全領域手冊第2卷和第3卷

美國系統網絡安全協會(SANS)發布了兩個新的工業控制系統(ICS)網絡安全領域手冊，為ICS網絡安全專業人員和風險管理人員提供了關于事件響應、漏洞管理、防御技能、團隊管理和安全工具/協議的新見解，以保護工業控制系統。ICS網絡安全領域手冊第2卷于今年1月出版，第3卷于今年5月出版。

工業控制系統(ICS)專家、ICS網絡安全領域手冊作者和SANS認證講師Dean Parsons說，“SAN SICS網絡安全領域手冊系列是所有ICS安全專業人員的重要工具，全球所有工業控制系統領域的每個控制系統操作人員、關鍵基礎設施網絡防御者和ICS/OT風險管理人員都應該學習和掌握。”

6、CISA更新跨行業網絡安全績效目標

今年3月，美國網絡安全和基礎設施安全局(CISA)更新了其跨部門網絡安全績效目標(CPG)，以幫助為關鍵基礎設施建立一套通用的基本網絡安全實踐。網絡安全績效目標(CPG)是IT和OT網絡安全實踐的優先子集，關鍵基礎設施所有者和運營商可以實施網絡安全績效目標(CPG)，以有效降低已知風險。

1.0.1版本對網絡安全績效目標(CPG)進行了重新排序和編號，以更緊密地與NIST網絡安全框架保持一致。該更新包括與對抗網絡釣魚的多因素身份驗證(MFA)和事件恢復計劃相關的新指南。

7、網絡安全公司組成精英網絡衛士計劃

今年4月，埃森哲、IBM和Mandiant公司加入了“精英網絡衛士計劃”——這是由Nozomi Networks公司牽頭的一項新的合作計劃，旨在幫助保護關鍵基礎設施。該項目旨在為全球工業和政府客戶提供強大的網絡安全防御工具、事件響應團隊和威脅情報。

項目的每個參與者將為他們的客戶提供定制的事件響應和評估程序，同時承諾與Nozomi Networks公司網絡實驗室合作共享威脅情報和聯合研究，重點是識別新型惡意軟件和威脅參與者使用的新https。

8、OT巨頭合作建立早期威脅和攻擊預警系統

今年4月，一些相互競爭的OT安全公司宣布，他們將合作開發一個新的供應商中立、開源和匿名的OT威脅預警系統，該系統名稱為ETHOS。

ETHOS系統旨在分享早期威脅指標的數據，并發現威脅運營基本服務(包括電力、供水、石油和天然氣生產以及制造系統)的工業組織的新型攻擊。它已經獲得了美國CISA的認可，這可能會給該倡議帶來更大的吸引力。包括公共和私人資產所有者的所有組織，都可以為ETHOS做出貢獻，創始人設想這個系統將沿著開源軟件Linux的路線發展。

ETHOS社區和董事會成員包括一些頂級的OT安全公司，例如1898&Co、Claroty、Dragos、ForeScout、NetRise、Network Percept、Nozomi Networks、施耐德電氣、Table和Waterfall Security。

Tenable公司負責運營技術(OT)和物聯網的副首席技術官Marty Edwards說， “這是社區的努力，我們希望能找到一個技術中立的第三方來支持ETHOS，無論是政府部門，還是信息共享和分析中心，或者坦率地說，我們必須在非營利組織下支持自己的實體。”

9、英國NCSC宣布基于原則的保證框架

今年4月，英國國家網絡安全中心 ( NCSC )宣布，該中心正在建立基于原則的(PBA)框架，以衡量和認證產品和系統的網絡彈性，如果受到損害，可能會對人們的工作和生活造成重大影響。英國國家網絡安全中心 ( NCSC )表示，這包括關鍵國家基礎設施(CNI)，它面臨著重大的網絡威脅，而網絡攻擊者有資源、技能和時間以有針對性的方式進行攻擊。

PBA將有一個三層流程：第一層是基于風險的方法，而不是合規性驅動的方法。第二層是開發可遵循的一致方法，以及要使用的文檔和模板。最后一層是如何以一致和可信的方式將方法作為服務在市場中由供應商和買家進行部署和訪問。

當基于原則的(PBA)方法可用時，英國國家網絡安全中心 ( NCSC )將對外發布，以便人們可以開始使用。目前正在進行服務層的工作，以設計一種通過行業合作伙伴擴展PBA理念的方法。英國國家網絡安全中心 ( NCSC )計劃在2024年建立一個經批準的網絡彈性測試設施的雛形網絡。

10、英國推出“安全連接場所”網絡安全手冊

今年5月，英國政府發布了《安全連接場所：網絡安全手冊》的“alpha”版本，以支持地方當局提高其連接場所的安全性，包括關鍵基礎設施和公用事業設施，例如減少電網供電壓力的智能能源系統。這個手冊是與六個地方當局合作設計的，包括多個網絡安全資源，涵蓋治理、采購和供應鏈管理以及如何進行良好的威脅分析等主題。

該手冊稱，互聯互通的地方為地方當局提供了提高市民生活質量的機會。然而，如果沒有必要的保護，運營互聯場所所需技術的多樣性和互聯性也使它們容易受到網絡攻擊。這些攻擊可能導致聲譽受損、敏感數據丟失，以及居民所依賴的物理基礎設施遭到破壞。