近日，网络安全和基础设施安全局 ( CISA )发布报告，对所有关键基础设施部门的基线网络安全绩效目标 (CPG)进行了概述。

该报告文件是美国总统拜登于2022年7月签署的安全备忘录的实施结果。其中， CISA 和美国国家标准与技术研究院 (NIST)受托为关键基础设施创建基本的网络安全实践，重点帮助中小型企业 (SME) 改进其网络安全工作。

CPG根据现有的网络安全框架和指南制定，并参考了CISA 及其合作伙伴对一些威胁战术、技术及过程 (TTP)的研究。 CISA在报告中写道，CPG 是 IT 和运营技术 (OT) 网络安全实践的优先子集，关键基础设施能从实践中有效降低已知风险和来自竞争对手带来的威胁影响。

概括说来，CPG旨在：

• 通过一组基线网络安全实践，能广泛适用于具有已知风险并降低其潜在影响关键基础设施。

• 衡量并提高关键基础设施网络安全成熟度基准。 

• 为 IT 和 运营技术 (OT)  推荐实践组合措施。
• 不仅考虑了解决单个实体的安全风险，还考虑了国家面临的总体风险。  

CISA计划每隔 6 到 12 个月对CPG目标进行一次更新。

海克斯康（Hexagon）网络生态系统的全球总监Edward Liebig指出，随着技术的发展，网络风险及TTP会发生变化。如果不与行业垂直企业密切合作，随着时间的推移，CISA 与监管机构起草特定行业目标的计划可能会变得难以维持。

该报告的发布正是近来针对关键基础设施部门安全措施薄弱、而攻击正迅猛抬头的背景之下，几个月前，Cyble 研究人员发现了 8000 多个暴露的虚拟网络计算 (VNC) 实例，这些实例可能导致针对关键基础设施组织的远程入侵攻击。

参考来源：CISA官网