美國網(wǎng)絡(luò)安全防御機構(gòu)敦促關(guān)鍵基礎(chǔ)設(shè)施運營商吸取一次志愿者紅隊測試的經(jīng)驗，不要過度依賴基于主機的終端檢測和響應(yīng)解決方案，而忽視了網(wǎng)絡(luò)層的保護。

關(guān)鍵組織未通過CISA評估

一個未透露姓名的關(guān)鍵基礎(chǔ)設(shè)施組織向網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）尋求紅隊評估，結(jié)果顯示該組織缺乏足夠的安全框架來檢測或預(yù)防惡意活動。CISA指出，該組織高層官員降低了他們自己的網(wǎng)絡(luò)安全團隊識別出的漏洞的處理優(yōu)先級，同時在基于風險的決策過程中犯了重大誤判。紅隊通過第三方之前安全評估留下的一個web shell獲得了初始訪問權(quán)限，并最終破壞了組織的域和幾個敏感的商業(yè)系統(tǒng)。

關(guān)于這次評估的經(jīng)驗總結(jié)

CISA沒有透露該組織屬于哪個關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域。但發(fā)表建議關(guān)鍵基礎(chǔ)設(shè)施的所有者和運營商將安全措施嵌入到整個軟件開發(fā)生命周期的產(chǎn)品架構(gòu)中，消除默認密碼，并強制實施多因素認證。

CISA表示，該組織的工作人員可以從持續(xù)的技術(shù)能力提升中受益，用“足夠的資源”以確保他們能夠充分保護他們的網(wǎng)絡(luò)。關(guān)鍵基礎(chǔ)設(shè)施運營商還應(yīng)該驗證他們的安全控制，測試他們的完整庫存，并設(shè)計產(chǎn)品，以便單一的安全控制缺陷不會導(dǎo)致整個系統(tǒng)的妥協(xié)。接受評估的組織缺乏適當?shù)纳矸莨芾?，其網(wǎng)絡(luò)防御者未能在他們的Linux網(wǎng)絡(luò)中實施和集中的身份管理系統(tǒng)，被迫手動查詢每個Linux主機以追蹤紅隊的橫向移動。如果網(wǎng)絡(luò)配置得當，也許能夠阻止紅隊突破組織的邊界

美國關(guān)鍵基礎(chǔ)設(shè)施相關(guān)法案

CISA對此次測試發(fā)表的觀點與美國在今年5月份發(fā)布的《關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)事件報告法案》的核心內(nèi)容訴求一致。該法案規(guī)定擁有和運營關(guān)鍵基礎(chǔ)設(shè)施的公司需要在72小時內(nèi)報告重大網(wǎng)絡(luò)攻擊，并在24小時內(nèi)報告勒索軟件支付情況。CISA鼓勵企業(yè)報告所有網(wǎng)絡(luò)安全事件，無論是否達到監(jiān)管標準。但就此次評估事件而言，該項法案的實際執(zhí)行之路任重而道遠。