美国网络安全与基础设施安全局（CISA）发布了今年首个约束性操作指令（BOD），要求联邦民事部门发现问题后14天内，确保配置错误或暴露在互联网上的网络设备的安全性。 CISA此次发布的指令（BOD 23-02），适用于管理界面暴露在互联网上的网络设备（如路由器、防火墙、代理服务器和负载均衡器）。这些网络设备的用户可以获得进行网络管理所需的访问权限。 CISA表示，“该指令要求联邦民事行政部门（FCEB）采取措施，减少不安全或配置错误的管理界面在某些设备类别上创建攻击面。各部门必须准备将已识别的网络管理界面从互联网中移除，或者通过实施零信任功能保护它们。零信任功能实施的策略执行点与界面本身分离。 CISA将扫描互联网并通报问题设备 BOD 23-02规定，联邦机构在收到CISA通知或独立发现适用于该指令范围内的网络管理界面后，需在14天时间采取以下行动之一： 仅允许通过内部网络访问网络设备接口。CISA建议使用隔离管理网络。 实施零信任措施，通过一个与界面本身分离的策略执行点实施访问控制（CISA推荐的措施）。 CISA将进行大范围扫描，识别符合指令范围的设备和管理后台，并将识别结果通报联邦机构。为促进整改进程，CISA将视需要或应请求向联邦机构提供技术专业知识，帮助审查特定设备的状态，并提供设备安全方面的指导。 如果整改工作无法在规定时段内完成，联邦民事行政部门可以通过专用报告接口，使用标准模板提供整改计划。 CISA将在未来六个月内编制一份联邦民事行政部门BOD 23-02合规情况报告，提交给美国行政管理和预算局（OMB）局长和国土安全部（DHS）部长。之后，CISA将按年度编制并提交该报告。 此外，CISA还将在两年内更新该指令，以适应网络安全形势的变化，并修改所提供的实施指南，帮助各机构有效识别、监控和报告他们使用的网络管理界面。 今年3月，CISA宣布建立一个新的勒索软件漏洞预警试点项目（RVWP），将向关键基础设施组织发出易受勒索软件影响的内部网络设备漏洞预警，帮助这些组织阻止勒索软件攻击。     转自 安全内参，原文链接：https://www.secrss.com/articles/55638 封面来源于网络，如有侵权请联系删除

安全内参消息，为了避免类似SolarWinds的事件重演（恶意黑客利用IT管理外包商的访问权限与低下的身份管理水平，至少入侵了九个联邦部门），身份验证服务商越来越受到高度关注。不过日前一次研讨会上，负责相关工作的美国政府官员强调，具体实施还需要各方机构积极参与。 技术专家杰里米•格兰特（Jeremy Grant）表示，“经历SolarWinds事件后，每一家行业领先的身份验证服务商都能感受到业务更好做了。” 格兰特目前是Venable律师事务所负责技术业务战略的常务董事。在美国国家标准与技术研究院（NIST）制定关键基础设施安全性改进路线图期间，他曾经提供了身份与认证管理方面的建议。 说起市面上的顶尖身份验证提供商，如Ping、Okta、Forgerock以及微软Active Directory Federation Services（ADFS）等，他认为“在关于到底该选择哪家提供商方面，之前的争议一直比较玄学，类似于可口可乐和百事可乐到底哪种更好喝。” 周二（8月2日），参加先进技术研究中心在线会议的联邦官员普遍认为，任何机构的决策都包含大量主观性因素。因此，他们将更多关注机构所必需的通用基础要素，对具体供应商或安全方法的选择不做关注，仅视为达成管理和预算办公室（OBM）发布的建立“零信任”系统指令的手段。 网络安全和基础设施安全局（CISA）发布公告称，在SolarWinds事件曝光后，各机构纷纷开始寻求解决之道。SolarWinds事件中，恶意黑客使用微软ADFS劫持了系统管理员的凭证，借此在目标网络上横向移动。第14028号总统行政令要求，各机构应优先建立以零信任为核心的身份和访问管理系统，根据特定角色（例如人力资源人员）和属性（例如所在位置）为其授予查看/编辑某些资产的相应权限。 网络安全和基础设施安全局的格兰•达舍（Grant Dasher）提到，“CISA在政府的身份空间中有望发挥更大作用。我们正努力提供更多指导，包括零信任成熟度模型和云安全参考架构。相信这一领域将很快出现更多解决方案。” 达舍表示，各机构最应该从SolarWinds事件中吸取的教训之一，就是“充分了解基础设施内的信任边界和接触面。” 他表示，“只要认真研究过特定架构的设计方式，就会意识到某些联合凭证虽然使用频繁，但却不一定该被纳入管理员账户。也许我们可以为云管理员账户设置一个单独的信任根，把它的权限范围收窄，这样才不会影响到原有（本地资产）的所有接触面。” 技术专家马特•托珀（Matt Topper）透露，NIST正在更新关于身份和访问管理的出版物文件，并将“发布有史以来第一份关于联邦指导的真实、专用文件。”这份文件不仅希望能在机构之间开展身份验证，还要求在机构及其外包商/普通民众间开展身份验证。托珀是联邦身份访问供应商Uberether的总裁，也是ATARC网络研讨会的小组成员。 外包供应商尤为重要，因为这些托管服务提供商已经成为高水平恶意黑客的切入点，而且很难搞清楚，到底该由谁监督外包商们对政府系统的访问活动。 