编者按
美国网络安全和基础设施安全局(CISA)5月5日正式启动“关键基础设施加固”(CI Fortify)计划,旨在帮助关键基础设施所有者和运营者在遭遇大规模网络攻击或地缘政治危机时仍可维持基本服务。
美国网络安全和基础设施安全局表示,国家级网络威胁行为者持续入侵美国关键基础设施,目标不仅是开展间谍活动,更意图通过预置攻击能力,以赢得更广泛的地缘政治冲突;关键基础设施所有者和运营者必须加强其系统,以确保美国的关键服务在发生地缘政治冲突时能够维持基本运作:加强“隔离”和“恢复”能力至关重要,这关系到未来危机期间能否维持服务交付,因为敌方可能会破坏通信并操纵控制系统。
“关键基础设施加固”计划是一项旨在加强公共卫生与安全、国防关键基础设施、经济连续性和国家安全的联合倡议,其目标是确保运营人员做好准备,在发生地缘政治冲突时维持关键业务的正常运转。该计划强调采用“弹性模型”,以确保系统在网络性能下降、通信中断或核心系统被破坏的情况下继续运行。根据该计划,关键基础设施运营人员应假定在冲突情境下,第三方连接(例如电信、互联网、供应商、服务提供商和上游依赖项)将不可靠,并且威胁行为者将能够部分访问运营技术网络。
该计划侧重于两项能力,即“隔离”和“恢复”。隔离措施包括主动断开与第三方和业务网络的连接,以防止运营技术遭受网络安全影响,并在通信环境恶化的情况下维持关键业务运营。区别于传统的“物理隔离”,这种“可控隔离”具备在必要时进行本地手动操作的能力,目标是确保在紧急情况下能够提供关键服务,而不是完全停止服务。具体措施包括:确定关键用户,并根据其需求设定服务交付目标;单独确定实现该目标所需的关键运营技术及配套基础设施;更新业务连续性计划和工程流程,以确保在隔离期间能够安全运营“数周至数月”。恢复工作则包括:编制系统文档;备份关键文件;在隔离失效、组件无法运行时,演练系统替换或切换到手动操作的方案;解决恢复过程中的通信依赖项,例如许可服务器或业务网络连接。
该计划呼吁关键基础设施运营者外的各方参与行动,共同确保关键设施的网络安全。其中,工业自动化控制系统供应商应主动识别隔离和恢复过程中的障碍,了解并通报电信中断中的故障状态;托管服务提供商和集成商应协助支持隔离所需的工程更新和规划工作,支持恢复所需的本地备份和文档收集,以及通信依赖项;安全供应商在危机发生前应支持监测和预警功能,通报威胁行为者从间谍活动转向实际影响的迹象,在危机期间及时通报阻止恢复或打破隔离的策略、技术和程序;志愿者应加强与官方和非官方机构的联系以协助所在社区提高韧性。
“关键基础设施加固”计划名义上为新型倡议,实质上是对业务连续性、灾难恢复和事件响应等传统能力的再包装。美国网络安全和基础设施安全局将通过四方面安排支持该计划的实施:一是开展有针对性的评估、指导和演练,识别关键基础设施在网络攻击或危机期间隔离或恢复过程中可能存在的障碍,同时审查隔离能力的发展和演练情况;二是新增300余个工作岗位,重点是加强区域现场运营以及与工业控制系统和运营技术相关的技术专长;三是与美国运输安全管理局、环境保护署和能源部等行业风险管理机构以及美国国防部等严重依赖特定关键基础设施的机构开展协调;四是与“五眼联盟”成员国协调加强关键基础设施韧性。
奇安网情局编译有关情况,供读者参考。
美国网络安全和基础设施安全局(CISA)5月5日启动了“关键基础设施加固”(CI Fortify)计划,旨在帮助关键基础设施所有者和运营者在遭受大规模网络攻击和地缘政治危机时维持基本服务。
该计划敦促关键基础设施所有者和运营者采用一种弹性模型,使机构即使在网络性能下降、通信中断或核心系统遭到破坏的情况下,仍能继续提供关键服务。
美国网络安全和基础设施安全局表示,美国关键基础设施运营者不断面临来自国家级网络威胁行为者的入侵尝试,这些对手的目标不仅仅是间谍活动,更是为了赢得更广泛的地缘政治冲突。例如,网络威胁行为者已成功预先部署在关键基础设施上,以破坏和摧毁美国的运营技术(OT);网络威胁行为者可以利用对电信基础设施的控制,切断电话和互联网服务。
美国网络安全和基础设施安全局强调,关键基础设施所有者和运营者必须加强其系统,以确保美国的关键服务在发生地缘政治冲突时能够维持基本运作:如今投资于“隔离”和“恢复”能力至关重要,这关系到未来危机期间能否维持服务交付,因为敌方可能会破坏通信并操纵控制系统。
美国网络安全和基础设施安全局代理局长尼克·安德森表示:“在地缘政治危机中,美国民众赖以生存的关键基础设施机构必须能够至少继续提供关键服务。它们必须能够将重要系统与外界隔离,在隔离状态下继续运行,并迅速恢复任何可能被敌方成功入侵的系统。”
尼克·安德森发表声明称,“我们强烈鼓励各组织审查本指南,实施建议的行动,并与CISA合作,加强关键基础设施防御,以抵御机会主义威胁行为者。”
尼克·安德森表示,这项计划涵盖多个美国联邦部门和机构。与网络安全和基础设施安全局(CISA)协调的机构包括一些行业风险管理机构(SRMA),例如美国运输安全管理局、环境保护署和能源部,以及其他一些严重依赖特定关键基础设施的机构,例如美国国防部。
在国际上,“五眼联盟”伙伴正在协调加强关键基础设施韧性。尼克·安德森表示:“这一挑战没有国界,需要进行基本的应急计划,以确保即使在危机期间也能提供服务。” 2025年,“五眼联盟”成员国澳大利亚启动了自己的CI Fortify项目。
CI Fortify是什么?
