精品偷拍一区二区三区,av日韩高清中文字幕,污视频30分钟在线观看免费

當(dāng)前位置： 首頁 >綜合 > 正文

2023年的十大重要基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全舉措

2023-06-09 15:10:55 來源：企業(yè)網(wǎng)D1Net

供應(yīng)商、政府部門、行業(yè)機構(gòu)和非營利組織在2023年如何為提高關(guān)鍵國家基礎(chǔ)設(shè)施的網(wǎng)絡(luò)彈性做出貢獻(xiàn)?需要采取一些網(wǎng)絡(luò)安全措施。

【資料圖】

關(guān)鍵基礎(chǔ)設(shè)施的安全已經(jīng)成為各行業(yè)組織在2023年議程上的重要議題，網(wǎng)絡(luò)攻擊和其他風(fēng)險對能源、食品、電力和醫(yī)療保健等基本服務(wù)所依賴的技術(shù)和系統(tǒng)構(gòu)成了持續(xù)威脅。

今年4月，黑客組織針對VoIP服務(wù)提供商3CX公司進行了重大供應(yīng)鏈攻擊，該組織還攻擊了能源領(lǐng)域的兩個關(guān)鍵基礎(chǔ)設(shè)施組織，一個位于美國，另一個位于歐洲。與此同時，英國國家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了一份警報，聲稱有一類新的網(wǎng)絡(luò)對手正在威脅英國的關(guān)鍵基礎(chǔ)設(shè)施。今年3月，在食品供應(yīng)商、醫(yī)院和學(xué)校等關(guān)鍵國家基礎(chǔ)設(shè)施(CNI)服務(wù)遭受一系列網(wǎng)絡(luò)攻擊之后，美國政府發(fā)布的《國家網(wǎng)絡(luò)安全戰(zhàn)略》將勒索軟件重新列為一級國家安全威脅。

作為回應(yīng)，美國在今年已經(jīng)啟動了多項舉措、計劃、指南和標(biāo)準(zhǔn)，以增強關(guān)鍵系統(tǒng)的網(wǎng)絡(luò)安全，并應(yīng)對威脅關(guān)鍵國家基礎(chǔ)設(shè)施(CNI)的日益增長的風(fēng)險。供應(yīng)商、政府、行業(yè)機構(gòu)和非營利組織都做出了貢獻(xiàn)，信息共享和協(xié)作是提高關(guān)鍵國家基礎(chǔ)設(shè)施(CNI)范圍內(nèi)網(wǎng)絡(luò)彈性的許多努力的關(guān)鍵主題。以下是在2023年的10個值得關(guān)注的網(wǎng)絡(luò)安全方面的舉措：

1、英國推出產(chǎn)品安全和電信基礎(chǔ)設(shè)施法案

2022年12月，產(chǎn)品安全和電信基礎(chǔ)設(shè)施(PSTI)法案被引入英國法律，2023年作為寬限期，各組織和機構(gòu)需要遵守其新規(guī)則。該法案規(guī)定了可連接互聯(lián)網(wǎng)的產(chǎn)品以及能夠連接到此類產(chǎn)品和電子通信基礎(chǔ)設(shè)施的產(chǎn)品的安全性?，F(xiàn)有立法涵蓋的產(chǎn)品(包括醫(yī)療保健監(jiān)控產(chǎn)品和智能電表)或復(fù)雜的產(chǎn)品(例如自動駕駛汽車)可能有一天會有自己的立法，不包括在PSTI法案中。

需要遵守的三個關(guān)鍵事項：

支持期限的明確信息，明確說明制造商將持續(xù)提供多長時間的更新。不允許使用默認(rèn)密碼，這意味著用戶在首次使用時需要提供唯一的密碼，然后需要更改這些密碼。發(fā)現(xiàn)漏洞的任何人都可以通知制造商，制造商通知其客戶并及時提供修復(fù)的信息。2、歐盟NIS2指令為基本實體制定了新的標(biāo)準(zhǔn)

