CISA, USCG 详述在关键基础设施中发现的网络卫生差距

执行摘要

网络安全和基础设施安全局（CISA）和美国海岸警卫队（USCG）于2026年4月30日发布了一份联合咨询报告，详细描述了在美国一个关键基础设施组织进行的主动威胁狩猎活动中的发现。该咨询报告（AA25-212A）识别了网络卫生中的系统性弱点，包括未修补的软件、薄弱的凭证政策和不充分的网络分割，这些弱点可能被对手利用。这些发现旨在帮助其他关键基础设施的防御者审计他们自己的环境，寻找类似的漏洞。

技术分析

在狩猎过程中，CISA和USCG团队观察到多个类别的安全缺陷。咨询报告强调了在管理界面上持续使用默认或弱密码、未修补的互联网面向服务存在已知漏洞，以及在远程访问点上缺乏多因素认证（MFA）。此外，团队发现网络分割不佳，允许从安全性较低的操作技术（OT）环境横向移动到信息技术（IT）系统。咨询报告没有指明具体的受害组织，也没有披露是否检测到任何活跃的妥协，但它指出观察到的配置漏洞与高级持续性威胁（APT）行为者利用的模式“一致”。

具体的技术发现包括：未修补的远程访问软件实例（例如，VPN设备、RDP网关）、跨内部和外部系统的凭证重用，以及在关键资产上缺少端点检测和响应（EDR）覆盖。咨询报告还标记了不足的日志记录和监控，这将阻碍对后开发活动检测。

缓解措施与建议

CISA和USCG建议组织实施以下控制措施：在所有远程访问和管理员账户上强制执行MFA；建立优先考虑互联网面向系统的补丁管理计划；进行定期的凭证审计以消除重用；使用严格的防火墙规则分割OT和IT网络；部署集中日志记录与安全信息和事件管理（SIEM）解决方案。咨询报告还敦促关键基础设施实体参与CISA的免费漏洞扫描和威胁狩猎服务。防御者应将咨询报告视为主动卫生审查的清单，而不是对特定活跃威胁的响应。