法规仍然是必要的，以确保组织被迫采取旨在加强其网络安全态势的措施。

新加坡本周发布了指南，表示将帮助包括中小型企业(smb)在内的组织更好地了解与使用云服务相关的风险，以及他们及其云提供商需要采取哪些措施来保护云环境。

这两份云安全“伴侣指南”旨在促进国家网络安全标准Cyber Essentials和Cyber Trust的采用，这两项标准是由新加坡网络安全局(CSA)在一年一度的新加坡国际网络周会议上宣布推出的。

该指南与云安全联盟(Cloud Security Alliance)一起发布，与三家云供应商——亚马逊网络服务(AWS)、谷歌Cloud和微软——密切合作开发，提供客户见解和相关市场统计数据。CSA表示，云播放器还“验证”了配套指南中提供的内容。

该指南概述了组织特定于云的风险和责任，以及他们应该采取的保护环境的步骤，包括员工培训和跟踪和监控其云服务库存的机制。这些文档还包括针对运行在AWS、Microsoft和谷歌平台上的环境的特定于提供商的指南，这些指南是根据Cyber Essentials和Cyber Trust标准的措施组织的。

云计算安全联盟表示:“当组织使用云计算时，一个常见的困惑是云用户自己和云提供商之间的责任划分。”“在云部署中，有共同的责任，组织可能没有完全意识到他们负责的领域。这可能会增加错误配置、恶意攻击和/或数据泄露的可能性。”

政府机构援引新加坡信息通信媒体发展局(IMDA) 2022年的一项研究称，这些指南免费提供，预计将帮助27%使用云计算服务的新加坡企业。

新加坡本周还采取了进一步措施，将国家安全标签计划扩大到医疗设备，发布了一个沙箱，制造商可以用它来测试他们的产品。然后，沙箱的参与者将提供有关要求和应用程序的反馈，根据这些反馈，将根据计划在晚些时候推出的医疗标签计划对设备进行评估。

CSA表示，沙箱将运行9个月，反馈将用于在必要时调整该计划的操作工作流程和需求。沙盒是与卫生部、卫生科学管理局和Synapxe合作推出的。

CSA指出，当地公共医疗机构的医疗设备中有15%(超过16,000台)具有互联网连接，医疗设备越来越多地连接到医院和家庭网络。这可能会增加网络安全风险，例如，用于临床诊断的软件的安全漏洞可能会被利用来产生错误的诊断。不安全的医疗设备也可能成为拒绝服务攻击的目标，从而使患者无法接受治疗。

这些设备也可能被恶意黑客利用，破坏医院的网络，从而导致数据泄露或网络关闭。

根据CSA的说法，随着安全标签计划的扩展，包括医疗设备，制造商将有动力在他们的产品设计中嵌入安全性，医疗运营商可以在使用这些设备时做出更明智的决定。该方案包括四个等级，每个等级反映了对产品进行评估的额外测试。

沙箱将允许设备制造商基于各种评估来测试他们的产品，包括软件二进制分析、渗透测试和安全评估。

然而，这些计划和其他安全最佳实践只能作为指导方针和建议提供，而不是强制企业必须采用。

安全供应商Trellix的公共部门副总裁兼首席技术官Karan Sondhi表示，许多技术从业者和首席信息安全官将参考指南并查看行业最佳实践，但如果这些指南仅作为建议而不是法规提供，那么这样做只能到目前为止。

Sondhi在会议间隙接受ZDNET采访时表示，例如，安全标签计划等举措是一种信息工具，而不是强制执行。

Trellix的首席信息安全官哈罗德·里瓦斯(Harold Rivas)对此表示赞同，他指出，标签计划有助于做出购买决策，并提高对潜在风险的认识。Rivas说，它为决策者提供了考虑替代方案的理由，并作为独立验证的最佳实践的良好参考点。

里瓦斯说，最终，应该有明确的授权来推动行业走向明确的结果。

Sondhi说，例如，这些要求可能包括适当的补丁管理策略和健全的监测系统。他补充说，这些措施应附有推出的路线图，以便给市场参与者提供必要的时间表，以确保遵守规定。

他承认，由于担心此类授权对成本和上市时间的影响，将不可避免地遇到阻力，但他表示，监管不需要过于复杂。他们还可以指出相关的标准机构，这些标准机构的任务是提供更多细节，并在必要时更新最佳实践的采用。他指出，这将使政府不必紧跟市场变化，而是专注于制定高水平的要求。

当通往网络弹性的道路可能漫长而充满复杂性时，执法也是一个很好的起点。

Sondhi说，特别是运营技术(OT)部门的组织，其生态系统必须与IT基础设施进行不同的管理。他们需要建立所有OT系统和设备的清单，并确保第三方工具的安全性和集成性，以便他们在整个供应链中有清晰的可见性。

Rivas说，包括新加坡和美国在内的政府现在正在帮助OT和CII(关键信息基础设施)部门解决这些问题。然而，他说，这是一段漫长的旅程，需要时间。

Sondhi说，政府可以通过执行某些行业要求来促进，使所有行业参与者逐步到位。例如，提供政府相关服务(如智能电表)的组织必须证明他们有一个清晰的系统清单和补丁管理计划。他说，违反这些合同协议规定的供应商应该受到惩罚。

里瓦斯说，这种全面的监管框架有助于推动行动，保护组织和公民。

强大的网络弹性至关重要，尤其是在其中一些行业面临日益严重的威胁之际。

Check Point Software Technologies的亚太地区首席信息安全官维韦克•古拉帕里(Vivek Gullapalli)说，过去六个月，亚太地区的公共机构平均每周要抵御近3,000次攻击。

在过去六个月中，教育和研究部门遭受的攻击次数最多，每个组织每周遭受的攻击次数为4,057次，其次是医疗保健2,958次，以及政府和军事部门2,882次。

Gullapalli说，数字化增加了他们的攻击面，勒索软件具有关闭整个网络的能力，构成了严重的威胁。这些风险促使政府保护其CII和OT产业。

他补充说，其中一些行业仍处于新兴阶段，智能国家仍在建设中，使用无人驾驶汽车、智能摄像头和其他物联网(IoT)设备等新兴技术。

随着底层OT基础设施的不断发展，管理整个生态系统的能力将变得复杂。例如，可能需要一种不同的方法来为OT设备应用安全补丁。随着连接需求的增长，企业将需要弄清楚哪些设备是相互连接的，因此需要进一步的安全保障和嵌入式工具。

他说，由于基础设施的管理有时会在公共和私营部门之间重叠，因此还需要建立一个适当的框架来保护整个OT生态系统。

Gullapalli说，还有很多东西需要学习，需要不同的方法。在这种持续的演变中，他敦促政府、OT设备制造商和安全参与者之间继续进行对话和合作，以填补空白。