2023年6月13日，美国网络安全与基础设施安全局（CISA）发布了2023年首项约束性操作指令（BOD）23-02，要求联邦民事部门发现问题后14天内，采取措施确保配置错误或暴露在互联网上的网络设备的安全性。

该指令适用于管理界面暴露在互联网上的网络设备（如路由器、防火墙、代理服务器和负载均衡器）。这些网络设备的用户可获得进行网络管理所需的访问权限。

CISA表示，该指令要求联邦民事行政部门采取措施，减少某些类别设备上不安全或配置错误的管理界面造成的攻击。各部门必须准备将已识别的网络管理界面从互联网中移除，或者通过实施零信任技术保护它们。

BOD 23-02规定，联邦机构在收到CISA通知或独自发现该指令规定范围内的网络管理界面后，需在14天内采取以下行动之一：①仅允许通过内部网络访问网络设备接口。CISA建议对网络进行隔离管理；②实施零信任措施，通过一个与界面本身分离的策略执行点实施访问控制。

CISA将进行大范围扫描，识别符合指令范围内的设备和管理后台，并将识别结果通报联邦机构。为促进整改，CISA将视需要或应请求向联邦机构提供专业技术知识，帮助审查特定设备的状态，并提供设备安全方面的指导。如果整改工作无法在规定时段内完成，联邦民事行政部门可以通过专用报告接口，使用标准模板提供整改计划。

CISA将在未来六个月内编制一份联邦民事行政部门BOD 23-02合规情况报告，提交给美国管理和预算办公室（OMB）主任和国土安全部（DHS）部长。之后，CISA将按年度编制并提交该报告。

此外，CISA还将在两年内更新该指令，以适应网络安全形势的变化，并修改所提供的实施指南，帮助各机构有效识别、监控和报告他们使用的网络管理界面。

信息来源：

https://www.cisa.gov/news-events/news/cisa-directs-federal-agencies-secure-internet-exposed-management-interfaces

https://www.bleepingcomputer.com/news/security/cisa-orders-federal-agencies-to-secure-internet-exposed-network-devices/

https://www.secrss.com/articles/55638