美国网络安全与基础设施安全局(CISA)在 2018 年成立,已经走过了五个年头。该机构在 2023 年专注于履行作为国家网络防御机构和关键基础设施安全协调方的角色,努力应对海外冲突爆发和人工智能普及的连锁反应。正如此前反复强调的:“没有任何一个机构、组织或者个人能够看到威胁的全貌,这都需要合作伙伴的协作,这也是 CISA 的使命与担当”。
Target Rich****计划
CISA 在 2023 年与政府和私营部门超过 6700 个相关方进行了重点合作,其中医疗和公共卫生行业最多达到 2700 个、水处理/污水处理行业超过 1700 个、基础教育(K-12)行业超过 2200 个。这些与部门通常不会有巨大的网络安全投入,攻击者往往将其视为理想的攻击目标。
基础教育(K-12)
2023 年 1 月,CISA 发布了《Protecting Our Future: Partnering to Safeguard K-12 Organizations from Cybersecurity Threats》调研报告。
2023 年 9 月,CISA 启动旨在要求 K-12 教育技术软件制造商要致力于设计安全性更高的产品的承诺计划。截至 2023 年 10 月,已经有 11 家公司加入该计划。
与美国特勤局国家威胁评估中心共同开发基础教育(K-12)旁观者报告,帮助学校加强安全报告计划。
主办第二届基础教育(K-12)安全峰会,来自 K-12 社区的 8000 余名从业者注册参加。
医疗与公共卫生
CISA 与卫生与公共服务部(HHS)在 2023 年 10 月,在联合主办的合作伙伴圆桌论坛上推出了医疗行业网络安全工具包。
CISA 通过国家网络安全演习,发布了医疗与公共卫生部门的桌面演习包(CTEP)。
水处理/污水处理
联邦环境保护局(EPA)作为水处理部门的管理机构,2023 年 CISA 加强了与其的合作,帮助改善该部门的网络安全状况。
2023 年 12 月,CISA 与主要联邦合作部门以及以色列国家网络理事会发布了水处理/污水处理行业网络安全咨询意见,帮助该行业应对黑客对 PLC 的漏洞攻击。
和医疗与公共卫生部门类似,CISA 也在国家网络安全演习时发布了水处理/污水处理部门的桌面演习包(CTEP)。
网络安全
CISA 通过提供一系列专注于提高网络安全稳健性的关键要素服务和资源,增加美国网络空间的安全性和弹性。
软件设计安全
2023 年 4 月,CISA 发布了《改变网络安全风险平衡:通过设计实现软件安全的原则与方法》。后续经过大量反馈和调整,CISA 与 17 个国际合作伙伴于 2023 年 10 月发布了更新版本。
CISA 通过该制度督促软件开发商从设计上改进软件开发中的安全预期,尽量将设计安全的产品交付给用户使用。文中提出了三个主要原则:① 对客户安全结果负责 ② 提高透明度并加强问责制 ③ 自上而下地推进。
为此,CISA 还发布了第一个安全设计类告警,衡量软件发布时存在已知缺陷(如对外暴露的 Web 界面于默认密码)造成的实际危害。
提前预防攻击
CISA 通过勒索软件提前告知计划与各方共享信息,预警攻击组织的早期活动,显著降低各方所面临的风险。2023 年,CISA 发布了超过 1200 份勒索软件提前告知书。告知对象种类繁杂,例如 20 个交通行业实体、17 个能源行业实体、111 个美国高等教育机构、154 个美国医疗行业实体、39 个美国紧急服务部门实体、27 个其他国家/地区。
2023 年 2 月,CISA 应急响应了一家遭受 6000 万美元勒索软件世界五百强公司。这次危机促使该公司设立了首席信息安全官(CISO),并且对 IT 架构进行了大举投资。2023 年 CISA 也向交通行业的合作伙伴进行了通报,阻止了对交通基础设施高达 3.5 亿美元的勒索软件攻击。
CISA 通过漏洞扫描计划,覆盖每个州的近 7000 个关键基础设施与 SLTT 实体,发现实体存在容易被攻击者利用的漏洞即告知快速缓解。
网络安全基线
CISA 于 2022 年底发布了网络安全绩效目标(CPG)评估,为各种规模、各行各业和各级成熟度的组织提供清晰、通俗易懂的网络安全建议。2023 年,CISA 在全国 10 个地区进行了二百四十余次 CPG 评估。
提高开源软件安全性
2023 年 9 月,CISA 发布了开源软件安全路线图。同年,CISA 的联合网络防御合作组织(JCDC)启动了协作式网络防御规划工作,旨在提高开源软件的安全性和弹性。
人工智能
2023 年 11 月 14 日,CISA 发布了首个人工智能路线图。与国家战略一致,CISA 旨在促进人工智能的有益使用,以增强网络安全能力。
