高调的事件如Solarwinds供应链攻击这影响了多个美国政府机构,试图操纵控制系统Oldsmar水处理厂以及对殖民地管道的赎金软件攻击,运营技术的网络安全问题(OT)引起了华盛顿官员的注意。
鉴于所涉及的高赌注,难怪是难怪的。供应链攻击导致数据泄露在多个美国联邦和州政府机构,以及国际和外国组织如北约,欧洲议会和主要私营部门实体,如微软和Equifax公司。Orysmar事件可能已经以周围社区的悲惨后果结束。这殖民地攻击殖民地管道导致东南和东北广泛的燃油供应中断,导致公司造成了数千万美元的损害。乐动体育 足球快讯
现在美国政府不仅关注。这也试图采取行动。行政部门已经强加了新的规章制度,立法者也在努力通过新法律。我们将介绍正在采取的一些措施,讨论能见度解决方案如何帮助您管理这些政策转变的影响。
关于网络安全的立法行动
立法局的行动的一个例子是7月底,代表的美国代表通过涉及网络系统系统的安全。
7月21日,众议院成员投票赞成了从国土安全委员会出来的四个双层网络安全条例草案。其中一个是DHS工业控制系统能力增强法案2021旨在提高网络安全和基础设施安全机构(CISA)的能力,该机构是国土安全部(DHS)部门,与公共和私营部门组织的合作基础合作,以淬火安全和识别脆弱性。
另一个是网络安全漏洞修复法案。This bill amends the Homeland Security Act of 2002 to make provisions for remediating cybersecurity vulnerabilities through such measures as allowing CISA’s director to “identify, develop, and disseminate actionable protocols to mitigate cybersecurity vulnerabilities, including in circumstances in which such vulnerabilities exist because software or hardware is no longer supported by a vendor.” It also obligates CISA’s director to submit a report to the Homeland Security Committee on the progress of vulnerability remediation programs within a year.
还批准了国家和地方网络安全改进法。该措施建立了一个计划,其中DHS将为寻求提高自己的网络安全姿势的国家,地方,部落和地区政府提供4亿美元的拨款。它还指出,这些政府必须制定将指导使用此类资金的全面的网络安全计划。
此外,立法者通过了CISA CYBER运动法。This bill is designed to give U.S. businesses and public-sector organizations new ways to assess the security and resilience of critical infrastructure facilities, and it also provides for the establishment of a National Cyber Exercise Program that will test the country’s plan for responding to major cyberattacks.
房子不是唯一的行动来源。参议院成员于7月21日投票介绍2021年网络事件通知法案,旨在要求所有联邦机构和承包商为联邦机构工作的措施以及在对美国国家安全至关重要的地区运营的所有组织,以在初步发现的24小时内向CISA报告网络安全事件和数据违约。
执行网络安全举措
与此同时,行政部门也一直很忙。
例如,殖民地管道赎金软件攻击领导了运输安全管理局(TSA),另一个部门DHS,发行两种指令,用于解决石油,天然气和石油产品管道和液化天然气(LNG)所有者和运营商的网络安全要求(LNG)指定为关键基础设施的终端。这第一指令已在5月下旬发布,呼吁参与评估其网络安全策略和解决方案的组织,制定计划在30天内向CISA和TSA提供关于其调查结果的报告。它还需要管道所有者和运营商来识别和指定在一个网络安全事件发生的情况下将于24/7的工作人员提供。
这第二指令,于7月20日发布,概述了管道所有者和运营商必须满足的新网络安全要求。TSA尚未公开披露新的要求,因为它们被指定为敏感的安全信息(SSI),这可能只能分发给需要知道的组织。但是,Saumitra Das,CTO和联合创始人蓝色六角形,最近告诉IndustrialCyber.co,他认为管道公司被呼吁去以上和超越行业最佳实践。
与此同时,DHS不是唯一的联邦机构。7月21日,能源部(DOE)宣布发布了它其网络安全能力成熟度模型的2.0版(C2M2)工具。它说,更新将允许C2M2履行其帮助私营部门公司的原始功能,以鉴于不断变化的技术和安全威胁,帮助私营部门的公司评估和改善他们的网络安全姿势。
所有这些都遵循5月12日“提高国家网络安全的执行命令“这将指导美国联邦政府走向零信任网络安全架构。
可见性对于满足新要求至关重要
上面的名单甚至不是现在发生在华盛顿网络安全和关键基础设施的讨论的全面形式。但它应该有助于说明我们上面提出的那些关于政策景观的变化性质。
实际上,这意味着依赖OT的组织将不得不制定处理与联邦政府处理的战略。如果他们是管道所有者或运营商,他们必须弄清楚符合TSA的新监管要求的方法 - 如果不是,他们不应该忽视其他关键基础设施等待类似的转变的可能性。他们还必须考虑符合拟议的法律要求可能有必要的步骤,例如在24小时内通知安全事件的CISA。
与零信任指令,国家标准与技术研究所(NIST)和国家网络安全卓越中心依据特别出版物(SP)800-207,选择了18家科技公司,包括:Amazon Web Services,Appgate,思科系统,f5网络,fireeye,Forescout技术,IBM,迈克菲,微软,Mobileton,Okta,帕洛阿尔托网络,PC Matic,Radiant Logic,Sailpoint Technologies,Symantec,适合的,Zscaler向零信任安全架构展示为代理商和行业的指导零信任架构项目。
现在,华盛顿专注于保持关键基础设施的保护,它希望关键基础设施的所有者和运营商能够证明他们可以提供必要的保护水平。没有可见性,没有这种证据是可能的 - 因为你无法确保你看不到的东西。
花环专注于数据包的可见性。所有18家公司都有什么共同之处?他们的安全工具依赖于数据包的可见性来查看网络上的所有内容。这就是为什么花环是一个值得信赖的可见性合作伙伴对于其中18家所选公司中的许多,提供网络抽头和数据包经纪商,以确保这些零信任安全架构具有所需的可见性最佳实践。
我们的轨道记录为提供自定义可见性解决方案联邦政府如在全球范围内的防御部(DOD)快速反应团队和关键基础设施公司的便携式和易于使用的水龙头,当您发现自己面临新的法律和监管时,Garland技术可以帮助您的团队准备就绪。乐动体育菠菜要求。
希望为零信任或关键基础架构部署添加龙头可见性或流量聚合,但不确定在哪里开始?加入我们的简短网络设计 - IT咨询或演示。没有义务 - 这就是我们喜欢做的事情。