“关键基础设施加固”(CI Fortify)计划是一项旨在加强公共卫生与安全、国防关键基础设施、经济连续性和国家安全的联合倡议,其目标是确保运营人员做好准备,在发生地缘政治冲突时维持关键业务的正常运转。为便于规划,运营人员应假定在冲突情境下,第三方连接(例如电信、互联网、供应商、服务提供商和上游依赖项)将不可靠,并且威胁行为者将能够部分访问运营技术(OT)网络。隔离和恢复是应急规划的目标,可以在未来几年内减轻这种威胁。
尽管CI Fortify计划的框架是新的,但其基本理念并非如此。多位专家表示,该计划很大程度上是对灾难恢复、业务连续性和事件响应等长期实践的重新包装,而这些领域正是许多机构历来投入不足的。
美国CISA表示,将通过有针对性的评估、指导和演练来支持这项工作,试点阶段已经开始,并计划增加急需的人员配备,以将该计划推广到各个领域。
作为CI Fortify计划的一部分,美国CISA将根据一项优先考虑军事相关关键基础设施的试点计划,开展一系列“有针对性的评估”。这些评估将识别出设施或基础设施在网络攻击或危机期间隔离或恢复过程中可能存在的障碍。该机构还将审查隔离能力的发展和演练情况。
尼克·安德森表示:“当网络攻击发生时,精心策划的应急能力有助于确保受影响的组织仍然能够提供关键服务。”他解释称:“我们没有设定具体的评估数量。但我可以告诉大家,我们已经开始启动前几次评估了。”
尼克·安德森还表示,美国CISA正在招聘更多员工以支持这项工作,包括计划增设300多个职位,重点是加强区域现场运营以及与工业控制系统和运营技术相关的技术专长。区域人员将在评估基础设施运营者和支持美国联邦紧急事务管理局认可的10个区域的实施方面发挥核心作用。
隔离
隔离措施包括主动断开与第三方和业务网络的连接,以防止运营技术(OT)遭受网络安全影响,并在通信环境恶化的情况下维持关键业务运营。其目标是确保在紧急情况下能够提供关键服务,而不是完全停止服务。这包括:
确定关键用户,例如军事基础设施和生命线服务,并根据他们的需求设定服务交付目标。
单独确定实现该目标所需的关键运营技术及配套基础设施。
更新业务连续性计划和工程流程,以确保在隔离期间能够安全运营数周至数月。
美国CISA官员强调,这并非传统的物理隔离,而是可控隔离,并具备在必要时进行本地手动操作的能力。其目标是在切断敌方访问权限的同时,维持关键服务的正常运行。
恢复
恢复工作包括编制系统文档、备份关键文件,以及在隔离失效、组件无法运行时,演练系统替换或切换到手动操作的方案。此外,恢复工作还包括解决恢复过程中的通信依赖项,例如许可服务器或业务网络连接。
运营者应与他们的托管服务提供商、系统集成商和供应商分享和讨论,以帮助他们了解通信依赖项和可能的变通方法。
附带收益
无论中断源自何处,这些应急预案都将使运营者拥有更具韧性的基础设施,更易于防御和维护。通信中断应急预案:
帮助运营者在各种中断情况下维持基本运营,不仅包括网络安全事件,还包括天气和安全事件。
阻止进一步访问并切断对遭渗透系统的命令和控制。
通过维护系统文档,避免从头开始重建网络,从而减少所有中断、自然灾害、日常组件故障和人员流动情况下的恢复时间和事件响应成本。
呼吁非运营者采取行动
美国网络安全和基础设施安全局呼吁,所有网络安全专业人员都肩负着保护关键基础设施和维护当地社区福祉的责任,携手合作才能加强美国基础设施,确保国家在面对不断演变的威胁时具备强大的韧性。
工业自动化控制系统供应商应:
主动识别隔离和恢复过程中的障碍。例如,与服务器连接相关的合同和许可问题可能会阻止运营者进行应急演练或采取必要的隔离和恢复措施。
了解并通报电信中断中的故障状态,特别是对于高度互联的运营技术(OT)组件。
托管服务提供商和集成商应:
协助支持隔离所需的工程更新和规划工作。
支持恢复所需的本地备份和文档收集,以及通信依赖项。
安全供应商应:
在危机发生前:支持监测和预警功能,通报任何威胁行为者从间谍活动转向实际影响的迹象。
在危机期间:通报阻止恢复(例如,恶意固件更新)或打破隔离(例如,基于软件的数据二极管中的漏洞)策略、技术和程序。
志愿者应:
联系当地政府应急规划人员、所在地区的网络安全和基础设施安全局办公室或志愿者组织,例如“美国网络韧性军团”,以了解如何帮助所在社区提高韧性。
声明:本文来自奇安网情局,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