路线图发布后不久,CISA 与英国国家网络安全中心联合发布了《安全人工智能系统开发指南》。该指南是全球 21 个机构与部委合作制定的,是全球首个达成一致的此类指南。
关键基础设施网络事件报告
2022 年的关键基础设施网络事件报告法案(CIRCIA)要求 CISA 制定与实施相关规定,符合要求的实体必须向 CISA 报告网络安全事件。
网络安全意识提升计划
2023 年 9 月,CISA 响应国会号召启动了名为“Secure Our World”计划,与 Google、Microsoft、万事达、国家网络安全联盟和全球网络安全联盟合作。
保卫联邦网络
CISA 使用持续诊断和缓解系统(CDM)与漏洞扫描系统,在联邦系统中推动超过 1400 万次已知漏洞的缓解。在非联邦系统,CISA 将缓解时间缩短了 36 天。
97 个机构加入保护性域名系统服务,拦截了 9 亿个针对联邦机构的恶意连接。
46 个机构加入漏洞披露平台,识别并修复了 1054 个已确认的漏洞。
发布了两项具有约束力的政策指令,即 BOD 23-01 和 BOD 23-02,从而提高每个联邦机构的实时资产可见性,并修复了数百个暴露的网络管理接口。
为近 50 个联邦机构提供端点防护能力,覆盖超过 90 万台设备。使 CISA 能够更深入地了解联邦网络的威胁,现在 CISA 几分钟内就能对网络安全事件做出反映。
基础设施安全
防止爆炸物侵害
2023 年,CISA 完成了 14 项爆炸建模与 12 个社区的技术援助计划。同年,访问了超过 5000 个商业销售点,宣传了炸弹制造材料的威胁与可用性。
2023 年 7 月,CISA 爆炸预防办公室开设了第 500 期培训。2023 年 9 月,CISA 与 FBI 发布了炸弹威胁指南。
化学品保护
2023 年 8 月,CISA 举办了第 14 届化学品安全峰会。国土安全部部长Alejandro Mayorkas 成为了首位在峰会上发言的国土安全部部长。
保护关键基础设施
为保护国家关键基础设施免受物理威胁,CISA 进行了 33 次安全演习,参与人数超过 3525 人。举办了 78 次网络研讨会,注册人数超过 2.4 万人。
2023 年 4 月,CISA 在底特律市举办了一次全面演习。这是该机构迄今为止开展的最大规模演习,吸引了来自 24 个不同组织的 780 名参与者。
关键基础设施风险评估
CISA 为合作伙伴交付了 141 个基础设施可视化平台、10 份区域弹性评估计划报告、《海上运输系统(MTS)弹性评估指南》。
确保供应链安全
发布了《保护中小型企业供应链:降低信息和通信技术风险的资源手册》,分析中小型企业面临的供应链风险类别。
发布了《用于供应链风险管理的硬件物料清单》(HBOM),该框架为供应商和采购商提供了高效的沟通方式。
发布了《赋能中小型企业:制定弹性供应链风险管理计划的资源指南》,为中小企业开发满足其业务需求的 SCRM 计划。
应急通信
确保危机期间通信
优先通信服务(PTS)计划包含政府紧急通信服务(GETS)下的有线通信、无线优先通信(WPS)服务中的无线语音通信、电信服务优先(TSP)等。2023 年,政府紧急通信服务(GETS)增加了 51023 名用户,无线优先通信(WPS)服务增加了 283357 个订阅者。
通信互操作性培训
开办了 31 次信息和技术服务单位(ITSU)课程,培训了 457 名学员。开办了 111 次 COMU 课程,培训了 1429 名学员。
农村紧急医疗通信
CISA 建立了农村紧急医疗通信示范项目(REMCDP),以利用现有技术并让非医疗专业人员帮助建立或维持全州医疗通信系统,同时利用现有基础设施改善农村医疗服务。
构建网络弹性 911 系统
CISA 与联邦通信委员会(FCC)、美国国家公路交通安全管理局(NHTSA)和美国国家电信与信息管理局(NTIA)在弗吉尼亚州举办了第一届网络弹性 911 研讨会,讨论网络威胁形势并探索可用的工具、框架和解决方案。网络弹性 911 计划是一项致力于解决美国国家应急通信中心(ECC)在各级(包括联邦、州、地方、部落和地区(FSLTT))面临的运营网络安全挑战的计划。
伙伴关系与协作
联合网络防御合作组织(JCDC)
2023 年 JCDC 远程监控和管理网络防御计划中着重加强了远程监控和管理能力。通过利用尖端技术和协作努力,JCDC 展示了无与伦比的主动检测和响应网络威胁的能力。JCDC 专注于实时威胁情报和快速响应,其努力大大缩短了响应时间,最终保护了各个部门的关键系统和网络。
PS:顺带说一句,Mandiant、Shadowserver、GreyNoise 和 ZeroFox 这些耳熟能详的公司都是 JCDC 的参与方。