托珀表示，“我总是开玩笑地说，那些已经为机构工作了很长时间的外包商，掌握的访问权限甚至比机构主管还要高。这是因为我们在重新认证外包商访问权限上做得不够好。当他们解约又签约之后，原有权限并没有被收回，所以随着时间推移访问范围也就越来越大。我们曾为国防部做过很多工作，大家可能想象不到，就连「谁负责管理外包商？」「外包商在访问网络时出了麻烦，该由谁担责？」这样的问题都很难有明确的答案。” 托珀也表示，“我们最终还是达到了CISA对主用户记录/主设备记录的管理能力要求……开始将这些信息整合起来，以确保数据是干净的。” 卫生与公民服务部首席信息官杰拉尔德·卡隆（Gerald Caron）在会议最后总结道，“无论是借助Ping、Okta或ADFS”，联合身份“都是一件好事……毕竟包括我自己在内，没人愿意硬记几十种应用程序上的用户名和密码。” 转自 安全内参，原文链接：https://www.secrss.com/articles/45404 封面来源于网络，如有侵权请联系删除

2022年时间6月6日，RSA Conference 2022在旧金山召开。本届RSAC的主题为“Transform(转型)”，被认为是RSAC 2021年主题“弹性”的进一步延伸和拓展。转型在当下，是很多企业不得不面对的问题，像云计算、物联网、移动办公等新技术与业务的加速融合，让传统网络边界逐渐变得模糊，小至企业之弹性，大至行业之转型，网络安全产业正处于变革之中，传统边界防护手段已不足以有效应对新时代的威胁与挑战。 在此背景下，以“从不信任、始终验证”为核心原则的零信任概念应运而生，并迅速成为热门话题。很多企业高管将考虑开展零信任安全策略，因为他们希望零信任安全策略的实施可以让企业的安全建设取得明显进展。根据云安全联盟(CSA)的一项新调查，对80%的CxO技术领导者来说，零信任是企业的重要事项，77%的高管表示他们将增加对零信任安全建设的支出。 增加对零信任的投入对很多企业来说具有重大意义，超过五分之二的高管称企业在零信任安全建设方面的预算增加了至少26%。 根据对来自对全球800多名IT和安全专业人士的调研，以及包括200多名C级高管的回答，随着数字化转型的推进、疫情期间劳动力的转移以及美国网络安全行政命令的宣布，零信任已成为保护企业的一道盾牌。该研究表明，对于大多数企业来说，零信任策略仍然是一个相对较新的网络安全路线图，53% 的企业表示他们开始实施零信任策略的时间还不到两年。他们用来指导战略规划的标准五花八门，比如CISA、Forrester ZTX、IEEE、NIST和CSA等。其中的领跑者要数CISA标准，有33%的企业报告说他们使用的正是CISA的标注作为他们的零信任战略指导。 零信任是一种不断发展的安全模型，它将许多长期运行的安全概念(最小特权、基于风险因素的有条件访问和隔离)联系在一起——不仅在网络级别，而且在应用程序和工作负载级别。其核心概念是消除IT长期以来在用户和设备使用密码登录后对网络的无条件信任。 实施零信任的目的是用一种更具适应性和持续评估的授予访问权限的模式来代替它，该模式提供有限的访问权限，并且不仅基于身份，还基于操作和威胁环境。执行此操作需要很多部分，包括强大的身份和访问管理 (IAM)、有效的网络策略执行、强大的数据安全性和有效的安全分析。很多企业在过去的安全建设中其实已经有过对这些部分投入，而零信任策略只是重新整合和利用这些已经投入过的资源。 因此，尽管许多企业表示他们开始零信任之旅才一两年，但这项调查的受访者表示，他们在终端/设备成熟度、应用安全、IAM、数据流管理、网络安全管理、用户行为和资产管理等核心零信任领域已经有一些经验了。 在执行零信任策略时，基本策略、架构和集成工作会将冒牌者与竞争者区分开来。RackTop系统公司的首席执行官兼国防和金融领域的长期安全和技术从业者Eric Bednash表示，组织要想开展零信任之旅，他们必须先了解IT和安全堆栈如何结合。“这是关于从对企业整体架构和业务流程的深入了解开始，你需要了解它们如何联系在一起。它超越了任何单一元素。而且你还要记住，零信任不是一件具象化的东西，而是一种理念，“ 他说。“它更像是一种指导方针。而不是说，’这东西是零信任，这东西不是零信任。’ 简单来说，零信任是一种方法论，它没有捷径可走，这就是为什么它如此难以实施的原因。” 实施零信任策略需要高管的充分支持、足够的专业知识和人员配备，以及明智的变革管理。根据CSA调查，40%的企业表示缺乏专业知识，34%的企业表示他们没有内部协调或得到支持，23%的企业表示抵制变革阻碍了前进的道路。专家表示要克服这些业务和流程障碍需要外交和有纪律的沟通。“为了有效地管理变化，你需要开展行动并逐步的实施。你可能知道你想去哪里，你甚至可能已经为你的网络解决方案签订了合同，但不要一次实施所有事情”，Perimeter 81首席执行官兼联合创始人Amit Bareket说，“变革管理的艺术在于知道要实施多少——所以不要一次改变太多，但也不要无限期地拖延这个过程。”   转自 FreeBuf，原文链接：https://www.freebuf.com/news/335698.html 封面来源于网络，如有侵权请联系删除