您是否正在使用可用的10亿美元来修补关键基础设施漏洞?

关键基础设施组织需要使用国土安全部的10亿美元资金来加强关键基础设施漏洞的网络安全。

通过韦恩Dorris 2023年6月10日
图片由布雷特·塞尔斯提供

学习目标

  • 了解哪些行业获得了10亿美元的网络安全援助,以及为什么关键基础设施面临网络安全威胁的风险。
  • 回顾漏洞管理的最佳实践,以及如何适应更强大的网络安全而不是网络攻击成本。

网络安全的见解

  • 每个关键基础设施行业都面临着独特的合规挑战,需要遵守不同的法规,并且都是网络犯罪分子的主要目标。
  • 法规代表了最低级别的安全性,但对于大多数企业来说,超出这些要求是一个好主意,因为他们面临的攻击者是复杂的。

国土安全部宣布分发10亿美元用于关键基础设施网络安全2022年9月。随着越来越多的行业正在进行数字化转型,网络安全势在必行。虽然政府正在认真对待网络安全威胁,但解决这个问题并不像砸钱那么简单。关键基础设施面临的重大挑战导致网络安全解决方案和最佳实践的实施缓慢。

哪些行业正在获得网络安全方面的帮助?

定义如下国土安全部,关键基础设施有16个部门:化学;商业设施;通信;关键制造业(原金属制造业、机械制造业、电气设备、电器及零部件制造业);大坝;国防工业基地;紧急服务;能源;金融服务;粮食和农业; government facilities; healthcare and public health; information technology; nuclear reactors, materials, and waste; transportation systems; and water and wastewater).

由于行业众多,很难采用零设备一策略来满足每个行业的需求。每个公司都面临着独特的合规挑战,并遵守不同的法规,但它们都是网络犯罪分子的主要目标。随着物理安全和网络安全世界的不断融合,组织需要确保设备具有必要的解决方案,以应对当今最紧迫的威胁。

为什么关键基础设施面临网络安全威胁的风险?

关键基础设施面临着各种各样的网络安全威胁,从寻求快速获利的小规模黑客组织,到寻求造成真正、持久损害的民族国家。互联网协议(IP)摄像机和其他传感器等安全设备通常用于保护物理位置,但是,今天,任何连接到组织网络的设备都代表潜在的攻击者入口点。这意味着现代关键基础设施组织需要确保用于物理安全的设备包含符合当今法规的网络安全组件。

法规代表了满足政府监管机构的最低安全水平,但对大多数企业来说,超越这些要求是一个好主意。对网络安全的投资减少了组织面临的整体风险,也可以帮助他们在业务中更有效,或者面对组织特定的威胁。不同的关键基础设施行业面临着各种各样的威胁,与宽泛的、包罗万象的监管相比,它们往往更能把握如何应对这些威胁。

推动全面网络安全的另一个症结是信息技术(IT)和运营技术(OT)之间的斗争。为了使网络安全在所有系统中都有效,IT和OT需要很好地协同工作。在大多数情况下,IT和OT已经在顶层结合,但他们正在努力合并所有内容。OT通常在较旧的基础设施上运行,这些基础设施有不同的要求,并且不容易更新。IT习惯于处理三到四个操作系统,而OT则要处理数千个操作系统,这就需要采用一种零敲碎打的方法来实现安全。更重要的是,许多组织仍然面临人员挑战,缺乏IT和安全知识可能会阻碍实现。OT和IT比以往任何时候都更加需要彼此。这不是一个广泛解决的问题,组织需要开始一种文化转变,要求OT和IT坐下来,确定每个团队做什么以及每个团队问题的来源。数字化转型所需的协作方法始于共同基础。由于数字化转型,IT和OT可能会发现他们比以往任何时候都有更多的共同点,共享的问题和解决方案比以前想象的要多。

让IT和OT在同一页不能等待,因为网络罪犯不会等待。

漏洞管理最佳实践与网络犯罪利用

随着数字化转型的迅速发展,许多组织在采用良好的漏洞管理实践方面进展缓慢。网络犯罪分子的行动要快得多,他们乐于利用新的漏洞。的SolarWinds攻击对于许多关键基础设施来说,这是一个重大的警钟,攻击者利用一个看不见的漏洞并造成大规模混乱的能力已经导致新的行业法规要求提高透明度。任何与政府有业务往来或接受政府资金的实体都必须在其软件中提供透明度。

今天,负责任的开发人员或设备制造商被期望提供软件材料清单(SBOM),其中将解释软件本身的内容以及如何使用它。这种透明度背后的理论是允许漏洞扫描器完成它们的工作。漏洞扫描程序无法检测到它甚至不知道要查找的漏洞。出于同样的原因,开源组件在安全行业中变得越来越流行。开源代码没有秘密;任何漏洞都可以被识别和修补。

政府正在介入,为网络安全改进提供资金,但这也伴随着对某些要求得到满足的期望。国土安全部(DHS)团队为关键基础设施中的组织进行评估,这意味着大多数人应该对优先级有一个相当清晰的概念。美国网络安全和基础设施安全局(CISA)也发布了一系列指导方针,其中包括关键基础设施组织在哪些方面可以获得最大的投资回报的建议。在过去,如何满足这些建议是由组织来决定的。政府新近愿意为网络安全倡议提供资金,这为需要它们的组织提供了更有效的解决方案。

适应更强大的网络安全比网络攻击成本更重要

就网络安全而言,问题只是网络罪犯何时入侵组织,而不是是否入侵。适应并不是没有痛苦的,但它比毁灭性网络攻击的代价要大得多。过去,政府会提供评估。有了这笔资金分配,就提供了手段。关键基础设施组织不再有借口;他们需要将这笔新资金投入到解决脆弱性的可行步骤中。

韦恩DorrisCISSP是网络安全项目经理,轴的通信.编辑马克T.霍斯克,内容经理,控制工程,CFE媒体和技术,mhoske@cfemedia.com。

关键字

国土安全部,网络安全,保护关键基础设施

考虑一下这个

你是否在投资降低网络安全风险还是冒着失去投资的风险?

在线

Wayne Dorris讨论了勒索软件的威胁工业网络安全脉动,控制工程的姊妹出版物。

您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。

韦恩Dorris
作者简介:Wayne Dorris, CISSP,是Axis Communications网络安全项目经理。
面向工程师的新产品
搜索产品并发现您所在行业的新创新