今年,安全方案供應商、政府、產業機構與非營利組織等,加強合力貢獻,提升關鍵國家基礎建設網路復原力。
文/Michael Hill‧譯/Nica
由於網路攻擊等其他風險,對能源、食物、電力與健康醫療這類民生必需服務所仰賴的技術與系統,持續造成威脅,關鍵基礎建設安全性已成為 2023 年重要事項!
資安服務公司 Bridewell 評估關鍵國家基礎建設(CNI)威脅在英國與美國的現況,為全球經濟衰退、地緣政治緊張局勢、民族國家行為者與勒索軟體,都在為 CNI 領域相關組織與供應商所面臨不斷升溫的威脅推波助瀾,提出預警。
四月,有報導披露對 VoIP 廠商 3CX 大型供應鏈攻擊負責的駭客組織,也破壞兩個能源產業關鍵基礎建設的企業組織,一個在美國、另一個位於歐洲。值此同時,英國國家網路安全中心(NCSC)針對英國關鍵基礎建設的新型俄羅斯網路敵手威脅發出警告。三月,在一連串打擊食物供給、醫院與學校這類 CNI 服務的攻擊發生後,白宮國家網路安全戰略將勒索軟體重新歸類為一級國家安全性威脅。
為因應這些狀況,今年啟動了許多舉措、專案、指南與標準,提升關鍵系統資安同時著手解決威脅 CNI 的漸增風險。廠商、政府、產業機構與非營利組織紛紛提出貢獻,資訊共享與協同合作是提升整個 CNI 產業復原力眾多努力的主要核心。以下是今年為止的十個重要實例。
一、英國提出產品安全與電信基礎設施法案
2022 年十二月,產品安全與電信基礎設施(PSTI)法案納入英國法律,2023 年是企業組織達成此新法規要求合規性的寬限期。該法案為產品與電子通訊基礎設施這類網際網路可連結產品與具連結能力的產品設立條款。現有法令涵蓋的產品(包括健康醫療監控產品與智慧電錶),或複雜且未來將實現自有法令的產品(例如自動車),不在 PSTI Act 涵蓋範圍。
必須合規的三大範疇:
- 明確的支援期間,確切指定製造商持續提供更新的時間。
- 不允許使用預設密碼,意即必須提供首度使用的唯一產品密碼予使用者,該密碼之後必須變更。
- 任何人發現漏洞可通知製造商的管道,以便製造商通知客戶弱點並提供即時修復。
二、歐盟 NIS2 為民生必需機構建立新標準
一月份,歐盟開始實施網路暨資安指令(NIS2),導入擴充關鍵基礎建設部份的新法規。在 NIS2 下,歸類在「民生必需機構」下的企業組織,例如能源供應商、運輸業與健康醫療,皆受最嚴格要求與最全面性的法規監督,(很可能)含括現場檢驗與針對性、獨立的安全性稽核。NIS2 取代歐盟 2018 年生效的 NIS 指令,歐盟國必須在 2024 年十月前滿足此更新法規。
隨著實施 NIS2 的變革,歐盟監管機構體認到關鍵基礎建設與第三方網路遭網路攻擊的風險越來越高。Sectigo 體驗長 Tim Callan 表示,「必須特別留意的是,修訂後的法規涵蓋大範圍企業組織與商業行為,要求網路攻擊二十四小時內迅速通知相關單位的強制性義務,並設立目標機構必須維持的最低安全性標準。」
三、北大西洋公約組織、歐盟成立關鍵基礎建設復原力專案小組
一月,北大西洋公約組織(NATO)與歐盟就成立復原力暨關鍵基礎建設保護專案小組達成一致。繼俄羅斯總統普丁的能源武器化與北溪天然氣管道破壞後,這兩個組織表示該專案小組重點是讓關鍵基礎建設、技術與供應鏈更能彈性面對可能威脅,採取行動緩解弱點。
接下來的一個月,NATO 與 EU 資深官員開會正式成立「關鍵基礎建設復原力 NATO-EU 專案小組」。該項舉措正式集結這兩個組織,分享最佳實作與狀態意識,制定提升復原力準則。該專案小組從關注四大領域開始:能源、運輸、數位基礎建設與太空。
2022 年十二月,NATO 實驗利用 AI 能力保護關鍵基礎建設,結果指出此舉有助於大規模識別關鍵基礎建設的網路攻擊模式/網路活動,還能偵測惡意軟體,加強防禦性應變的決策制定。
四、國際專案小組打擊威脅國家資安勒索軟體
一月,36 個政府與歐盟聯手成立國際反勒索軟體專案小組,打擊造成國家安全威脅的勒索軟體攻擊,尤其針對影響 CNI 領域營運的部份。由澳洲政府領導的該聯盟,旨在以持續並有效的國際間協同合作,透過資訊與情報交換、分享最佳實作政策與法定權威框架,加上執法與網路主管機關的合作,瓦解、對抗與防禦不斷升溫的勒索軟體威脅。
與其他業界舉措相較,國際反勒索軟體專案小組更可能立即見效,偵測與應變代管商 Ontinue 安全性運作副總裁 Craig Jones 如此表示。「這是由於勒索軟體的國際性關注,整體而言,勒索軟體是商業組織與基礎建設最難對付的全球性威脅。」
五、系統網路安全協會釋出 ICS 資安現場指南二、三冊
