美國國家安全局（National Security Agency）網絡部門負責人表示，高級持續威脅行為者越來越多地利用虛擬專用網絡等廣泛可用的商業工具，這加大了網絡攻擊溯源取證的難度。

　　“我們已經看到整個APT 組織對一些商業機構來說是隱藏很深的，他們說‘是的，我沒有看到那些來自您最關注的威脅行為組織的名字的自定義工具，’而實際上它們同樣活躍，但是什么？他們現在使用的是公開商用的工具，你知道一些商業工具可以讓他們達到相同的結果，”美國國家安全局網絡安全主管羅布喬伊斯說。“所以它覆蓋了那個空間。”

　　喬伊斯在當地時間周三的阿斯彭（ASPEN）網絡峰會上與火眼公司首席執行官凱文·曼迪亞以及其他來自政府和業界的網絡安全領導人進行了交談。本屆峰會有來自軍工和網絡安全界的知名專家，NSA網絡安全局、國家網絡總監、CISA局長全部參加。

　　曼迪亞重申了政府長期以來的呼吁，要求對惡意黑客實施懲罰，同時指出，找出肇事者變得越來越困難。他說：“2010年，我們只跟蹤40個攻擊組織——就像我們回應的所有東西都很好地分成了40個不同的組織。”“現在我們有2900個了。也許真的只有40人，但每個人的變化如此之快，以至于我們今天看到的來自同一黑客組織的證據與三個月前不同，所以這是另一個數字。”

　　曼迪亞說政府有資源來更好地評價黑客行為，至少在國家層面。喬伊斯說，這是像中國這樣的國家應該關注的問題，在這些國家，很難區分國家支持的入侵和獨立的犯罪集團。他說：“我們經常看到的是，有一些商業機構白天支持政府的活動，晚上又使用一些相同的工具、基礎設施實施其他活動。我認為，重要的是中國要明白這對他們來說有多大的風險，這些不受控制的行動者和他們的活動模糊地結合在一起，這是一個問題。”

　　喬伊斯說，他認為網絡安全局的首要任務是與私營部門密切合作，以獲得最好的情報，并確保國防工業基地的安全。

　　當地時間9月28日，美國國家安全局（NSA）和網絡安全和基礎設施安全局（Cybersecurity and Infrastructure Security Agency）聯合發布了一份選擇和加固虛擬專用網絡的指南。這些建議包括，買家可以要求VPN供應商提供一份軟件材料清單。

　　【可參閱】美NSA和CISA發布VPN選擇和加固的解決方案

　　BOMS通常被描述為制造產品所需的代碼成分清單，是拜登總統5月12日行政命令的主要組成部分。“申請并驗證產品的軟件材料清單（Software Bill of Materials），這樣底層軟件組件的風險就可以得到裁定，”這些機構寫道。“許多供應商在他們的產品中使用過時的開源軟件版本，包括許多已知的漏洞，因此管理這種風險至關重要。”