今年1月，《網(wǎng)絡(luò)和信息安全指令》(NIS2)在歐盟生效，引入了一個擴展到關(guān)鍵基礎(chǔ)設(shè)施的新的監(jiān)管標(biāo)準(zhǔn)。根據(jù)《網(wǎng)絡(luò)和信息安全指令》(NIS2)，被歸類為“基本實體”的企業(yè)和組織(例如能源、運輸和醫(yī)療保健行業(yè)的供應(yīng)商)，將受到最嚴(yán)格的要求和最全面的監(jiān)管監(jiān)督，包括現(xiàn)場檢查和有針對性的、獨立的安全審計。《網(wǎng)絡(luò)和信息安全指令》(NIS 2)取代了2018年在歐盟生效的NIS指令，歐盟國家必須在2024年10月之前符合更新后的指令。

隨著實施NIS 2帶來的變化，歐盟監(jiān)管機構(gòu)認(rèn)識到關(guān)鍵基礎(chǔ)設(shè)施及其第三方網(wǎng)絡(luò)遭受網(wǎng)絡(luò)攻擊的風(fēng)險日益增加。Sectigo公司的首席體驗官Tim Callan表示：“值得注意的是，修訂后的立法涵蓋了更廣泛的組織，規(guī)定了在遭遇網(wǎng)絡(luò)攻擊后24小時內(nèi)立即通知相關(guān)部門的強制性義務(wù)，并設(shè)定了這些基本實體必須遵守的最低安全標(biāo)準(zhǔn)?！?/p>3、北約和歐盟啟動關(guān)鍵基礎(chǔ)設(shè)施復(fù)原特別工作組

在俄烏發(fā)生沖突以及北溪管道遭到破壞之后，北約和歐盟在今年1月成立了一個有關(guān)恢復(fù)和關(guān)鍵基礎(chǔ)設(shè)施保護的特別工作組。這個工作組的重點是提高關(guān)鍵基礎(chǔ)設(shè)施、技術(shù)和供應(yīng)鏈對潛在威脅的抵御能力，并采取行動降低脆弱性。

北約和歐盟的高級官員在今年2月舉辦一次會議上，正式啟動了北約-歐盟關(guān)鍵基礎(chǔ)設(shè)施恢復(fù)工作組。該倡議將北約和歐盟的官員聚集在一起，分享最佳實踐和態(tài)勢感知，以及制定提高彈性的原則。該工作組將重點放在四個領(lǐng)域：能源、交通、數(shù)字基礎(chǔ)設(shè)施和太空。

2022年12月，北約對人工智能保護關(guān)鍵基礎(chǔ)設(shè)施的能力進行了試驗，試驗結(jié)果表明，人工智能可以顯著幫助識別關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊模式/網(wǎng)絡(luò)活動，并檢測惡意軟件，從而增強有關(guān)防御反應(yīng)的決策。

4、國際特遣部隊打擊勒索軟件國家安全威脅

全球36個國家的政府和歐盟(EU) 在今年1月成立了國際反勒索軟件特別工作組，以打擊對國家安全構(gòu)成威脅的勒索軟件攻擊，尤其是那些影響關(guān)鍵國家基礎(chǔ)設(shè)施(CNI)的勒索軟件攻擊。該聯(lián)盟由澳大利亞政府領(lǐng)導(dǎo)，旨在通過信息和情報交流，分享最佳實踐政策和法律權(quán)威框架，以及執(zhí)法部門和網(wǎng)絡(luò)當(dāng)局之間的合作，實現(xiàn)持續(xù)和有影響力的國際合作，旨在破壞、打擊和防御日益增加的勒索軟件威脅。

管理檢測和響應(yīng)提供商Continue公司的安全運營副總裁CraigJones表示，與其他行業(yè)舉措相比，國際反勒索軟件特別工作組具有巨大的潛力，可以立即產(chǎn)生效果。他說，“這是因為將在國際上關(guān)注勒索軟件攻擊，這是對企業(yè)和基礎(chǔ)設(shè)施整體構(gòu)成的最可怕的全球威脅?！?/p>5、SANS研究所發(fā)布ICS網(wǎng)絡(luò)安全領(lǐng)域手冊第2卷和第3卷