系統網路安全協會(SANS)發行新的兩冊工業控制系統(ICS)資安現場指南,為 ICS 網路安全專家與風險管理者提供意外事件應變、弱點管理、防禦技能組合、團隊管理與防禦系統安全性工具/協定的新見解。第二冊於一月發行,第三冊則為五月。
「SANS ICS 網路安全現場指南系列,是所有 ICS 安全性專家的必備工具。」ICS 專家、現場指南作者暨 SANS 認證講師 Dean Parsons 如此表示。「控制系統操作者、關鍵基礎建設網路防禦人員與 ICS/OT 風險管理,全球工業控制系統領域所有人家裡桌上都該有一本。」
六、CISA 更新跨部門資安績效目標
三月,美國網路安全暨基礎建設安全局(CISA)更新跨部門網路安全績效目標(CPGs),協助關鍵基礎建設建立通用基本網路安全實作。CPGs 屬於 IT 與 OT 網路安全實作優先處理部份,關鍵基礎建設所有者與操作者依此實施,可有效降低已知風險的可能性與減緩對手技術的帶來的影響。
版本 1.0.1 對 CPGs 重新排列與編號,是為了與 NIST 網路安全框架更一致。這次更新內容,還含括對抗網路釣魚多因認證(MFA)與意外事件復原計劃相關新指南。
七、資安公司成立精英網路防禦計畫
四月,全球網路資安企業 Accenture、IBM 與 Mandiant 聯合成立「精英網路防禦計畫」,這套新的協作舉措由 Nozomi Networks 領導,目的是為了協助建立更安全的關鍵基礎建設。該專案旨在提供全球產業與政府客戶使用穩健的網路安全防禦工具、意外事件應變團隊與威脅情報。
專案每位參與者,都會為共同客戶提供專屬設計的意外事件應變與評估專案,以及與 Nozomi Networks Labs 合作分享威脅情報,與重點放在識別威脅行動者的新興惡意軟體與新 TTPs 的聯合資安研究。
八、OT 巨擘聯手打造早期威脅攻擊警示系統 ETHOS
四月,幾個以往彼此競爭的資安公司宣佈暫時停火,共同致力於一項新的、廠商中立、開放源碼與匿名的 OT 威脅示警系統,稱之為 ETHOS(新興威脅開放共享)。
非營利組織 ETHOS,旨在分享早期威脅指標,與發現威脅民生必需服務產業組織營運的新興攻擊,例如電力、水、石油天然氣與製造業系統。ETHOS 獲得美國 CISA 認可,大大提升該舉措的接受度。包括公用與私有資產擁有者的所有企業組織,皆可無償貢獻 ETHOS,創立者期望它朝開放源碼軟體 Linux 的路線發展。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
ETHOS 社群與董事會成員含括眾多傑出 OT 資安公司:1898 & Co.、ABS Group、Claroty、Forescout、NetRise、Network Perception、Nozomi Networks、Schneider Electric、Tenable 與 Waterfall Security。
「這是社群的努力,」Tenable 的 OT 與 IoT 副技術長 Marty Edwards 表示。「我們希望能有技術中立第三方(支持 ETHOS),無論是政府單位、資訊共享與分析中心,或考慮是否必須在非營利組織下建立自有實體。」
九、英國 NCSC 發佈原則基準的保證框架
四月,英國 NCSC 發佈建立原則基準(PBA)框架,測量與證明導致人民生活重大影響的產品與系統受感染後的網路復原力。該框架涵蓋 CNI,它面對的是擁有資源、技術與時間,以針對方式作業的重大網路威脅與攻擊者。
PBA 有三道程序。首先是以風險為基礎而非合規導向處理準則的基礎層。第二級為發展可遵循的一致性方式,加上文件化與可供使用的範本。最後一級則是以廠商與買方達成一致且信任的方式,在市集上以服務的方式佈署與存取。
NCSC 將於可供使用時發佈 PBA 法,讓人們使用。服務層方面的工作正在進行,設計一套可透過業界合作夥伴擴充 PBA 準則與方法。明年,NCSC 計劃透過已核可網路復原力測試設施組成,建立雛型網路。
十、英國推出安全連結資安教戰守則
五月,英國政府公布安全連結場所:資安教戰守則「alpha」版,支持地方當局改善連結場所的安全性,包括減輕電網壓力的智慧能源系統這類關鍵基礎建設與機構。它是由六個地方當局協同合作設計,主題範圍涵蓋治理、採購與供應鏈管理的網路安全資源,與如何做好威脅分析。
連結場所為地方當局帶來提升人民居住品質的契機,教戰守則如此表示。但未施予必要的保護,運作所需技術的多樣性與相互連結,讓連結場所同時造就其易受網路攻擊的弱點。「這些攻擊會導致聲譽受損、機敏資料漏失,與居民仰賴的實體基礎建設受害。」
(本文授權非營利轉載,請註明出處:CIO Taiwan)