【国际视野】美国⽹络安全和基础设施安全局发布《远程监控和管理⽹ 络防御计划》 “天极按 近⽇，⽹络安全和基础设施安全局（ CISA）发布了《远程监控和管理⽹络 防御计划》，这是由⾏业和政府合作伙伴通过联合⽹络防御协作 (JCDC) 制 定的⾸个前瞻性计划。该计划旨在解决利⽤远程监控和管理（ RMM）软 件所⾯临的系统性⻛险。⽹络攻击者可通过 RMM 软件在托管服务提供商 (MSP) 或管理安全服务提供商 (MSSP) 服务器中获得⽴⾜点，进⽽对作为 MSP /MSSP 客户的中⼩型组织造成连带影响。天极智库2023-08-18 15:34发表于北京 原创 天极智库 本版本以JCDC 2023 年规划议程为基础，标志着合作组织在不断发展和成熟过程中的重要⾥ 程碑，以满⾜ JCDC 的核⼼职能：制定和协调⽹络防御计划 业务协作和⽹络安全信息整合 编制和传播⽹络防御指南 通过这⼀努⼒， CISA 以及政府和私营部⻔的合作伙伴将采取措施，以显著降低全球⽹络社区 ⾯临的⼀些最重⼤的⽹络⻛险。 ⽹络安全和基础设施安全局（ CISA ） ⽹络安全和基础设施安全局（ CISA ）始终⾛在防范⽹络攻击者的前沿，攻击者的⽬标是美国关 键基础设施、联邦和州、地⽅、部落和领地（ SLTT ）政府、私营部⻔以及美国⼈⺠。虽然 CISA 在这⼀努⼒中发挥着基础性的重要作⽤，但⽹络安全是⼀项共同的责任，美国必须共同努⼒管理 和降低⽹络⻛险。政府、⾏业、国际和其他合作伙伴之间需要密切合作，以减少当前破坏性⼊侵 的发⽣率和影响，从⽽实现⼀个更加安全的未来。 联合⽹络防御协作中⼼（ JCDC ） 2021 年，根据国会的新授权， CISA 创建了⼀种新型合作伙伴关系：联合⽹络防御协作中⼼ (JCDC) ，以使 CISA 传统的公私合作伙伴关系成熟为实时的公私业务协作，重点关注主动规划 和缓解。 JCDC 将私营部⻔的能⻅度、洞察⼒和创新与联邦⽹络⽣态系统的能⼒和权威相结合， 使合作伙伴能够共同降低国家⾯临的⼤规模⽹络⻛险。通过 JCDC ， CISA 将联邦机构、 SLTT 实 体、国际盟友、私营部⻔实体和其他合作伙伴的集体⽹络防御统⼀并同步化。 2023 年联合社区发展委员会规划议程 2023 年 1 ⽉， CISA 及其合作伙伴⾃豪地宣布了 JCDC 的 2023 年规划议程，以推进这⼀重要 ⽅⾯。该议程是⼀项具有前瞻性的⼯作，它将政府与私营部⻔聚集在⼀起，共同制定和执⾏⽹络 防御计划，以实现降低⻛险的具体⽬标，并促成更有针对性的合作。 CISA 将继续扩⼤这⼀合作 伙伴关系的⼴度和深度，以最⼤限度地提⾼这些规划⼯作的完整性和影响⼒。通过严格的流程 （包括主题专家、政府和私营部⻔合作伙伴的意⻅）， CISA 制定了规划议程，重点关注三个主 题领域：系统性⻛险、集体⽹络响应和⾼⻛险社区。 CISA ⽬前正在使⽤相同的流程来制定 2024 年 JCDC 规划议程。技术和⻛险环境 ⼀份2022 年的报告显示，⼤约 90% 的美国中⼩型企业（ SMB ）（包括关键基础设施实体） 依赖MSP 来补充⾃身的信息技术（ IT ）、运营技术（ OT ）和⼯业控制系统（ ICS ）能⼒，并扩 展⽹络环境，⽽⽆需在内部开发和管理这些能⼒。许多 MSP 和托管安全服务提供商 (MSSP) 反过来⼜依赖 RMM 供应商提供软件部署、账户管理和其他软件⼯具。 RMM ⽣态系统的 RMM ⽣态系统的结构（图1 ）为中⼩型关键基础设施实体提供了推进⽹络安全和⼤规模降低供应链 ⻛险的机会。 RMM 软件允许 IT 服务提供商远程监控和操作设备和系统，并获得更⾼的权限，使 MSP 或 IT 服务台能够同时监控多个设备和⽹络。恶意⽹络⾏为者可以利⽤这些功能，通过云托管基础设 施建⽴⽹络连接，同时逃避检测。这类⼊侵也被称为 " 落地⽣根 " （ LOTL ）攻击，在这种攻击 中，对⼿不再需要依赖固有的恶意⽂件、代码和脚本，⽽是利⽤环境中已有的⼯具来实现其恶 意活动。