美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(SANS)發(fā)布了兩個新的工業(yè)控制系統(tǒng)(ICS)網(wǎng)絡(luò)安全領(lǐng)域手冊，為ICS網(wǎng)絡(luò)安全專業(yè)人員和風(fēng)險管理人員提供了關(guān)于事件響應(yīng)、漏洞管理、防御技能、團隊管理和安全工具/協(xié)議的新見解，以保護工業(yè)控制系統(tǒng)。ICS網(wǎng)絡(luò)安全領(lǐng)域手冊第2卷于今年1月出版，第3卷于今年5月出版。

工業(yè)控制系統(tǒng)(ICS)專家、ICS網(wǎng)絡(luò)安全領(lǐng)域手冊作者和SANS認(rèn)證講師Dean Parsons說，“SAN SICS網(wǎng)絡(luò)安全領(lǐng)域手冊系列是所有ICS安全專業(yè)人員的重要工具，全球所有工業(yè)控制系統(tǒng)領(lǐng)域的每個控制系統(tǒng)操作人員、關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)防御者和ICS/OT風(fēng)險管理人員都應(yīng)該學(xué)習(xí)和掌握?！?/p>6、CISA更新跨行業(yè)網(wǎng)絡(luò)安全績效目標(biāo)

今年3月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)更新了其跨部門網(wǎng)絡(luò)安全績效目標(biāo)(CPG)，以幫助為關(guān)鍵基礎(chǔ)設(shè)施建立一套通用的基本網(wǎng)絡(luò)安全實踐。網(wǎng)絡(luò)安全績效目標(biāo)(CPG)是IT和OT網(wǎng)絡(luò)安全實踐的優(yōu)先子集，關(guān)鍵基礎(chǔ)設(shè)施所有者和運營商可以實施網(wǎng)絡(luò)安全績效目標(biāo)(CPG)，以有效降低已知風(fēng)險。

1.0.1版本對網(wǎng)絡(luò)安全績效目標(biāo)(CPG)進行了重新排序和編號，以更緊密地與NIST網(wǎng)絡(luò)安全框架保持一致。該更新包括與對抗網(wǎng)絡(luò)釣魚的多因素身份驗證(MFA)和事件恢復(fù)計劃相關(guān)的新指南。

7、網(wǎng)絡(luò)安全公司組成精英網(wǎng)絡(luò)衛(wèi)士計劃

今年4月，埃森哲、IBM和Mandiant公司加入了“精英網(wǎng)絡(luò)衛(wèi)士計劃”——這是由Nozomi Networks公司牽頭的一項新的合作計劃，旨在幫助保護關(guān)鍵基礎(chǔ)設(shè)施。該項目旨在為全球工業(yè)和政府客戶提供強大的網(wǎng)絡(luò)安全防御工具、事件響應(yīng)團隊和威脅情報。

項目的每個參與者將為他們的客戶提供定制的事件響應(yīng)和評估程序，同時承諾與Nozomi Networks公司網(wǎng)絡(luò)實驗室合作共享威脅情報和聯(lián)合研究，重點是識別新型惡意軟件和威脅參與者使用的新https。

8、OT巨頭合作建立早期威脅和攻擊預(yù)警系統(tǒng)

今年4月，一些相互競爭的OT安全公司宣布，他們將合作開發(fā)一個新的供應(yīng)商中立、開源和匿名的OT威脅預(yù)警系統(tǒng)，該系統(tǒng)名稱為ETHOS。

