新加坡希望所有关键基础设施都为网络威胁做好准备

新加坡的所有关键信息基础设施 (CII) 都必须不断转型，以跟上不断变化的威胁形势，这意味着要超越“通用”网络安全实践。 它需要高度关注运营技术 (OT) 安全，包括适用于 CII 运营商的正确技能组合和 OT 特定的网络安全实践。

新加坡去年调整了其网络安全战略以强调 OT，并提供了 OT 组织所需技能组合和技术能力的指南。 该国将 OT 系统定义为包括工业控制、楼宇管理和交通信号灯控制系统，用于监控或更改系统（例如铁路系统）的物理状态。

新加坡网络安全局 (CSA) 推动 CII 运营商加强 OT 系统的网络安全，因为攻击可能会带来物理和经济风险。

对效率和功能的需求推动了 IT 和 OT 系统的融合，后者传统上被设计为独立的基础设施，不连接到外部网络或互联网。

OT 系统不再在这种气隙环境中运行，现在可以在更广泛的攻击面上运行，并且容易受到可能对现实世界产生影响的潜在网络攻击。

当被问及哪些 CII 部门最需要网络安全转型时，CSA 指出，随着威胁形势不断演变，每个 CII 部门都应不断“调整和转变”其流程，以应对现有和新出现的威胁。

CSA 发言人告诉 ZDNET，CII 行业在规模、功能和对技术的依赖上各不相同，所有这些都塑造了各自的网络安全战略。

他补充说，一些行业将 OT 和 IT 与 IoT（物联网）结合使用，这不仅带来了额外的行业特定挑战，而且还进一步增加了必须保护免受网络威胁的表面积。

根据谷歌 Mandiant Intelligence 分析经理 Keith Lunden 的说法，与 IT 资产相比，OT 资产经历的威胁活动数量非常有限，这主要是由于传统的气隙和内部网络分段最大限度地减少了主流恶意软件事件。

“然而，这也有助于最大限度地减少 OT 网络安全工作的驱动因素， [so] 伦登指出，监管要求一直是 OT 安全工作的主要驱动力，而不是威胁活动。相应地，水和废水等不受监管的行业最需要转型。

他补充说，这些行业应该根据行业标准制定基于风险的网络安全对策。

Group-IB 的创始人兼首席执行官德米特里沃尔科夫还强调，所有 CII 部门都需要不断改善其网络安全态势，因为它们不间断运行的能力对国家安全至关重要。

他表示，包括医疗保健、交通运输和政府在内的行业经常成为攻击目标，并指出勒索软件攻击如何促使哥斯达黎加政府在 4 月份首次宣布进入紧急状态。 黑客泄露了超过 1TB 的数据，在攻击中破坏了 27 个部门。

据卡巴斯基全球研究和分析亚太区总监 Vitaly Kamluk 称，楼宇自动化和石油和天然气行业也看到了高比例的 ICS（工业控制系统）计算机，其中恶意对象被阻止。

Kamluk 说，这些行业的阻止率继续高于全球平均水平，并指出楼宇自动化公司对在线资源和电子邮件的使用率更高，这可能导致该行业在阻止恶意软件攻击的种类方面领先于其他行业。

Lunden 表示，网络犯罪分子在过去几年中在操作技术方面取得了重大进展，勒索软件成为一种有效的商业模式，并导致大量安全事件影响关键基础设施，通常包括 OT 环境。

在谈到国家支持的攻击时，他说 Mandiant 继续看到对手热衷于利用 OT 的不安全设计特征。

“[These] 他指出，旨在恶意利用 OT 设备的本机功能，而不是利用这些系统中的漏洞。重新设计这些设备要困难得多，而不是简单地修补其中的漏洞。”

供应链加剧了潜在的 OT 威胁

此外，某些 OT 部门（例如制造和海事）的供应链通常范围广泛且涉及多方。

CSA 表示，事实证明，确保供应链安全具有挑战性，并指出组织会承担来自第三方供应商的未知网络风险，因为他们无法完全了解其供应链。 “组织的强大取决于它们最薄弱的环节，”发言人说。

他指出了 CSA 的 CII 供应链计划，该计划概述了五项基本举措，以帮助这些部门应对不同层次的网络供应链挑战，包括组织、部门、国家和国际。 该计划包括工具包、手册、认证计划和学习中心。

CrowdStrike 亚太日本首席技术官 Fabio Fratucello 表示，特别是所有 CII 和 OT 部门都应该提高他们的知名度，因为组织将无法保护和捍卫他们不知道存在的资产。

