美國國家安全局（National Security Agency）網(wǎng)絡(luò)部門負(fù)責(zé)人表示，高級持續(xù)威脅行為者越來越多地利用虛擬專用網(wǎng)絡(luò)等廣泛可用的商業(yè)工具，這加大了網(wǎng)絡(luò)攻擊溯源取證的難度。

　　“我們已經(jīng)看到整個APT 組織對一些商業(yè)機構(gòu)來說是隱藏很深的，他們說‘是的，我沒有看到那些來自您最關(guān)注的威脅行為組織的名字的自定義工具，’而實際上它們同樣活躍，但是什么？他們現(xiàn)在使用的是公開商用的工具，你知道一些商業(yè)工具可以讓他們達(dá)到相同的結(jié)果，”美國國家安全局網(wǎng)絡(luò)安全主管羅布喬伊斯說?！八运采w了那個空間?！?/p>

　　喬伊斯在當(dāng)?shù)貢r間周三的阿斯彭（ASPEN）網(wǎng)絡(luò)峰會上與火眼公司首席執(zhí)行官凱文·曼迪亞以及其他來自政府和業(yè)界的網(wǎng)絡(luò)安全領(lǐng)導(dǎo)人進(jìn)行了交談。本屆峰會有來自軍工和網(wǎng)絡(luò)安全界的知名專家，NSA網(wǎng)絡(luò)安全局、國家網(wǎng)絡(luò)總監(jiān)、CISA局長全部參加。

　　曼迪亞重申了政府長期以來的呼吁，要求對惡意黑客實施懲罰，同時指出，找出肇事者變得越來越困難。他說：“2010年，我們只跟蹤40個攻擊組織——就像我們回應(yīng)的所有東西都很好地分成了40個不同的組織?！薄艾F(xiàn)在我們有2900個了。也許真的只有40人，但每個人的變化如此之快，以至于我們今天看到的來自同一黑客組織的證據(jù)與三個月前不同，所以這是另一個數(shù)字?！?/p>

　　曼迪亞說政府有資源來更好地評價黑客行為，至少在國家層面。喬伊斯說，這是像中國這樣的國家應(yīng)該關(guān)注的問題，在這些國家，很難區(qū)分國家支持的入侵和獨立的犯罪集團(tuán)。他說：“我們經(jīng)?？吹降氖?，有一些商業(yè)機構(gòu)白天支持政府的活動，晚上又使用一些相同的工具、基礎(chǔ)設(shè)施實施其他活動。我認(rèn)為，重要的是中國要明白這對他們來說有多大的風(fēng)險，這些不受控制的行動者和他們的活動模糊地結(jié)合在一起，這是一個問題?！?/p>

　　喬伊斯說，他認(rèn)為網(wǎng)絡(luò)安全局的首要任務(wù)是與私營部門密切合作，以獲得最好的情報，并確保國防工業(yè)基地的安全。

　　當(dāng)?shù)貢r間9月28日，美國國家安全局（NSA）和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（Cybersecurity and Infrastructure Security Agency）聯(lián)合發(fā)布了一份選擇和加固虛擬專用網(wǎng)絡(luò)的指南。這些建議包括，買家可以要求VPN供應(yīng)商提供一份軟件材料清單。

　　【可參閱】美NSA和CISA發(fā)布VPN選擇和加固的解決方案

　　BOMS通常被描述為制造產(chǎn)品所需的代碼成分清單，是拜登總統(tǒng)5月12日行政命令的主要組成部分。“申請并驗證產(chǎn)品的軟件材料清單（Software Bill of Materials），這樣底層軟件組件的風(fēng)險就可以得到裁定，”這些機構(gòu)寫道。“許多供應(yīng)商在他們的產(chǎn)品中使用過時的開源軟件版本，包括許多已知的漏洞，因此管理這種風(fēng)險至關(guān)重要?！?/p>