美国CISA最新报告：公布关键基础设施部门网络安全目标

近日，美国网络安全和基础设施安全局（CISA）发布了一份新报告，概述了所有关键基础设施部门的基准网络安全性能目标（CPG）。该文件是由拜登总统在2021年7月签署的安全备忘录而来。已成为CISA和国家标准与技术研究所（NIST）为关键基础设施创建基本的网络安全实践，主要是为了帮助中小型企业（SMEs）改善其网络安全工作。

CPG旨在成为：

一套广泛适用于关键基础设施的网络安全做法的基线，具有已知的降低风险的价值。

关键基础设施运营商衡量和提高其网络安全成熟度的基准。

为IT和OT所有者推荐的实践组合，包括一套优先的安全实践。

与其他控制框架不同的是，它们不仅考虑了解决单个实体风险的做法，而且还考虑了国家的总体风险。

CISA指出："CPG是IT和操作技术（OT）网络安全实践的一个优先子集，关键基础设施的所有者和经营者可以实施，以有意义地减少已知风险和对手技术的可能性和影响。这些目标是根据现有的网络安全框架和指南制定的。它们还依赖于CISA及其合作伙伴观察到的现实世界的威胁和对手的战术、技术和程序（TTPs）。

通过实施这些目标，业主和运营商将不仅减少对关键基础设施运营的风险，而且也减少对美国人民的风险。

CISA计划每6到12个月进行目标更新

Hexagon公司网络生态系统的全球总监Edward Liebig指出："随着技术的发展，风险、TTP和范围自然会改变。这一点，再加上工业革命4.0的演变，将使建议和结果适当变形。”

在他看来CISA与监管机构一起起草具体部门目标的计划，如果没有行业垂直运营商的密切参与，随着时间的推移，可能会变得难以维持。应该共同努力，建立并鼓励参与特定行业的信息共享和分析中心（ISAC），如电力信息共享和分析中心（E-ISAC），因为供应商之间的合作将进一步解决OT安全中的问题。”

据悉，在Cyble研究人员发现超过8000个暴露的虚拟网络计算（VNC）实例，可能导致对关键基础设施组织的远程妥协攻击后的几个月，CISA报告出台。