ETHOS系統(tǒng)旨在分享早期威脅指標(biāo)的數(shù)據(jù)，并發(fā)現(xiàn)威脅運營基本服務(wù)(包括電力、供水、石油和天然氣生產(chǎn)以及制造系統(tǒng))的工業(yè)組織的新型攻擊。它已經(jīng)獲得了美國CISA的認(rèn)可，這可能會給該倡議帶來更大的吸引力。包括公共和私人資產(chǎn)所有者的所有組織，都可以為ETHOS做出貢獻(xiàn)，創(chuàng)始人設(shè)想這個系統(tǒng)將沿著開源軟件Linux的路線發(fā)展。

ETHOS社區(qū)和董事會成員包括一些頂級的OT安全公司，例如1898&Co、Claroty、Dragos、ForeScout、NetRise、Network Percept、Nozomi Networks、施耐德電氣、Table和Waterfall Security。

Tenable公司負(fù)責(zé)運營技術(shù)(OT)和物聯(lián)網(wǎng)的副首席技術(shù)官Marty Edwards說， “這是社區(qū)的努力，我們希望能找到一個技術(shù)中立的第三方來支持ETHOS，無論是政府部門，還是信息共享和分析中心，或者坦率地說，我們必須在非營利組織下支持自己的實體?！?/p>9、英國NCSC宣布基于原則的保證框架

今年4月，英國國家網(wǎng)絡(luò)安全中心 ( NCSC )宣布，該中心正在建立基于原則的(PBA)框架，以衡量和認(rèn)證產(chǎn)品和系統(tǒng)的網(wǎng)絡(luò)彈性，如果受到損害，可能會對人們的工作和生活造成重大影響。英國國家網(wǎng)絡(luò)安全中心 ( NCSC )表示，這包括關(guān)鍵國家基礎(chǔ)設(shè)施(CNI)，它面臨著重大的網(wǎng)絡(luò)威脅，而網(wǎng)絡(luò)攻擊者有資源、技能和時間以有針對性的方式進行攻擊。

PBA將有一個三層流程：第一層是基于風(fēng)險的方法，而不是合規(guī)性驅(qū)動的方法。第二層是開發(fā)可遵循的一致方法，以及要使用的文檔和模板。最后一層是如何以一致和可信的方式將方法作為服務(wù)在市場中由供應(yīng)商和買家進行部署和訪問。

當(dāng)基于原則的(PBA)方法可用時，英國國家網(wǎng)絡(luò)安全中心 ( NCSC )將對外發(fā)布，以便人們可以開始使用。目前正在進行服務(wù)層的工作，以設(shè)計一種通過行業(yè)合作伙伴擴展PBA理念的方法。英國國家網(wǎng)絡(luò)安全中心 ( NCSC )計劃在2024年建立一個經(jīng)批準(zhǔn)的網(wǎng)絡(luò)彈性測試設(shè)施的雛形網(wǎng)絡(luò)。

10、英國推出“安全連接場所”網(wǎng)絡(luò)安全手冊

今年5月，英國政府發(fā)布了《安全連接場所：網(wǎng)絡(luò)安全手冊》的“alpha”版本，以支持地方當(dāng)局提高其連接場所的安全性，包括關(guān)鍵基礎(chǔ)設(shè)施和公用事業(yè)設(shè)施，例如減少電網(wǎng)供電壓力的智能能源系統(tǒng)。這個手冊是與六個地方當(dāng)局合作設(shè)計的，包括多個網(wǎng)絡(luò)安全資源，涵蓋治理、采購和供應(yīng)鏈管理以及如何進行良好的威脅分析等主題。

該手冊稱，互聯(lián)互通的地方為地方當(dāng)局提供了提高市民生活質(zhì)量的機會。然而，如果沒有必要的保護，運營互聯(lián)場所所需技術(shù)的多樣性和互聯(lián)性也使它們?nèi)菀资艿骄W(wǎng)絡(luò)攻擊。這些攻擊可能導(dǎo)致聲譽受損、敏感數(shù)據(jù)丟失，以及居民所依賴的物理基礎(chǔ)設(shè)施遭到破壞。

標(biāo)簽：

上一篇：報告稱英偉達(dá)人工智能軟件可被輕易破解，存在泄露用戶隱私的風(fēng)險

上一篇：最后一頁