美国CISA 如何帮助保护关基设施

网络风险评估是什么以及为什么需要 2023年如何进行网络风险评估 5年后的IT职业可能会是什么样子？ 累不死的IT加班人：网络安全倦怠可以预防吗？ 数据安全：什么是数据访问控制？ 90个网络和数据安全相关法律法规打包下载

关键基础设施攻击是网络犯罪分子的首选目标。以下是保护它们的原因和措施。

什么是关键基础设施，为什么会受到攻击？

关键基础设施是对国家安全、经济、公共卫生或安全至关重要的物理和数字资产、系统和网络。它可以是政府所有或私人所有。

朋友建了一个属于网络安全从业人士交流群，加微信进群

Cato Networks安全战略高级总监 Etay Maor 表示，“有趣的是，关键基础设施不一定是发电厂或电力。一个国家的货币体系甚至全球货币体系都可以而且应该被视为关键基础设施基础设施也是如此。”

这些特性使关键基础设施成为网络攻击的首选目标。如果关键基础设施被破坏，影响是巨大的。在某些情况下，这种针对关键基础设施的网络攻击已经成为现代战争的另一种手段。但与经典战争不同的是，在这些冲突中，平民和企业处于前线并成为目标。

最近的几个突出例子包括 2015 年对乌克兰电网的攻击、2018 年对堪萨斯核电站业务网络的入侵，以及朝鲜试图入侵 SWIFT 网络以窃取超过 10 亿美元的资金。更不用说臭名昭著的殖民地管道攻击，它已成为关键基础设施攻击的典型代表。

然而，攻击的目标可能会有所不同。虽然有些确实是通过测试能力和防御来为未来冲突做准备的一种方式，但其他一些可能是出于经济利益、企图窃取数据、获得远程访问或控制，或者中断和破坏服务。

Etay Maor 补充说：“发起攻击的不仅仅是民族国家。也可能是寻求金钱收益的网络罪犯或黑客行动主义者。”

关键基础设施如何受到攻击#

有几种类型的攻击用于关键基础设施。主要的是 DDOS、勒索软件（通过鱼叉式网络钓鱼）、漏洞利用和供应链攻击。Etay Maor 评论说：“其中一些技术更难阻止，因为它们针对的是人类而不是技术。”

聚焦：供应链攻击#

供应链攻击是攻击关键基础设施的一种关键方式。就像第二次世界大战中的爆炸案针对的是向军队提供物资的工厂，供应链网络攻击针对的是国家的关键基础设施供应商。

Etay Maor 回忆说：“当他们被黑客攻击时，我正在 RSA 安全部门工作。我记得当我意识到受到攻击时我坐在哪里以及我在做什么。互联网中断，所有服务都开始关闭。”

RSA 遭到黑客攻击并不是为了访问其自己的网络，而是作为一种破坏政府和军事机构、国防承包商、银行以及世界各地使用 RSA 保存密钥的公司的方式。

如何保护关键基础设施#

对网络安全的误解之一是，使用的安全产品越多，安全性就越好。但是，由太多产品组成的分层安全性可能会适得其反。

Per Etay Maor 表示，“在过去的五六年里，我们最终在我们的系统中添加了如此多的安全产品和流程。我们所做的是增加了更多的脂肪，而不是肌肉。” 数十种集成安全产品的结果？摩擦，尤其是在尝试关联来自它们的信息时。

Gartner 倾向于同意：“移动、云和边缘部署模型的数字化转型和采用从根本上改变了网络流量模式，使现有网络和安全模型过时。”

CISA 的作用#

对关键基础设施的潜在严重攻击促使各国建立网络防御组织来保护其关键资产，并为冲突做好准备。

CISA（网络安全和基础设施安全局）是美国的风险顾问。他们为关键基础设施部门提供支持和战略援助，重点是联邦网络保护。通过与私营部门合作伙伴和学院合作，他们能够提供主动的网络保护。

CISA 关注的一些关键领域包括协调和交流网络事件信息和响应以提供支持、保护 .gov域、协助保护.com域以帮助私营部门、协助保护关键基础设施和绘画网络空间的通用操作图。

CISA 牵头的其中一项计划是网络安全顾问计划。该计划提供网络安全意识教育和培训。这些顾问可以通过评估关键基础设施网络风险、鼓励最佳实践和风险缓解策略、启动、发展能力和支持网络社区和工作组、提高意识、收集利益相关者的要求以及提供事件支持和经验教训来帮助组织。

建立网络安全弹性#

网络安全弹性是防止关键基础设施攻击的关键。这种弹性来自组织采取的行动。这包括响应不良事件和获得网络可见性等活动，例如了解哪些端口和服务应该运行以及它们是否正确配置。

