美国空军将在基地和基础设施工控系统实施零信任网络安全

编者按

在美国防部发布新的运营技术零信任指南的情况下，美国空军即将开始在其基地和基础设施的工业控制系统中应用零信任网络安全原则。

美国防部针对信息技术的零信任指导方针设定了两个成熟度级别、共计152项活动，其中：目标级别涉及在2027财年前实施91项具体活动，高级级别涉及在2032年前再实现新增的61项活动。美国国防部首席信息官办公室11月最新发布的运营技术零信任指南延续了上述两个成熟度级别划分，但具体活动设定为105项，且未明确截止完成日期，其中：目标级别涉及84项活动，高级级别涉及21项活动。美国防部计划在2026年初发布更新版的零信任战略，并为武器系统和国防关键基础设施制定更多指导方针。

美国空军首席信息安全官亚伦·毕晓普表示，运营技术可能成为关键任务的攻击面，敌方无需入侵网络即可干扰飞行任务和任务计划，瘫痪基地内的公用设施或支持系统就能达到同样的效果，就像破坏基地外部的电力供应导致基地断电一样；运营技术环境通常涉及较长的生命周期、特定供应商的软硬件以及有限的可见性，这对安全框架构成严重挑战；运营技术环境不能原封不动地照搬美国防部针对信息技术系统提出的零信任网络安全要求，例如可编程逻辑控制器的运行、接口和连接方式与计算机系统完全不同；零信任永无止境，空军的最终目标并非仅是实现合规性检查，而是要构建即使在遭受攻击的情况下也能持续运行的基础设施，此项工作需要时间和反复迭代。

奇安网情局编译有关情况，供读者参考。

美国空军即将开始在其基地和基础设施的工业控制系统中应用零信任网络安全原则。美国空军首席信息安全官亚伦·毕晓普称，运营技术（OT）环境不能简单地照搬美国防部为笔记本电脑和网络等信息技术（IT）系统提出的要求。

美国国防部已为实施信息技术（IT）零信任设定了两个不同的成熟度级别，其中：目标级别涉及在2027财年之前实施91项具体活动，高级级别涉及在2032年前实现新增的61项活动。

在圣安东尼奥举行的阿拉莫网络安全博览会（ACE）会议上，亚伦·毕晓普表示，美国防部2027年信息技术（IT）零信任指令仅仅是保护其资产免受网络攻击的第一步。

亚伦·毕晓普称，“你不能把在笔记本电脑上做的所有事情都原封不动地应用到可编程逻辑控制器（PLC）上。PLC的运行方式不同，接口方式不同，连接方式也不同。你不能简单地把适用于计算机系统的任意操作步骤应用到运营技术（OT）上。”可编程逻辑控制器（PLC）是许多运营技术（OT）环境的核心。

美国国防部首席信息官办公室11月发布了一份新文件，概述了各组织应如何将零信任网络安全原则应用于运营技术（OT）系统。该指南包含了105项零信任活动和能力成果，旨在指导如何在运营技术（OT）环境中实施零信任。其中，84项活动被视为零信任最低“目标级别”，21项活动被视为零信任的“高级级别”。此外，该指南还涵盖七大支柱：用户；设备；应用程序和工作负载；数据；网络和环境；自动化和编排；可见性和分析。

这份新指南并没有为运营技术（OT）环境设定具体的截止日期。美国防部计划在2026年初发布更新版的零信任战略，并为武器系统和国防关键基础设施制定更多指导方针。

运营技术（OT）作为关键任务攻击面

亚伦·毕晓普以简洁明了的作战术语阐述了运营技术（OT）的推进。美国空军日益认识到，敌方无需入侵网络即可干扰飞行任务和任务计划。在许多情况下，瘫痪基地内的公用设施或支持系统就能达到同样的效果，就像破坏基地外部的电力供应导致基地断电一样。

亚伦·毕晓普表示，“运营技术（OT）系统通常彼此独立，所以你无法每天查看它们，也不知道它们运行状况如何。它们通常是专有的。此外，还存在生命周期问题，系统可能已经运行了10年。你原本期望投入的资金能再使用20年，但现在从信息技术（IT）或运营技术（OT）的角度来看，它已经过时了，我们需要对其进行更新。”

这种组合——较长的生命周期、特定供应商的硬件和软件以及有限的可见性——给应用任何安全框架都带来了挑战，更不用说零信任的细粒度、以身份和数据为中心的模型了。

从初始就将韧性融入设计

对亚伦·毕晓普而言，最终目标并非仅仅是合规性检查，而是构建一个即使在遭受攻击的情况下也能持续运行的基础设施。这并不意味着要采用冗余或恢复流程。尽管这些也至关重要，但零信任的核心在于系统从一开始就不能宕机，也不能在抵御网络攻击时被对手控制。

运营技术（OT）领域中监控和数据采集系统种类繁多，这带来了挑战。通常用于构建信息技术（IT）领域弹性的典型安全设计工程原则，现在需要应用到运营技术（OT）领域。

亚伦·毕晓普提醒称，这项工作需要时间和反复迭代。他还强调，在敌方随时准备攻击任何可能影响运营的联网系统的世界里，将运营技术（OT）排除在零信任工作之外是不可行的。他称，“零信任永无止境，你总能找到新的方法来保护自己。”

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。