规定仍然必要以强制采取网络安全措施
制定法规以强制执行网络安全措施仍然是必要的
法规仍然是必要的,以确保组织被迫采取措施来加强他们的网络安全立场。
新加坡本周发布了指南,称这些指南将帮助包括中小企业在内的组织更好地了解与使用云服务有关的风险,以及他们自己以及他们的云提供商需要采取什么措施来确保云环境的安全。
这两本云安全“伴侣指南”旨在促进国家网络安全标准——新加坡网络安全局(CSA)制定的网络基本要求和网络信任标准的采用。该机构在其年度新加坡国际网络周大会上宣布了这一指南的发布。
这些伴侣指南与Cloud Security Alliance合作开发,并与亚马逊网络服务(AWS)、谷歌云和微软密切合作,提供客户见解和相关市场统计。CSA表示,这些云服务供应商还“验证”了伴侣指南中提供的内容。
- 如今可购买的最佳廉价投影仪 (Rújīn kě gòumǎi de zuìjiā liánjià tóuyǐ...
- 通过重新翻新的亚马逊智能恒温器远程控制您的家居温度,立减50美元
- 三星 Galaxy S24 谣言:我们迄今为止所知道的每一点事情
这些指南概述了组织在云环境中面临的特定风险和责任,并介绍了他们应采取的保护环境的步骤,包括员工培训以及跟踪和监控他们的云服务清单的机制。这些文档还包括针对在AWS、Microsoft和Google平台上运行的环境的特定于供应商的指南,这些指南根据网络基本要求和网络信任标准进行组织。
CSA表示:“在组织使用云服务时,一个常见的困惑是他们作为云用户与云提供商之间的责任划分。在云部署中,存在共同责任,组织可能不完全清楚他们负责的领域,这可能增加配置错误、恶意攻击和/或数据泄露的可能性。”
这些指南免费提供,预计将帮助新加坡27%使用云计算服务的企业,该政府机构援引了新加坡资讯通信媒体发展管理局(IMDA)2022年的一项研究。
本周新加坡还采取进一步措施扩大国家安全标签计划,其中包括医疗设备,通过发布一个沙盒供制造商测试其产品。然后,沙盒的参与者将对要求和申请过程提供反馈,这将在稍后的日期推出的医疗标签计划下对设备进行评估。
此外:在访问暗网之前,这是你需要了解的一切
CSA表示,沙盒将运行九个月,所得反馈将用于调整方案的操作流程和要求,必要时进行精益求精。沙盒是与卫生部、卫生科学局和Synapxe合作推出的。
CSA指出,当地公共医疗机构中有15%(超过16,000台)医疗设备具有互联网连接性,医疗设备越来越多地与医院和家庭网络连接。这可能增加网络安全风险,例如,用于临床诊断的软件中的安全漏洞可能被利用以产生错误诊断。不安全的医疗设备还可能成为恶意黑客攻击的目标,从而阻止患者接受治疗。
此类设备还可能被恶意黑客利用来攻破医院的网络,从而导致数据泄露或网络关闭。
根据CSA的说法,随着安全标签计划扩展至医疗设备,制造商将被激励将安全性融入产品设计中,而卫生保健运营者则可以更明智地决策使用这些设备。该计划包括四个等级,每个等级反映了产品评估所进行的附加测试。
沙盒将允许设备制造商根据各种评估对其产品进行测试,包括软件二进制分析、渗透测试和安全评估。
然而,如果这些只是作为指导和建议提供,而不是必须采用的规定,那么这些倡议和其他安全最佳实践只能有限发挥作用。
许多技术从业人员和CISO会参考指南并参考行业最佳实践,但如果这些只是作为建议而不是规定提供,那么这种做法只能起到有限的作用,Trellix安全供应商的公共部门副总裁兼首席技术官Karan Sondhi在接受ENBLE采访时如是说。
例如,像安全标签计划这样的倡议只是作为信息工具而不是强制措施,Sondhi在会议的间隙接受ENBLE采访时表示。
Trellix的CISO Harold Rivas表示,尽管如此,应该有明确的规定推动整个行业朝着明确的目标发展。
例如,这些要求可能包括适当的补丁管理策略和强大的监控系统,Sondhi说。他补充说,应该有路线图来推动实施,这样市场参与者将得到必要的时间表以确保合规性。
他指出,尽管对成本和上市时间的担忧可能会引起阻力,但规定不需要过于复杂。当必要时,它们还可以指向负责提供更多详细信息和更新最佳实践采纳的标准机构。这将使政府可以不必跟上市场变化,而是将重点放在制订高水平需求的规定上。
在通往网络弹性的道路上,推行也是一个很好的起点,该推行过程可能会很漫长而且复杂。
特别是在运营技术(OT)领域的组织与IT基础设施管理方式不同,Sondhi说。他们需要建立所有OT系统和设备的清单,并确保第三方工具得到了安全保护,并且与其整个供应链进行了集成。
包括新加坡和美国在内的政府现在正在帮助OT和CII(关键信息基础设施)领域解决这些问题,Rivas说。他表示,这段旅程很长,需要时间。
Sondhi表示,政府可以通过执行一定的行业要求,使所有行业参与者逐渐落实这些要求。例如,提供与政府相关服务的组织(如智能抄表)必须证明他们的系统清单和补丁管理计划清晰。他说,那些违反这些合同协议规定的供应商应该受到处罚。
Rivas表示,这样的整体监管框架有助于推动行动,并保护组织和公民的利益。
在某些领域面临日益严峻威胁的情况下,强大的网络弹性至关重要。
根据Check Point Software Technologies的亚太地区CISO Vivek Gullapalli的说法,亚太地区的公共部门机构在过去六个月平均每周不得不抵御将近3,000次攻击。
教育和研究领域在过去六个月中经历了最多的每周攻击,每个组织平均达到4,057次,其次是医疗保健领域的2,958次和政府与军事领域的2,882次攻击。
另外:什么是网络钓鱼?需要知道的一切来保护自己免受骗子的侵害
数字化使得他们的攻击面扩大,而勒索软件以其关闭整个网络的能力带来了严重的威胁,Gullapalli说道。这些风险促使政府保护其关键基础设施(CII)和运营技术(OT)行业。
他补充说,其中一些领域仍处于初级阶段,智能化国家正在不断通过出现的技术,如无人驾驶车辆、智能摄像头和其他物联网(IoT)设备进行构建。
随着基础OT架构的不断演进,管理整个生态系统的能力将变得复杂。例如,可能需要一种不同的方法来为OT设备应用安全补丁。随着对连通性的需求增长,组织需要弄清楚哪些设备是相互连接的,因此需要进一步的安全保障和嵌入式工具。
他说,由于公共和私人部门之间的基础设施管理有时会有重叠,因此还需要建立一个适当的框架来保护整个OT生态系统。
仍然有很多需要学习的地方,需要采用不同的方法,Gullapalli说道。在这个不断演变的过程中,他强调继续进行对话和合作,以填补这些空白。
