美国网络安全与基础设施安全局（CISA）发布了今年首个约束性操作指令（BOD），要求联邦民事部门发现问题后14天内，确保配置错误或暴露在互联网上的网络设备的安全性。 CISA此次发布的指令（BOD 23-02），适用于管理界面暴露在互联网上的网络设备（如路由器、防火墙、代理服务器和负载均衡器）。这些网络设备的用户可以获得进行网络管理所需的访问权限。 CISA表示，“该指令要求联邦民事行政部门（FCEB）采取措施，减少不安全或配置错误的管理界面在某些设备类别上创建攻击面。各部门必须准备将已识别的网络管理界面从互联网中移除，或者通过实施零信任功能保护它们。零信任功能实施的策略执行点与界面本身分离。...

安全内参消息，为了避免类似SolarWinds的事件重演（恶意黑客利用IT管理外包商的访问权限与低下的身份管理水平，至少入侵了九个联邦部门），身份验证服务商越来越受到高度关注。不过日前一次研讨会上，负责相关工作的美国政府官员强调，具体实施还需要各方机构积极参与。 技术专家杰里米•格兰特（Jeremy Grant）表示，“经历SolarWinds事件后，每一家行业领先的身份验证服务商都能感受到业务更好做了。” 格兰特目前是Venable律师事务所负责技术业务战略的常务董事。在美国国家标准与技术研究院（NIST）制定关键基础设施安全性改进路线图期间，他曾经提供了身份与认证管理方面的建议。...

2022年时间6月6日，RSA Conference 2022在旧金山召开。本届RSAC的主题为“Transform(转型)”，被认为是RSAC 2021年主题“弹性”的进一步延伸和拓展。转型在当下，是很多企业不得不面对的问题，像云计算、物联网、移动办公等新技术与业务的加速融合， 在此背景下，以“从不信任、始终验证”为核心原则的零信任概念应运而生，并迅速成为热门话题。很多企业高管将考虑开展零信任安全策略，因为他们希望零信任安全策略的实施可以让企业的安全建设取得明显进展。根据云安全联盟(CSA)的一项新调查，对80%的CxO技术领导者来说，零信任是企业的重要事项，...