构建全球专家社区
与合作伙伴协调的联合网络安全咨询,可以借助多元化专家社区的贡献和技术见解,能够得到一系列值得信赖的网络安全组织的认可。不仅成就了更高的可信度,也扩大了传播渠道和范围。
2023 年,CISA 一共发布了 48 份联合的网络安全公告。例如 2 月 9 日发布与韩国分析朝鲜黑客攻击行动、6 月 6 月发布与以色列分析远程访问软件安全指南、6 月 14 日发布与法国分析勒索软件团伙 LockBit 等。
援助乌克兰
2023 年 3 月,CISA 与国务院在波兰华沙主办了与乌克兰的面对面沟通会。2023 年 4 月,乌克兰国家特殊通信和信息保护局(SSSCIP)根据 CISA 指南进行了首次关键基础设施演习。2023 年 5 月和 10 月的演习中,CISA 还提供了情景开发、演习实施等方面的技术建议。
CISA 将继续与乌克兰方面保持接触,通过和国务院于美国驻乌克兰大使馆合作,扩大在网络安全方面的支持力度。
国际合作
2023 年 1 月,美国国土安全部与日本签署了网络安全合作备忘录。JCDC 将于日本 CERT 密切合作,监控网络威胁并共享有关漏洞信息。
2023 年 2 月,CISA、美国联邦调查局、美国国家安全局和韩国相关部门发布关于国家支持的勒索软件攻击的联合咨询情况说明。CISA 还主持了美韩双方在 2023 年 4 月签署的双边网络框架下的两个行动小组之一。
2023 年 9 月,CISA 主任 Jen Easterly 与英国国家网络安全中心首席执行官 Lindy Cameron 共同主持了面对面的战略对话。
风险管理
2023 年 4 月,由 CISA 的国家基础设施模拟与分析中心(NISAC)牵头的第二版风险分析工具(STAR)已经进入第二阶段。STAR v2 包括超过 15 项新功能,支持用户回答新的分析问题,以识别全国关键基础设施的漏洞和后果。
2023 年 7 月,CISA 与美国国家安全局发布了关于 5G 网络威胁的研究。
面向行业
CISA 在 2023 年参加了 774 场活动与专业人士进行沟通,与供应商举行了 313 次一对一会谈。当年,CISA 一共执行了总计价值超过 20 亿美元的一千余项合同。
培养下一代人才
与 Girls Who Code 合作在社交媒体上介绍网络领域的女性开拓者,以及确保年轻女性在线安全的技巧。
加入 Women in Cybersecurity 指导计划,帮助女性在网络安全职业上进一步提高。
通过 Cybercorps 奖学金计划教育、奖励下一代中的优秀人才。
通过国家网络安全学术卓越中心计划,举办了超过 45 场教育活动。
通过 Cyber Career Pathway Tool 面向基础教育(K-12)的学生发布了 14 个小挑战项目,让学生体验网络安全劳动力所需的技能。
人才发展
2023 年 CISA 招聘了 591 名员工,其中 44% 为女性、38% 来自少数族裔。全部员工中女性员工比例稳定在 33% 以上,少数族裔的比例也在稳步提升。另外,CISA 还聘请了首席人事官推动构建“以人为本”的组织文化与 One CISA 计划。
地区支持
为各地合作伙伴提供支持
CISA 利用专业知识为合作伙伴提供态势感知、信息共享、技术援助、网安事件通知与应急响应协调等支持。2023 年,CISA 一共为 328 起安全事件与 643 次特别行动提供了支持。
例如在 2023 年一名 CISA 的物理安全顾问与一名网络安全顾问,为爱荷华州99 县中的 90 个县进行了专业的网络安全绩效目标(CPG)评估。
确保选举安全
CISA 在 2023 年为近 1.4 万名选举相关人员,举办了一百余次宣传活动。并且向各州与地方选举部门、选举技术供应商提供了约 1600 种定制产品。
开办 Tabletop the Vote 活动汇聚来自 45 个州、12 个联邦部门与 13 个行业合作伙伴的一千三百余人,旨在解决选举基础设施面临的网络安全挑战与物理安全挑战。
2023 年 7 月,CISA 在 10 个地区都设立了专门的选举安全顾问(ESA)。
网络安全拨款计划
根据 2021 年《基础设施投资和就业法案》的要求,国土安全部于 2023 年 8 月宣布州和地方网络安全拨款计划(SLCGP)。这是首个专门针对全国州、地方和地区政府的网络安全资助计划,计划在四年内拨款 10 亿美元。2023 年 9月,CISA 与 FEMA 宣布将拨款 1820 万美元用于加强联邦认可目标的网络安全。
网络安全演习
2023 年,CISA 的国家网络演习计划在全国范围内进行了 129 次网络安全演习,参与者共计 9740 人。
