美国政府发布保护供水系统的指南

美国政府周三发布了关于供水和废水处理 (WWS) 部门实体应采取的行动的新指南，以提高其网络对网络攻击的抵御能力。

除了说明之外，这份题为《保障供水系统安全的顶级网络行动》 (PDF) 的文档还提供了有关可用免费资源的信息，这些资源可以帮助 WWS 组织评估和改善其安全状况。

为了最大限度地减少供水系统的网络风险，建议 WWS 实体通过将 OT 设备从公共访问中移除来减少互联网暴露，定期进行评估以识别易受攻击的 OT 和 IT 系统并优先进行修补，并通过将默认密码更改为唯一的密码来改善密码卫生。复杂的问题并实施多重身份验证（MFA）。

此外，还应盘点OT和IT资产，重点关注暴露在互联网上的软硬件资产，并定期备份OT和IT系统，并将备份存储在隔离位置。

文件指出，所有系统和应用程序都应及时更新，组织应根据美国网络安全机构 CISA 的已知利用漏洞目录确定 OT 补丁的优先级。

最后，由 CISA、美国环境保护局 (EPA) 和联邦调查局 (FBI) 撰写的文件称，组织应每年至少进行一次网络安全意识培训。

缺乏必要资源来全面实施网络安全弹性计划的组织可以访问 CISA 和 EPA 提供的免费计划、工具、服务和培训，包括为水务公司量身定制的免费漏洞扫描程序。

建议所有 WWS 实体和关键基础设施组织查看该指南并实施建议的行动，以提高其网络弹性。

新指南是在CISA、EPA 和 FBI 发布事件响应指南以帮助 WWS 实体提高网络弹性和事件响应能力大约一个月后发布的。

原文始发于微信公众号（河南等级保护测评）：美国政府发布保护供水系统的指南