美国CISA关于网络安全的警示报告

关键要点

CISA的最新报告揭示美国政府组织在网络安全实践方面存在显著不足。报告回顾了2023年的一次红队渗透测试，测试显示攻击者轻松获得初始网络访问权限。渗透测试的结果表明，政府机构在基本安全实践上存在严重缺陷。

美国网络安全与基础设施安全局CISA表示，美国政府组织在网络安全实践上未能达到应有的标准。最近发布的一份报告指出，CISA进行了2023年红队演练，测试其技术人员试图突破一个未公开的平民行政机构网络的安全防线。

在这次渗透测试中，CISA的工作人员采用了与国家级威胁行为者类似的战术，旨在全面破坏网络并访问敏感数据。结果显示，黑客的攻击取得完全成功，CISA对该机构的基本安全实践表示担忧。

主要发现

在这次测试中，攻击者轻松获得最初的接入权限，给测试结果带来了潜在的警示。通过利用Solaris中的已知漏洞，黑客首先获得了一个立足点，随后结合钓鱼获取的Windows凭证，成功访问了整个网络。

“团队发现，该组织与多个外部合作伙伴机构之间存在信任关系，并能够利用这一点切换到外部组织，”CISA在报告中指出。

红队在测试的第一阶段未被网络防守人员发现，这种情况使得防守方的处境更加严峻。CISA表示，红队还能够窃听蓝队的通信，并始终领先于其采取的反制措施。

“当防御系统被转移到另一个具有正确单向信任的域时，红队通过同一已被攻陷的IDM服务器识别了该域可能的攻击向量，”报告中写道。

此外，一些分析师还对已知的植入物进行了动态分析，引导红队了解正在调查的具体文件和主机。

尽管这些发现无疑会让这一操作的目标机构感到尴尬，但CISA表示，这次演练带来的经验教训可以帮助其他政府机构及其私营部门合作伙伴加强对国家级攻击的防御能力。

白鲸加速器

改进建议

报告中的建议包括简化事件响应和调查流程，以避免官僚作风带来的障碍。同时，建议管理人员避免依赖已知的攻击指标以及指挥与控制C2框架和域名。

CISA还建议各机构更加关注网络日志，确保具备高效收集与分析日志信息的系统，以便更好地理解攻击的范围和程度。