Fratucello 说，如果没有可见性，他们也无法检测到威胁，也无法防御试图定位盲点的对手。 为了应对这些挑战，他说 CrowdStrike 推出了 Falcon Discovery for IoT，以帮助客户了解其 IT、OT 和 IoT 资产之间的相互关联关系，并降低这些环境中的潜在风险。

“一旦组织对他们的攻击面有了更深入的了解，他们就能更好地通过缩小 OT 环境和 IT 运营之间的差距来做出更明智的、基于风险的决策，”他指出。 “对于组织而言，重要的是要从外部和内部观察以了解安全漏洞。这包括通过供应链带来的风险，在某些行业中，供应链可能是一个极其复杂和漫长的链条。”

他援引 CrowdStrike 的研究称，48% 的亚太地区组织去年至少经历过一次供应链攻击，而 60% 的组织无法声称他们的所有软件供应商都经过了审查。

为了更好地管理第三方生态系统并保护其基础设施，沃尔科夫建议 OT 部门采用 IT、OT 和人工流程的隔离和隔离，并确保其基础设施组件的完整性。

他说，威胁情报平台还将识别潜在的攻击者以及他们是如何攻击 OT 基础设施的，并补充说它会指出受损区域，以便可以堵塞这些区域并改善安全态势。

OT 部门应评估其供应商的外部攻击面，并与第三方供应商密切合作，以进一步确保他们已采取所有必要的安全措施，例如事件响应团队。

填补 OT 安全漏洞

随着这两个领域之间连接性的增加，对需要 IT 和 OT 能力的角色的需求增加，CSA 表示它开发了 OT 网络安全能力框架，为他们的工程师确定技能和培训提供指导。 发言人说，它还为这些工程师规划了职业道路。

该发言人补充说，CSA 制定了网络安全行为准则，为 CII 运营商制定了强制性的 OT 特定网络安全实践。

“这些重点关注网络分段、补丁管理、检测和持续监控，旨在降低威胁行为者利用软件漏洞并在 OT 系统中立足的可能性，”他说。 “它为 OT 系统所有者提供了更有效地缓解新兴网络威胁的专业知识。”

当被问及法规在 OT 中的作用时，他说新加坡的《网络安全法》为指定 11 个 CII 部门提供了框架，而行为准则规定了网络安全的基本标准以及这些 CII 所有者应实施的措施以确保其弹性。

他指出，最近对行为准则进行了改进，以帮助 CII 进一步加强其网络弹性和防御复杂网络威胁的能力，并更加敏捷地应对新出现的网络安全风险。

CSA 发言人说，代码审查还改善了新加坡政府与私营部门之间的协调，因此可以发现网络威胁并及时启动响应。

“每个 CII 部门都面临着特定于其数字领域的网络安全风险，例如迁移到云端或使用 5G 技术，”他指出，并强调了 OT 安全的重要性。 “跨关键部门的通用网络卫生实践将无法解决此类特定风险。”

Kamluk 表示，制定行业标准非常重要，要求公司在其系统中建立安全基础。 然而，虽然必不可少，但法规只是 OT 安全整体方法的一个组成部分。

他说，协作也是将所有要素整合到安全领域的关键，他敦促各组织团结起来，并采取协调一致的方法将安全作为一个部门。 他补充说，清晰的路线图提供了每个人都可以努力实现的指导计划，这可以缓解该行业内部的摩擦。

有了计划和系统，就应该定期举行特定部门的会议和例行维护。 Kamluk 说，这些“健康检查”将确保及早发现潜在的陷阱和威胁，并且该行业的参与者可以重新调整并保持弹性。

沃尔科夫指出，新法律或对现有法律的修正案应该是“数据驱动的”，旨在解决在涉及各方的网络安全演习中发现的弱点。

Lunden 说：“法规需要以性能为基础，而不是规定性的。这可以让 OT 系统所有者在实施网络安全对策时具有灵活性。它们还需要进行定制，以仅适用于组织最关键的 OT 资产，因为并非所有OT应该被认为是相等的。

“监管机构应该学习其他监管机构的经验，这些机构随着时间的推移提高了监管的有效性，”他补充说。

7 月，新加坡扩大了其网络安全标签计划，将医疗设备包括在内，特别是那些处理敏感数据并可以与其他系统通信的设备。

当被问及是否可以进一步扩展标签计划以包括 OT 系统和应用程序时，CSA 发言人表示目前没有这样做的计划。

他指出，该举措旨在为面向消费者的物联网产品提供更大的透明度，而 OT 设备则没有。 他说，后者通常执行更关键的功能，例如确保提供基本服务，并补充说 CSA 提供其他认证方案，例如通用标准方案，以促进 IT 产品的安全评估。

相关报道