美國(guó)國(guó)家安全局（National Security Agency）網(wǎng)絡(luò)部門(mén)負(fù)責(zé)人表示，高級(jí)持續(xù)威脅行為者越來(lái)越多地利用虛擬專(zhuān)用網(wǎng)絡(luò)等廣泛可用的商業(yè)工具，這加大了網(wǎng)絡(luò)攻擊溯源取證的難度。

　　“我們已經(jīng)看到整個(gè)APT 組織對(duì)一些商業(yè)機(jī)構(gòu)來(lái)說(shuō)是隱藏很深的，他們說(shuō)‘是的，我沒(méi)有看到那些來(lái)自您最關(guān)注的威脅行為組織的名字的自定義工具，’而實(shí)際上它們同樣活躍，但是什么？他們現(xiàn)在使用的是公開(kāi)商用的工具，你知道一些商業(yè)工具可以讓他們達(dá)到相同的結(jié)果，”美國(guó)國(guó)家安全局網(wǎng)絡(luò)安全主管羅布喬伊斯說(shuō)。“所以它覆蓋了那個(gè)空間。”

　　喬伊斯在當(dāng)?shù)貢r(shí)間周三的阿斯彭（ASPEN）網(wǎng)絡(luò)峰會(huì)上與火眼公司首席執(zhí)行官凱文·曼迪亞以及其他來(lái)自政府和業(yè)界的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人進(jìn)行了交談。本屆峰會(huì)有來(lái)自軍工和網(wǎng)絡(luò)安全界的知名專(zhuān)家，NSA網(wǎng)絡(luò)安全局、國(guó)家網(wǎng)絡(luò)總監(jiān)、CISA局長(zhǎng)全部參加。

　　曼迪亞重申了政府長(zhǎng)期以來(lái)的呼吁，要求對(duì)惡意黑客實(shí)施懲罰，同時(shí)指出，找出肇事者變得越來(lái)越困難。他說(shuō)：“2010年，我們只跟蹤40個(gè)攻擊組織——就像我們回應(yīng)的所有東西都很好地分成了40個(gè)不同的組織?！薄艾F(xiàn)在我們有2900個(gè)了。也許真的只有40人，但每個(gè)人的變化如此之快，以至于我們今天看到的來(lái)自同一黑客組織的證據(jù)與三個(gè)月前不同，所以這是另一個(gè)數(shù)字?！?/p>

　　曼迪亞說(shuō)政府有資源來(lái)更好地評(píng)價(jià)黑客行為，至少在國(guó)家層面。喬伊斯說(shuō)，這是像中國(guó)這樣的國(guó)家應(yīng)該關(guān)注的問(wèn)題，在這些國(guó)家，很難區(qū)分國(guó)家支持的入侵和獨(dú)立的犯罪集團(tuán)。他說(shuō)：“我們經(jīng)?？吹降氖?，有一些商業(yè)機(jī)構(gòu)白天支持政府的活動(dòng)，晚上又使用一些相同的工具、基礎(chǔ)設(shè)施實(shí)施其他活動(dòng)。我認(rèn)為，重要的是中國(guó)要明白這對(duì)他們來(lái)說(shuō)有多大的風(fēng)險(xiǎn)，這些不受控制的行動(dòng)者和他們的活動(dòng)模糊地結(jié)合在一起，這是一個(gè)問(wèn)題?！?/p>

　　喬伊斯說(shuō)，他認(rèn)為網(wǎng)絡(luò)安全局的首要任務(wù)是與私營(yíng)部門(mén)密切合作，以獲得最好的情報(bào)，并確保國(guó)防工業(yè)基地的安全。

　　當(dāng)?shù)貢r(shí)間9月28日，美國(guó)國(guó)家安全局（NSA）和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency）聯(lián)合發(fā)布了一份選擇和加固虛擬專(zhuān)用網(wǎng)絡(luò)的指南。這些建議包括，買(mǎi)家可以要求VPN供應(yīng)商提供一份軟件材料清單。

　　【可參閱】美NSA和CISA發(fā)布VPN選擇和加固的解決方案

　　BOMS通常被描述為制造產(chǎn)品所需的代碼成分清單，是拜登總統(tǒng)5月12日行政命令的主要組成部分?！吧暾?qǐng)并驗(yàn)證產(chǎn)品的軟件材料清單（Software Bill of Materials），這樣底層軟件組件的風(fēng)險(xiǎn)就可以得到裁定，”這些機(jī)構(gòu)寫(xiě)道?！霸S多供應(yīng)商在他們的產(chǎn)品中使用過(guò)時(shí)的開(kāi)源軟件版本，包括許多已知的漏洞，因此管理這種風(fēng)險(xiǎn)至關(guān)重要?！?/p>