美國(guó)網(wǎng)絡(luò)安全防御機(jī)構(gòu)敦促關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商吸取一次志愿者紅隊(duì)測(cè)試的經(jīng)驗(yàn)，不要過(guò)度依賴(lài)基于主機(jī)的終端檢測(cè)和響應(yīng)解決方案，而忽視了網(wǎng)絡(luò)層的保護(hù)。

關(guān)鍵組織未通過(guò)CISA評(píng)估

一個(gè)未透露姓名的關(guān)鍵基礎(chǔ)設(shè)施組織向網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）尋求紅隊(duì)評(píng)估，結(jié)果顯示該組織缺乏足夠的安全框架來(lái)檢測(cè)或預(yù)防惡意活動(dòng)。CISA指出，該組織高層官員降低了他們自己的網(wǎng)絡(luò)安全團(tuán)隊(duì)識(shí)別出的漏洞的處理優(yōu)先級(jí)，同時(shí)在基于風(fēng)險(xiǎn)的決策過(guò)程中犯了重大誤判。紅隊(duì)通過(guò)第三方之前安全評(píng)估留下的一個(gè)web shell獲得了初始訪問(wèn)權(quán)限，并最終破壞了組織的域和幾個(gè)敏感的商業(yè)系統(tǒng)。

關(guān)于這次評(píng)估的經(jīng)驗(yàn)總結(jié)

CISA沒(méi)有透露該組織屬于哪個(gè)關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。但發(fā)表建議關(guān)鍵基礎(chǔ)設(shè)施的所有者和運(yùn)營(yíng)商將安全措施嵌入到整個(gè)軟件開(kāi)發(fā)生命周期的產(chǎn)品架構(gòu)中，消除默認(rèn)密碼，并強(qiáng)制實(shí)施多因素認(rèn)證。

CISA表示，該組織的工作人員可以從持續(xù)的技術(shù)能力提升中受益，用“足夠的資源”以確保他們能夠充分保護(hù)他們的網(wǎng)絡(luò)。關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)商還應(yīng)該驗(yàn)證他們的安全控制，測(cè)試他們的完整庫(kù)存，并設(shè)計(jì)產(chǎn)品，以便單一的安全控制缺陷不會(huì)導(dǎo)致整個(gè)系統(tǒng)的妥協(xié)。接受評(píng)估的組織缺乏適當(dāng)?shù)纳矸莨芾?，其網(wǎng)絡(luò)防御者未能在他們的Linux網(wǎng)絡(luò)中實(shí)施和集中的身份管理系統(tǒng)，被迫手動(dòng)查詢(xún)每個(gè)Linux主機(jī)以追蹤紅隊(duì)的橫向移動(dòng)。如果網(wǎng)絡(luò)配置得當(dāng)，也許能夠阻止紅隊(duì)突破組織的邊界

美國(guó)關(guān)鍵基礎(chǔ)設(shè)施相關(guān)法案

CISA對(duì)此次測(cè)試發(fā)表的觀點(diǎn)與美國(guó)在今年5月份發(fā)布的《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報(bào)告法案》的核心內(nèi)容訴求一致。該法案規(guī)定擁有和運(yùn)營(yíng)關(guān)鍵基礎(chǔ)設(shè)施的公司需要在72小時(shí)內(nèi)報(bào)告重大網(wǎng)絡(luò)攻擊，并在24小時(shí)內(nèi)報(bào)告勒索軟件支付情況。CISA鼓勵(lì)企業(yè)報(bào)告所有網(wǎng)絡(luò)安全事件，無(wú)論是否達(dá)到監(jiān)管標(biāo)準(zhǔn)。但就此次評(píng)估事件而言，該項(xiàng)法案的實(shí)際執(zhí)行之路任重而道遠(yuǎn)。