保护关键基础设施:它是复杂的

在他的证词在美国众议院国土安全委员会4月5日,我认为,站得住脚的董事长兼首席执行官,强调现实的挑战和对政府如何帮助提供指导。

当政府和私营部门领导人谈论重要的基础设施,我们倾向于描述它,就好像它是一个单一的实体,同样资助,由同一组的规则和条例。在美国,现实是截然不同。

异质性在关键基础设施提供商再加上其他因素,比如他们的主要吸引力网络罪犯的目标和行业数字化业务的压力,使它成为一个挑战工艺一致,统一和有效的网络安全战略部门。这是一个关键问题,其意义远远超越技术领域,作为水处理设施的网络漏洞,医院或发电厂可以有重大的后果。

这是一个问题的深入参与。我认为,我们的首席执行官和董事长作证美国众议院国土安全委员会4月5日在“听证会上动员我们的网络防御:保护关键基础设施对俄罗斯的网络威胁。”伦的证词提供了一个综合评估的挑战和提出具体改进的建议。

“关键基础设施的提供者有责任关怀,突出了在动荡时期,是负责任的服务依赖于由数以百万计的美国人,”伦说。

数据显示了鲜明的网络成熟度的差异

网络安全和基础设施安全机构(CISA)已经确定了16个关键基础设施行业在美国,包括金融服务、能源供应商、医疗、制造、水和污水处理设施。比如金融服务组织,私营,资金雄厚,营利实体,没有资源雇佣前网络安全人才短缺和购买的最佳技术。其他人,像能源和运输供应商,可能是五花八门的,一些民营,其他人公开举行,和一些运行为公私合营,宽差异水平的资金和资源。还有一些人,像水和废水处理设施,由当地市政府,往往很难基金基本服务,更不用说找到的资源来吸引顶级网络安全专业人员团队。

网络安全防范水平在关键基础设施提供商有关。根据一项报告从战略与国际研究中心(CSIS)和Trellix——基于调查结果从800年这几个国家的决策者在世界各地,包括美国- 9%的关键基础设施运营商甚至没有一个网络安全策略,尽管事实上,85%的受访者认为,他们已经被一个国家网络攻击的目标。

成立自己的脆弱性之间的数据揭示了两种迥然不同的网络安全成熟度级别关键关键基础设施部门。站得住脚的数据显示,平均每个设备的关键漏洞数量发现金融服务机构和组织在能源领域——包括供应商的电力,石油、天然气和其他可消耗的燃料——大约是相同的。我们的数据表明这两个行业都相对成熟的网络安全实践。需要12天的中间组织金融服务补救和能源领域一个关键漏洞。对比之下,组织医疗和制造业,而每设备平均两倍的关键弱点作为金融服务和能源同行。漏洞修复需要29天的中位数为医疗组织生产组织和32天,分别。没一个漏洞是修改的时间越多,更大的优势提出了攻击者。

正如伦所说在他的书面证词:“没有奇异防御模式可以有效地应用在所有的领域。一些关键基础设施提供商有高度的网络安全防范,强劲的风险的理解和风险管理实践,很强的安全项目。人可悲的准备不足。”

攻击互连系统产生全面影响

同时,所有关键基础设施组织面临同样的压力,追求数字转换在追求效率和适应远程工作的需要。变化不仅影响信息技术(IT)系统和基础设施也操作技术(OT)系统的关键基础设施组织的依赖。

虽然数字转换的概念并不新鲜的工作,变化的速度大幅加快了在过去的两年里,随着全球大流行迫使组织迅速增加各种各样的云和远程访问解决方案以保持他们的业务功能。在OT,连接系统和网络是一个相对新的现象,通常包括更新遗留的工业系统与现代连接解决方案,以提高效率。这样的它/不收敛正迅速改变关键基础设施组织如何运作,增加风险的过程。

综上所述,在资金和互联性的增加系统的差距可以显著增加风险。说明现实世界的影响当一个小城市是有针对性的,伦的证词探索2021年2月的事件水处理厂是违反了15000年Oldsmar市的一个小镇。在这个事件中,攻击者试图改变水中的碱的水平会严重损害人体组织。这是一个惊人的例子,它的风险/不收敛;攻击者获得远程管理软件叫团队查看器,并从那里“访问系统利用网络安全的弱点包括穷人密码安全,和过时的Windows 7操作系统,”根据联邦调查局。这种攻击表明适当的系统卫生的重要性。

水处理的例子是惊人的,另一个最近的案例更加明显地说明了/不收敛的潜在的负面影响。2021年5月7日,殖民与ransomware管道被攻击导致该公司关闭其操作六天,促使美国总统发出的紧急状态。业务系统影响的妥协位于组织的IT环境。OT系统控制管道本身没有直接访问。然而,恐惧和不确定性可能达到的攻击导致了殖民管道关闭管道业务的决定。殖民管道最终最终支付了黑客组织黑暗面75比特币(440万美元)的能力来解锁系统,燃料回大部分的东海岸。

Ransomware攻击关键基础设施提供者代表一个盈利的企业网络罪犯,孔蒂的增长表明Ransomware数据泄漏。孔蒂比特币钱包数据显示支付超过10亿美元,俄罗斯演员创建一个大规模的融资方法。它也清楚地显示脆弱性管理的重要性作为一个强大的网络安全实践的核心宗旨。据报道,孔蒂集团及其子公司利用已知的漏洞,其中一些是在2018年首次披露。

尽管这些挑战可能会让人感到畏惧,伦的证词提出四个具体步骤,美国政府可以采取提高关键基础设施提供商的网络准备。

• 建立基线照顾重要基础设施的网络安全标准,结合国际标准和国家标准与技术研究院(NIST)网络安全框架,基于有效网络卫生习惯。

• 完成和实现SEC提出规定要求上市公司披露他们的政策和做法来解决网络安全风险。

• 实现网络事件报告要求包括在2022财政年度综合拨款法案。

• 支持和加强增值私营部门和公共部门之间的联系。

伦的证词还包括指导行动,美国政府可以采取保护自己的网络和系统。这些包括:

• 加强政府网络,包括保护联邦OT和活动目录服务在连续诊断和缓解(CDM)计划。
• 实现财政年度2022年国防授权法案的1505节。
• 建立标准的透明度和问责制。
• 确保足够的资金为中国钢铁工业协会和国家网络主任办公室,以确保他们能满足任务要求。

更加详细地讨论这些建议,访问完整的证词在这里。

了解更多

• 下载站不住脚的2021威胁景观回顾
• 阅读博客,你不能没有网络安全关键基础设施现代化和解美国国家安全备忘录改善关键基础设施的网络安全
• 下载白皮书,预测的攻击