美国白宫正在制定工业控制系统专项保护计划
2021-03-10
来源:关键基础设施安全应急响应中心
针对由SolarWinds入侵事件引发的一系列黑客活动,白宫即将发布行政命令,要求采取包括提高软件透明度在内的一系列应对措施。
美国白宫高级网络安全官员正在与证券交易委员会、环境保护局、能源部门以及工业控制系统专家合作,制定关键基础设施保护计划。
随着互联网连接度的不断提升,与水资源管理、电网运行、地铁系统以及其它基础服务相关的底层系统也面临着愈发严峻的网络攻击威胁。就在上个月,一个身份不明的攻击者试图将佛罗里达州一家水处理厂的化学成分操纵到危险的水平。这个案例说明系统的低能见度不仅能造成数字威胁,还能造成物理伤害,带来灾难性的后果。
美国网络与新兴技术国家安全副顾问Anne Neuberger表示,“考虑到任务影响、风险、威胁与文化差异,我们需要建立起有针对性的OT(运行技术)网络安全方法,来保护美国本土的工业基础设施。”
Neuberger上周五在SANS研究所举办的工业控制系统安全虚拟峰会上发表讲话,她强调:“如果你无法看见网络,自然无法保护网络;如果无法快速看见网络,自然无法及时捍卫网络。我们必须把这两点作为IT与OT的核心原则。”
Neuberger表示,这项计划的初步范围将集中在对美国民众影响最大,或者对国防、天然气、电力、管道、水资源以及化学系统具有重大意义的运营技术身上。此项计划还迎来另一位私营电力组织的重量级参与者——美国南方电力公司CEO Tom Fanning,同时也是国会授权的网络空间日光浴委员会成员。
由多位立法者组成的网络空间日光浴委员会,曾建议对2002年颁布的《萨班斯-奥克斯利法案》做出修订,批准证券交易委员会针对上市公司提出的网络安全监督与报告要求。上周三,该委员会的审查部门已经将信息安全与运营弹性(特别是网络安全)列为2021年内的高优先级事项。
Neuberger强调,白宫也在与美国证券交易委员会进行对话,“希望在采取实际行动之前明确双方拥有共同的目标,并通过讨论确定有效方法。”
目前,受SolarWinds事件影响的至少9家联邦政府部门与100多家企业受害者都表达了系统与软件透明度的重要意义。Neuberger认为,政府不仅需要从企业处获取洞见,同时也应关注企业所运营产品的实际质量,在源头上阻遏入侵行为的发生。
她认为,“我们需要从根本上转变观念,从事件响应转变为事先预防,并据此规划时间与资源投入。”
她还提到,即将发布的这项最新行政令还将包括一系列标准,可引导软件采购方轻松做出更好的安全决策。此外,美国国家电信与信息管理局也将提出一项改进软件物科清单质量的措施。
最后,她对这份即将发布的行政令做出总结:
“如今,一个网络所有者在采购网络管理软件等技术方案时,往往无法了解软件构建当中所使用的具体网络安全实践,也无法了解做出的产品选择将引入怎样的风险级别。我们必须扭转不利局面,推动软件物料清单及其他相关信息建立起良好的可见性。也只有这样,我们才能有效运用网络安全资金,明确表达我们在决策中最为重视的考量因素。”