美国网络安全防御机构敦促关键基础设施运营商吸取一次志愿者红队测试的经验,不要过度依赖基于主机的终端检测和响应解决方案,而忽视了网络层的保护。
关键组织未通过CISA评估
一个未透露姓名的关键基础设施组织向网络安全与基础设施安全局(CISA)寻求红队评估,结果显示该组织缺乏足够的安全框架来检测或预防恶意活动。CISA指出,该组织高层官员降低了他们自己的网络安全团队识别出的漏洞的处理优先级,同时在基于风险的决策过程中犯了重大误判。红队通过第三方之前安全评估留下的一个web shell获得了初始访问权限,并最终破坏了组织的域和几个敏感的商业系统。
关于这次评估的经验总结
CISA没有透露该组织属于哪个关键基础设施领域。但发表建议关键基础设施的所有者和运营商将安全措施嵌入到整个软件开发生命周期的产品架构中,消除默认密码,并强制实施多因素认证。
CISA表示,该组织的工作人员可以从持续的技术能力提升中受益,用“足够的资源”以确保他们能够充分保护他们的网络。关键基础设施运营商还应该验证他们的安全控制,测试他们的完整库存,并设计产品,以便单一的安全控制缺陷不会导致整个系统的妥协。接受评估的组织缺乏适当的身份管理,其网络防御者未能在他们的Linux网络中实施和集中的身份管理系统,被迫手动查询每个Linux主机以追踪红队的横向移动。如果网络配置得当,也许能够阻止红队突破组织的边界
美国关键基础设施相关法案
CISA对此次测试发表的观点与美国在今年5月份发布的《关键基础设施网络事件报告法案》的核心内容诉求一致。该法案规定拥有和运营关键基础设施的公司需要在72小时内报告重大网络攻击,并在24小时内报告勒索软件支付情况。CISA鼓励企业报告所有网络安全事件,无论是否达到监管标准。但就此次评估事件而言,该项法案的实际执行之路任重而道远。
