關閉選單
  1. Home
  2. NEWS最新消息
  3. 標準與框架
顯示分類
2025.12.16
標準與框架/營運技術
CISA更新的CPG 2.0架構指導IT和OT環境,旨在建構基礎網路彈性
國家級戰略的迫切性

美國網路安全與基礎設施安全局 (CISA) 發布了更新的跨產業網路安全績效目標2.0 (Cybersecurity Performance Goals, CPG),其中包含關鍵基礎設施所有者和營運商為實現基礎網路安全水準所採取的可衡量行動。此次更新吸取了經驗教訓,與美國國家標準與技術研究院 (NIST) 最新修訂的網路安全框架保持一致,並著重於應對關鍵基礎設施面臨的最常見和最具影響力的威脅。

CPG 2.0 措施建立在治理、識別、保護、偵測、回應和恢復這六項職能之上。它們包含一個新組成部分,重點關注治理在網路安全管理中的關鍵作用,同時強調問責制、風險管理以及將網路安全策略性地融入日常運營,從而強化了有效治理是建立韌性網路態勢基石的原則。

CPG 是針對 IT 和 OT(營運技術)環境的精簡且以結果為導向的網路安全保護措施,提供與現實世界威脅相一致的清晰基礎實踐;提供簡潔易懂、以結果為導向的語言以幫助實施,並提供指導投資、衡量進展和以可衡量的方式降低風險的基準。

關鍵基礎設施(Critical Infrastructure, CI)是現代社會運作的命脈,包括能源、水務、交通、醫療等。這些系統日益數字化和互聯化,導致傳統的運營技術(OT)環境與資訊技術(IT)環境之間的界線模糊,為網路攻擊者提供了新的廣闊目標。CISA的《網路安全績效目標2.0》(CPG 2.0)框架正是在此背景下應運而生,它旨在為這些至關重要的實體提供一套自願性高影響力可量化的安全實踐基線,以對抗當前的威脅形勢。

CPG 2.0的設計,是基於CISA的營運數據、對當前威脅態勢的研究,以及與政府、行業組織和私營部門專家的廣泛合作與回饋,確保這些目標與現實世界中影響關鍵基礎設施的威脅保持高度一致。

 

核心框架:基於NIST CSF的六大功能職責

CPG 2.0的措施被組織在六個關鍵職能之下,這與NIST最新修訂的網路安全框架(CSF)的核心職能保持一致,形成了一個端到端的網路安全生命週期管理體系。

1. 治理 (Govern)——韌性態勢的基石

「治理」是CPG 2.0中新增且最為關鍵的組成部分,它強調了在組織最高層面對網路安全風險進行系統化、結構化管理的必要性。有效的治理確保了網路安全不僅是技術部門的責任,更是整個組織的戰略優先事項。

