CISA警告三个工业控制系统软件的严重漏洞

2019年8月22日，美国国土安全部（DHS）下面新改建的网络安全与基础设施安全局（CISA，Cybersecurity and Infrastucture Security Agency）正式公布了其成立以来的首份《战略意图》（Strategic Intent）文档。该文件阐述了CISA的战略愿景和运营重点，它为CISA履行职责提供了一般方法，旨在使CISA在未来几年和几十年内成功地完成其使命。

本期关键基础设施安全资讯周报共收录安全资讯30篇。点击文章，快速阅读最新资讯。

作为一种新的漏洞评估方法，SSVC的特点主要体现为三个“面向”：面向供应链、面向决策结果、面向实践经验。

当今世界正处于百年未有之大变局，国际形势风云变幻，推动全球治理体系深刻变革，网络空间治理作为全球治理的全新命题和重要领域，关系着全人类的命运。

当地时间12月1日，美国国土安全部下属的网络安全和基础设施安全局 (CISA) 局长Jen Easterly宣布任命该局新成立的网络安全咨询委员会的前 23 名成员，该委员会将就政策、计划、规划、和培训以加强国家的网络防御。网络安全咨询委员会是由2021年国防授权法案授权，于2021年6月成立，以推进CISA的网络安全使命，加强美国的网络安全。作为一个独立的咨询机构，该委员会就一系列网络安全问题、

与此同时，企业必须通过明确确定负责OT特定网络安全的特定领导者来主导OT。这将有助于企业建立有效的网络分段，消除对OT资产的直接、不受约束的远程连接，并在所有远程OT连接期间持续监控人员活动。OT环境中威胁检测和满足CPG目标要求的一个关键方面是各利益相关者之间的信息共享和协作

到目前为止，大多数组织都非常清楚，网络犯罪分子和民族国家黑客会在假期期间进行游戏而不是休息。由于勒索软件团伙在母亲节、阵亡将士纪念日和美国独立日假期周末发动攻击，这一趋势在今年飙升。

美国网络安全机构 CISA 周二在其已知利用漏洞 (KEV) 目录中添加了影响多个高通芯片组的四个漏洞。其中三个缺陷（编号为 CVE-2023-33106、CVE-2023-33107 和 CVE-2023-33063）于2023 年 10 月作为零日漏洞进行了修补。所有三个漏洞都被描述为内存损坏错误。这些类型的缺陷会导致崩溃或意外行为，并可能允许攻击者未经授权访问系统，甚至执行任意代码。第四个漏

美国网络安全和基础设施安全局局长伊斯特利(Jen Easterly)当地时间10月29日表示，该机构已经开始着手规划美国的关键基础设施保护，即启动“具有系统性重要的关键基础设施”标定计划，这类基础设施可谓“关基”中的“关基”

当前，美国总统拜登上任已半年有余，在网络议题上积极开展系列举措，调人事，补“漏洞”，组联盟，实现从上任之初由网络安全事件牵引的“应急式”被动反应转变为重点突出、多措并举的主动作为，具有拜登特色的网络安全战略正在成形。