CISA号令加强网络安全防护

关键要点

网络安全和基础设施安全局（CISA） 正在下令联邦机构加强其网络边缘和远程管理设备的安全，原因是“近期的威胁活动”已经利用了配置不当的网络设备。

这一指令于6月13日发布，是一项所有平民行政部门机构必须遵循的绑定操作指令，涵盖了政府范围内使用的多种设备，特别是那些连接到互联网的设备。

此命令所涉及的网络设备包括：

此外，还包括使用各种协议的远程管理工具，例如 HTTP、HTTPS、FTP，以及更高级的远程协议（如SSH和RDP）。

“随着机构和组织对其网络的可视化提升和终端检测响应的改进，威胁行为者调整了战术，通过攻击支持基础设施的网络设备来规避这些保护措施。”

CISA指出，攻击者曾利用某些网络设备获得无限制的网络访问，从而导致整个网络的安全漏洞。设备的安全性不足、配置错误和过时的软件使得这些设备容易受到攻击，若设备管理接口直接连接并可从公共互联网访问，风险将进一步加大。

CISA将开始扫描各机构网络中的脆弱设备。在收到通知后，各机构将有两周的时间从互联网断开设备或部署强化访问控制。此外，所有新添加或发现的设备及其管理接口也必须实施技术控制，限制访问至内部或孤立网络。

尽可能地，CISA建议各机构与联邦政府推行的零信任安全架构 保持一致。为此，他们推荐各机构参考多项现有的联邦指南，包括：

实施页面进一步阐明了指令所针对的设备和行动。例如，某个路由器负责管理内部网络流量，并且通过HTTPS可在互联网上访问，这就是典型的受影响设备。

“在本指令的背景下，‘网络管理接口’是专门用于设备配置和管理操作的接口，旨在供授权用户执行管理活动，并可通过网络协议从网络上访问。”

该指令适用于联邦承包商和各平民行政部门，明确排除应用程序编程接口（API）、管理门户或对第三方云提供商的网络管理应用程序的影响。然而，某些基础设施即服务（IaaS）和平台即服务（PaaS）设备可能会符合要求，而大多数软件即服务（SaaS）应用则不在此列。

CISA计划为各机构提供一个报告脆弱设备的接口以及标准化的修复模板，并与首席信息官（CIO）、首席信息安全官（CISO）等领导协调，梳理与解决受影响的信息技术。该机构还计划在两年后根据科技和威胁格局变化更新和修订该指令。

虽然CISA没有提供现阶段针对政府的具体攻击活动的更多细节，但Mandiant和其他私人威胁