  • 明確角色與問責制: 組織內部的網路安全計畫必須明確定義、溝通和執行相關的角色、職責和權限。這確保了組織內部和與外部合作夥伴在應對網路安全風險時保持高度一致。

  • 高層級監督與資源: 網路安全監督應由組織的最高層級進行管理,確保有足夠的資源、權力和可見性來持續遵循網路安全政策和實踐。

  • 事故應變計畫: 必須制定、定期更新和測試事故應變計畫。這包括定義清晰的角色、程序和溝通策略,以有效應對安全漏洞或關鍵事件。

  • 供應鏈風險管理: 組織應建立機制,報告供應鏈中的事故和漏洞,從而促進快速識別威脅和提高跨外部合作夥伴的透明度。

  • 託管服務提供商(MSP)風險: 必須積極管理與MSP相關的風險,定期評估其安全實踐是否符合組織的政策,並監控他們可能引入系統的任何漏洞。

2. 識別 (Identify)——資產、漏洞與風險的全面掌握

「識別」功能聚焦於理解和管理組織的網路安全風險,確保資產、漏洞和控制措施得到妥善記錄和保護。

  • 資產管理: 組織資產必須仔細管理,以確保其得到充分保護,並與組織的整體風險管理策略保持一致。

  • 漏洞緩解: 透過定期修補、系統更新和安全強化等主動措施,緩解已知的漏洞,從而將潛在暴露降至最低。

  • 網路安全控制的獨立驗證: 必須進行獨立驗證,以確認現有的安全措施是否有效,並符合所需的標準,提供額外的保證層級。

  • 漏洞披露與報告: 維護漏洞披露和報告流程,以便及時識別和溝通新漏洞,確保快速緩解。

  • 網路拓撲文檔: 徹底記錄網路拓撲,提供組織網路結構清晰、最新的概覽,這對於識別潛在風險和改進防禦策略至關重要。

3. 保護 (Protect)——實施保障措施與限制影響

「保護」功能側重於實施保障措施,以限制或遏制網路安全事件在整個組織中的影響。這一功能包含多項高影響力的實踐,是建立基礎韌性的核心。

  • 密碼與憑證管理: 立即更改預設密碼,並強制執行最低密碼強度要求。為每個用戶和系統創建唯一憑證,並迅速撤銷離職員工的憑證。

  • 帳戶分離與最小權限: 管理員應維護單獨的用戶帳戶和特權帳戶,以減少高級別存取被濫用的風險,並始終如一地應用最小權限原則,確保用戶只能存取其角色所需的資源。

  • 多重要素驗證(MFA): 盡可能實施多重要素驗證,以在密碼之外增加一層安全保障。

  • 網路分段: 實施邏輯和實體網路分段,以限制橫向移動並遏制潛在的安全漏洞。這對於OT環境尤其重要,可以將IT網路與敏感的工業控制系統(ICS)隔離。

  • 安全培訓: 定期提供網路安全培訓,確保員工理解風險、職責和安全行為。

  • 數據保護: 使用強加密來保護靜態和傳輸中的敏感數據。

  • 系統控制: 預設禁用自動運行功能和巨集,以限制惡意程式碼的執行。建立正式的變更管理流程,以確保系統修改得到控制和記錄。

  • 備份與恢復: 組織必須維護可靠的系統備份和經過驗證的恢復能力,以支持從事故中恢復。

  • 設備與日誌管理: 執行硬體和軟體審批流程,防止引入未經授權或易受攻擊的技術。維護日誌收集和安全儲存,以支持監控、調查和合規工作。

  • 外部設備控制: 禁止未經授權的設備連接到網路,所有面向網際網路的設備都必須得到適當保護、監控和定期更新,以減少遭受外部攻擊的風險。

4. 偵測 (Detect)——及時識別惡意活動

「偵測」功能聚焦於以及時可靠的方式識別網路安全事件,以限制潛在影響。

  • 惡意程式碼偵測能力: 組織應建立惡意程式碼偵測能力,以識別惡意軟體、勒索軟體和其他形式的惡意活動,防止其擴散或造成損害。

  • 異常事件識別: 必須建立系統和流程來識別不利事件,包括異常行為、策略違規或操作中斷,從而使安全團隊能夠識別和調查潛在威脅。

5. 回應 (Respond)——協調一致的事故處理

一旦網路安全事件被偵測到,「回應」功能就聚焦於採取協調一致的行動。

  • 事故溝通: 組織應建立清晰的事故溝通程序,確保在事件發生期間,相關利益相關者能夠及時、一致地獲得資訊。

  • 事故報告: 必須定義和執行事故報告程序,以便根據既定政策、監管要求和營運優先事項,記錄、升級和處理安全事件。

6. 恢復 (Recover)——業務連續性的保障

「恢復」功能聚焦於在網路安全事件發生後恢復系統、操作和服務。

  • 事故規劃與準備: 組織應維護事故規劃和準備流程,以支持及時恢復,確保業務運營的連續性,並吸收經驗教訓,以增強對未來中斷的抵抗能力。

 

IT與OT環境下的實踐差異與協同

CPG 2.0的一個核心價值在於其對IT(資訊技術)和OT(營運技術)環境的適用性。雖然框架的六大功能保持不變,但在實施具體目標時,必須考慮到兩者的根本差異:

  1. 首要目標差異:深度解析安全優先級的錯位

    • IT 環境的首要目標是資訊的機密性、完整性與可用性(Confidentiality, Integrity, Availability, CIA 三要素),其中機密性完整性往往被視為優先事項。例如,資料洩露(機密性受損)或資料篡改(完整性受損)會造成巨大的經濟和聲譽損失。IT 系統的設計哲學是為了高效處理和保護數據。

    • OT 環境的首要目標則是系統的可用性(Availability)與安全性(Safety),構成所謂的「A-S-C」(可用性、安全、機密性)。在工業控制系統 (ICS) 中,系統必須持續運轉(高可用性)以維持物理過程,一旦中斷可能導致巨大的停機成本、環境災害甚至人身安全問題(安全性)。機密性在 OT 環境中雖然重要,但必須服從於物理安全和持續運營的絕對優先級。任何可能導致系統不穩定的安全措施(例如,高強度即時數據加密)通常會被拒絕。這種優先級的倒置(IT:CIA vs. OT:ASC)是導致 IT/OT 融合困難的核心原因。

  2. 漏洞修補策略差異:修補頻率與風險權重的權衡

    • IT 環境通常實行定期修補快速迭代。由於 IT 設備生命週期相對較短(3-5年),且通常有標準化的測試環境,安全團隊能夠在數小時或數日內大規模部署補丁,以快速解決新發現的零日或已知漏洞。未及時修補會被視為極高的網路風險。

    • OT 環境的修補頻率極低,且需要面臨多重挑戰:

