CISA 發布十大常見網絡安全錯誤配置

2019年8月22日，美國國土安全部（DHS）下面新改建的網絡安全與基礎設施安全局（CISA，Cybersecurity and Infrastucture Security Agency）正式公布了其成立以來的首份《戰略意圖》（Strategic Intent）文檔。該文件闡述了CISA的戰略愿景和運營重點，它為CISA履行職責提供了一般方法，旨在使CISA在未來幾年和幾十年內成功地完成其使命。

本期關鍵基礎設施安全資訊周報共收錄安全資訊30篇。點擊文章，快速閱讀最新資訊。

作為一種新的漏洞評估方法，SSVC的特點主要體現為三個“面向”：面向供應鏈、面向決策結果、面向實踐經驗。

當今世界正處于百年未有之大變局，國際形勢風云變幻，推動全球治理體系深刻變革，網絡空間治理作為全球治理的全新命題和重要領域，關系著全人類的命運。

當地時間12月1日，美國國土安全部下屬的網絡安全和基礎設施安全局 (CISA) 局長Jen Easterly宣布任命該局新成立的網絡安全咨詢委員會的前 23 名成員，該委員會將就政策、計劃、規劃、和培訓以加強國家的網絡防御。網絡安全咨詢委員會是由2021年國防授權法案授權，于2021年6月成立，以推進CISA的網絡安全使命，加強美國的網絡安全。作為一個獨立的咨詢機構，該委員會就一系列網絡安全問題、

與此同時，企業必須通過明確確定負責OT特定網絡安全的特定領導者來主導OT。這將有助于企業建立有效的網絡分段，消除對OT資產的直接、不受約束的遠程連接，并在所有遠程OT連接期間持續監控人員活動。OT環境中威脅檢測和滿足CPG目標要求的一個關鍵方面是各利益相關者之間的信息共享和協作

到目前為止，大多數組織都非常清楚，網絡犯罪分子和民族國家黑客會在假期期間進行游戲而不是休息。由于勒索軟件團伙在母親節、陣亡將士紀念日和美國獨立日假期周末發動攻擊，這一趨勢在今年飆升。

美國網絡安全機構 CISA 周二在其已知利用漏洞 (KEV) 目錄中添加了影響多個高通芯片組的四個漏洞。其中三個缺陷（編號為 CVE-2023-33106、CVE-2023-33107 和 CVE-2023-33063）于2023 年 10 月作為零日漏洞進行了修補。所有三個漏洞都被描述為內存損壞錯誤。這些類型的缺陷會導致崩潰或意外行為，并可能允許攻擊者未經授權訪問系統，甚至執行任意代碼。第四個漏

美國網絡安全和基礎設施安全局局長伊斯特利(Jen Easterly)當地時間10月29日表示，該機構已經開始著手規劃美國的關鍵基礎設施保護，即啟動“具有系統性重要的關鍵基礎設施”標定計劃，這類基礎設施可謂“關基”中的“關基”

當前，美國總統拜登上任已半年有余，在網絡議題上積極開展系列舉措，調人事，補“漏洞”，組聯盟，實現從上任之初由網絡安全事件牽引的“應急式”被動反應轉變為重點突出、多措并舉的主動作為，具有拜登特色的網絡安全戰略正在成形。