美國網絡安全防御機構敦促關鍵基礎設施運營商吸取一次志愿者紅隊測試的經驗，不要過度依賴基于主機的終端檢測和響應解決方案，而忽視了網絡層的保護。

關鍵組織未通過CISA評估

一個未透露姓名的關鍵基礎設施組織向網絡安全與基礎設施安全局（CISA）尋求紅隊評估，結果顯示該組織缺乏足夠的安全框架來檢測或預防惡意活動。CISA指出，該組織高層官員降低了他們自己的網絡安全團隊識別出的漏洞的處理優(yōu)先級，同時在基于風險的決策過程中犯了重大誤判。紅隊通過第三方之前安全評估留下的一個web shell獲得了初始訪問權限，并最終破壞了組織的域和幾個敏感的商業(yè)系統(tǒng)。

關于這次評估的經驗總結

CISA沒有透露該組織屬于哪個關鍵基礎設施領域。但發(fā)表建議關鍵基礎設施的所有者和運營商將安全措施嵌入到整個軟件開發(fā)生命周期的產品架構中，消除默認密碼，并強制實施多因素認證。

CISA表示，該組織的工作人員可以從持續(xù)的技術能力提升中受益，用“足夠的資源”以確保他們能夠充分保護他們的網絡。關鍵基礎設施運營商還應該驗證他們的安全控制，測試他們的完整庫存，并設計產品，以便單一的安全控制缺陷不會導致整個系統(tǒng)的妥協(xié)。接受評估的組織缺乏適當的身份管理，其網絡防御者未能在他們的Linux網絡中實施和集中的身份管理系統(tǒng)，被迫手動查詢每個Linux主機以追蹤紅隊的橫向移動。如果網絡配置得當，也許能夠阻止紅隊突破組織的邊界

美國關鍵基礎設施相關法案

CISA對此次測試發(fā)表的觀點與美國在今年5月份發(fā)布的《關鍵基礎設施網絡事件報告法案》的核心內容訴求一致。該法案規(guī)定擁有和運營關鍵基礎設施的公司需要在72小時內報告重大網絡攻擊，并在24小時內報告勒索軟件支付情況。CISA鼓勵企業(yè)報告所有網絡安全事件，無論是否達到監(jiān)管標準。但就此次評估事件而言，該項法案的實際執(zhí)行之路任重而道遠。