      • 長生命週期: 許多 OT 設備(如 PLC)設計用於運作 10-20 年甚至更久,其硬體和操作系統可能已過時,缺乏製造商的官方補丁支援。

      • 變更控制: 任何對 ICS 系統的修改都必須經過嚴格的變更管理流程,因為錯誤的補丁可能導致設備故障、製程不穩定,甚至引發物理安全事件。

      • 兼容性與認證: OT 系統的供應商(例如,SCADA 供應商)必須在實驗室環境中對補丁進行長時間的嚴格測試和認證,確保其與整個複雜的工業製程協調一致,這大大延緩了部署時間。

      • 停機成本: 修補通常需要安排昂貴且稀缺的停機時間(Outage Window),這意味著安全團隊必須在極少的機會內,一次性完成所有必要的更新。

    • 總結而言,在 OT 環境中,修補一個已知漏洞的風險,可能大於不修補的風險,因此通常採用補償性控制措施(如網路分段或虛擬補丁)來代替直接修補。

  3. 資產類型差異:從數據機房到物理製程

    • IT 環境的資產主要是伺服器、工作站、數據庫和標準網路設備,資產管理側重於軟硬體清單、配置基準和數據所有權。

    • OT 環境的資產包括可編程邏輯控制器 (PLC)、遠程終端單元 (RTU)、分散式控制系統 (DCS)、人機介面 (HMI)、傳感器和工業網路。資產管理不僅要識別這些設備,更要記錄它們的韌體版本、I/O 點位、所控制的物理製程,以及它們對整個系統可用性和安全性的關鍵程度。OT 資產的可見性通常遠低於 IT 資產。

  4. 網路分段方法差異:從邏輯防火牆到物理隔離

    • IT 環境實施邏輯分區(如 VLAN、防火牆規則),以減少攻擊者在數據中心內的橫向移動。

    • OT 環境則強調實體或邏輯隔離,以確保工業控制系統 (ICS) 網路與外部網路隔離。這通常透過實施 Purdue 模型ISA/IEC 62443 標準中的區域和通道(Zones and Conduits)架構來實現,核心目標是確保 IT/OT 邊界僅有必要且受控的單向或雙向流量。

  5. 多重要素驗證 (MFA) 部署差異:即時操作與遠程存取

    • IT 環境中,MFA 應廣泛部署,尤其針對特權存取和雲端服務,是防禦憑證盜用的黃金標準。

    • OT 環境中,MFA 在控制室內對即時操作的 HMI 或控制面板實施可能存在困難,甚至會因延遲或複雜性而危及安全。然而,它絕對必須應用於遠程存取、任何作為 IT/OT 之間橋樑的跳板機(Jump Servers),以及遠程維護通道,以防止外部攻擊者透過遠端服務滲透。

CPG 2.0強調,IT/OT的協作與融合是實現全面網路韌性的必要條件。例如,在「保護」功能中,雖要求實施MFA,但在OT現場環境中,MFA可能難以對即時操作的控制設備生效,但它絕對必須應用於從IT網路進入OT網路的任何遠程訪問點(Secure Remote Access)。同樣,「變更管理」在OT環境中尤其嚴格,任何對工業控制系統的修改都可能影響物理安全和系統可用性,因此需要更為形式化和受控的流程。

 

結論與未來展望:基礎網路安全的量化標準

CISA的CPG 2.0不是一套新的、複雜的標準,而是一套精簡且以結果為導向的網路安全保護措施。它們旨在成為一個「最高優先級的基線」,指導關鍵基礎設施所有者和營運商採取最具影響力的安全行動,以保護自己免受網路威脅。

透過提供清晰、基礎且與現實威脅一致的實踐清單,CPG 2.0不僅幫助組織釐清安全投資方向,也提供了一個可衡量的基準來評估進展和有效降低風險。將「治理」作為框架的基石,確保了網路安全不再是單純的技術問題,而是組織戰略、問責制與日常營運的關鍵組成部分。

隨著威脅形勢的不斷演變,CPG 2.0將作為一個動態工具,持續幫助關鍵基礎設施社群,從基礎層面建立更堅固、更具彈性的網路防禦態勢。


資料來源:https://industrialcyber.co/cisa/cisas-updated-cpg-2-0-framework-guides-it-and-ot-environments-targets-foundational-cyber-resilience/
 
美國網路安全與基礎設施安全局 (CISA) 發布了最新的《跨產業網路安全績效目標2.0》(CPG 2.0),為關鍵基礎設施營運商提供了一套可衡量、以結果為導向的基礎網路安全實踐。本報告深入剖析CPG 2.0的六大功能(治理、識別、保護、偵測、回應、恢復),重點闡述其在IT與OT環境中的應用差異化,以及如何透過強化治理、資產管理、多重要素驗證等高影響力措施,有效應對當前最常見且最具破壞性的網路威脅,從而建立全面的網路彈性。