这种形式的⼊侵使企业更容易受到服务提供商供应链⼊侵、利⽤或恶意使⽤远程功能 的影响。作为本⽹络防御计划的⼀部分， 2023 年 6 ⽉ 6 ⽇发布的 CISA 产品《远程访问软件安 全指南》指出了远程访问软件如何特别吸引威胁⾏为者，因为这些软件： 偶尔触发安全⼯具；远程监控和管理（ RMM ） 规划⼯作 JCDC 2023 年的规划议程优先考虑降低系统性⽹络安全⻛险。 CISA 在与政府和私营部⻔合作 伙伴的合作中发现，利⽤ RMM 软件对各部⻔的组织构成了系统性⻛险。通过利⽤ RMM 产品， ⽹络攻击者可以进⼊托管服务提供商 (MSP) 服务器，进⽽进⼊雇⽤ MSP 的数以千计的中⼩型企 业(SMB) 客户⽹络。使⽤ RMM 软件或使⽤ RMM 软件的 MSP 带来了攻击⾯，可能导致⽹络安 全受到破坏，尤其会影响到⽹络安全专业知识有限的最终⽤户组织。 利⽤RMM 服务中的漏洞可能会在全球范围内产⽣连带影响，并影响到占美国私营部⻔⼯资总额 40% 以上的⾏业。例如，勒索软件攻击者继续使⽤ RMM ⼯具进⾏攻击，给⽀持国家关键职能 的中⼩企业带来了越来越⼤的⻛险。为了⼤规模降低这些类型的⻛险， JCDC 召集主要合作伙伴 并撰写了《 JCDC RMM ⽹络防御计划》，为政府和私营部⻔的⽹络防御领导者制定了⼀项集体 计划，以减轻对 RMM ⽣态系统的威胁。通过 2023 年规划⼯作， JCDC 旨在建⽴和利⽤与 RMM供应商、 MSP 和 MSSP 组成的战略⽣态系统的关系，通过在整个⽹络⽣态系统中建⽴以业 务参与、信息共享和教育为中⼼的持久合作伙伴关系，应对美国关键基础设施⾯临的⽇益成熟和 不断发展的威胁。不需要⼴泛能⼒开发； 可能允许⾏为者绕过软件管理控制政策； 可能允许⾏为者绕过防⽕墙规则； 可为多重⽹络⼊侵提供便利。 美国信息安全管理局（ CISA ）最近发布了⼀份联合⽹络安全咨询（ CSA ），就中华⼈⺠共和 国（PRC ）国家⽀持的⽹络⾏为者（⼜称伏特台⻛）如何下载攻击作为其主要战术、技术和程 序（TTPs ）之⼀提供了⻅解。私营部⻔合作伙伴发现，这种活动影响到美国关键基础设施部 ⻔的⽹络，编写机构认为，该⾏为者可能会对这些部⻔和全球其他部⻔采⽤相同的技术。 管理服务提供商（ MSP ）： 全部或部分为其他组织提供 IT 相关服务或应⽤程序管理的企业 实体； 托管安全服务提供商（ mssp ）： 只为其他组织提供信息安全服务和应⽤程序的企业实体。 图1：RMM ⽣态系统JCDC RMM ⽹络防御计划概述 JCDC RMM ⽹络防御计划与《 2023-2025 年 CISA 战略计划》中概述的优先事项保持⼀致， 并突出了《2023 年国家⽹络战略》中涉及的具体⼯作重点。根据《国家⽹络安全战略》， JCDC有责任整合联邦政府和私营部⻔的⽹络防御规划和⾏动。 为⽀持CISA 战略计划， JCDC RMM ⽹络防御计划确定了⼀条前进道路，以降低依赖 RMM 产 品的美国关键基础设施组织的⻛险，并加强其复原⼒。 JCDC RMM ⽹络防御计划由核⼼规划⼩组制定，该⼩组由 JCDC 规划办公室领导，成员包括 来⾃CISA 其他部⻔、联邦机构间和私营企业的代表。 JCDC RMM ⽹络防御计划的各组成部 分为RMM ⽣态系统的领导者提供了必要的⽅式⽅法，以实现持续、有效的⼤规模⽹络防御 （如图2 和表 1 所示）。 JCDC RMM ⽹络防御计划的核⼼是⼀个建⽴在信任和协作基础上的⾏动社区，以推动联合⽹ 络防御⾏动。该社区的最终⽬标是降低整个 RMM ⽣态系统中⽹络安全事件的发⽣频率和影 响，并利⽤ RMM 软件在关键基础设施中的普及来扩⼤⽹络防御⾏动的规模。 JCDC ⾮常重视 培养这种合作⽂化，并将积极参与组织的数量、共享信息的数量和质量、共享信息的开发和后 续采⽤等指标作为衡量成功与否的标准，同时也表明该领域对威胁、⽹络安全挑战和机遇的认 识在不断提⾼。图2：JCDC RMM ⽹络防御计划的愿景、使命和⽬标图3：JCDC RMM ⽹络防御计划⼯作重点 (LOE) 成就