关于建立网络弹性的能力存在许多误解。以下是一些以及他们如何争论的：

• 声明：弹性需要大量预算。

• 事实：组织不需要大量预算，他们需要微调现有的解决方案。

• 声明：有一个银弹网络安全解决方案。

• 事实：组织的重点应该是让“101”方法和实践井然有序，例如网络可见性和员工培训。

• 声明：我们不会成为攻击目标。

• 事实：没有组织太小。

• 要求：有太多的工作要做。

• 事实：尽管如此，根据您自己的优先级研究解决方案很重要。

• 声明：这不是我们的责任。

• 事实：人人有责

• 主张：政府会拯救我们。

• 事实：政府取得成功的能力取决于与私营部门的伙伴关系以及该部门积极参与保护自身安全。

要开始建立自己的弹性，请回答以下三个问题：

1. 我对对手了解多少？

例如，攻击者是谁，他们如何操作等。

2. 对手对我了解多少？

换句话说，我网络的哪一部分暴露了？

3. 我对自己了解多少？

这个问题的答案提供了有关网络的外观和易受攻击位置的信息。换句话说，这个问题是关于获得对自己网络的可见性。

编译自：黑客新闻

>>>等级保护<<< 开启等级保护之路：GB 17859网络安全等级保护上位标准 网络安全等级保护：什么是等级保护？ 网络安全等级保护：等级保护工作从定级到备案 网络安全等级保护：等级测评中的渗透测试应该如何做 网络安全等级保护：等级保护测评过程及各方责任 网络安全等级保护：政务计算机终端核心配置规范思维导图 网络安全等级保护：信息技术服务过程一般要求 网络安全等级保护：浅谈物理位置选择测评项 闲话等级保护：网络安全等级保护基础标准（等保十大标准）下载 闲话等级保护：什么是网络安全等级保护工作的内涵？ 闲话等级保护：网络产品和服务安全通用要求之基本级安全通用要求 闲话等级保护：测评师能力要求思维导图 闲话等级保护：应急响应计划规范思维导图 闲话等级保护：浅谈应急响应与保障 闲话等级保护：如何做好网络总体安全规划 闲话等级保护：如何做好网络安全设计与实施 闲话等级保护：要做好网络安全运行与维护 闲话等级保护：人员离岗管理的参考实践 信息安全服务与信息系统生命周期的对应关系 >>>工控安全<<< 工业控制系统安全：信息安全防护指南 工业控制系统安全：工控系统信息安全分级规范思维导图 工业控制系统安全：DCS防护要求思维导图 工业控制系统安全：DCS管理要求思维导图 工业控制系统安全：DCS评估指南思维导图 工业控制安全：工业控制系统风险评估实施指南思维导图 工业控制系统安全：安全检查指南思维导图（内附下载链接） 业控制系统安全：DCS风险与脆弱性检测要求思维导图 >>>数据安全<<< 数据治理和数据安全 数据安全风险评估清单 成功执行数据安全风险评估的3个步骤 美国关键信息基础设施数据泄露的成本 备份：网络和数据安全的最后一道防线 数据安全：数据安全能力成熟度模型 数据安全知识：什么是数据保护以及数据保护为何重要？ 信息安全技术：健康医疗数据安全指南思维导图 金融数据安全：数据安全分级指南思维导图 金融数据安全：数据生命周期安全规范思维导图 >>>供应链安全<<< 美国政府为客户发布软件供应链安全指南 OpenSSF 采用微软内置的供应链安全框架 供应链安全指南：了解组织为何应关注供应链网络安全 供应链安全指南：确定组织中的关键参与者和评估风险 供应链安全指南：了解关心的内容并确定其优先级 供应链安全指南：为方法创建关键组件 供应链安全指南：将方法整合到现有供应商合同中 供应链安全指南：将方法应用于新的供应商关系 供应链安全指南：建立基础，持续改进。 思维导图：ICT供应链安全风险管理指南思维导图 英国的供应链网络安全评估 >>>其他<<< 网络安全十大安全漏洞 网络安全等级保护：做等级保护不知道咋定级？来一份定级指南思维导图 网络安全等级保护：应急响应计划规范思维导图 安全从组织内部人员开始 VMware 发布9.8分高危漏洞补丁 影响2022 年网络安全的五个故事 2023年的4大网络风险以及如何应对 网络安全知识：物流业的网络安全 网络安全知识：什么是AAA（认证、授权和记账）？ 美国白宫发布国家网络安全战略 开源代码带来的 10 大安全和运营风险 不能放松警惕的勒索软件攻击 10种防网络钓鱼攻击的方法 5年后的IT职业可能会是什么样子？ 累不死的IT加班人：网络安全倦怠可以预防吗？ 网络风险评估是什么以及为什么需要 美国关于乌克兰战争计划的秘密文件泄露 五角大楼调查乌克兰绝密文件泄露事件 湖南网安适用《数据安全法》对多个单位作出行政处罚 如何减少制造攻击面的暴露 来自不安全的经济、网络犯罪和内部威胁三重威胁 2023 年OWASP Top 10 API 安全风险 全国网络安全等级测评与检测评估机构目录（6月6日更新）

原文始发于微信公众号（祺印说信安）：美国CISA 如何帮助保护关基设施