台风预警:国际网络机构发布的紧急网络预警

你需要知道的

• 台风警报-国际网络机构警告称，一个名为“伏特台风”的网络威胁行为者正在积极并成功地瞄准美国的关键基础设施，这种类型的攻击可能会在全球范围内传播。
• “靠土地生活”- - - - - -伏特台风使用“依靠陆地生存”技术——它使用普通的内置网络管理工具和类似的技术，使攻击看起来像正常的网络活动，并且不会触发正常的警报和警报。
• 我们将解释伏特台风如何危及网络，分享如何检测和减轻威胁的建议，并帮助您了解您的组织如何适应这种不断升级的威胁环境。
• 威胁是真实的我们建议我们的客户立即做出反应，保护自己，特别是那些在关键基础设施领域的客户。

你需要做什么

• 理解并不是所有的威胁行为者都是出于金钱的动机- - - - - -并相应地调整您的网络准备、响应和恢复策略。
• T立即采取措施检测并应对非法使用正常网络工具的行为。
• 重新考虑你的安全姿势确保你的网络风险框架建立在网络威胁情报和评估的坚实基础之上。网络风险控制需要超越犯罪动机的威胁。我们将在下面探讨更广泛的含义。
• 越过的联合网络安全咨询的建议澳大利亚网络安全中心和英国国家网络安全中心,微软的威胁情报．

一个名为“伏特台风”(Volt Typhoon)的网络组织正积极而成功地瞄准美国关键基础设施提供商。

这是美国国家安全局(NSA)和网络安全基础设施安全局(CISA)发布的非凡信息。特别不寻常的是，这些机构认为这种威胁如此严重，以至于采取措施声称这些活动是由国家支持的。采取这些措施绝非轻率之举。

对于澳大利亚和英国的组织以及关键基础设施提供商来说，最重要的是，它是由“五眼”国家集团(美国、非盟、新西兰、英国、加拿大)作为联合咨询发布的，表明他们都认为这些国家存在明确而直接的类似攻击威胁。

以监视为导向的威胁行为者是一种特别具有挑战性和潜伏性的威胁。他们的动机不是金钱或勒索。他们有耐心，有决心，使用隐秘和高度复杂的方法。在许多情况下，所需的缓解措施非常主动，除了最复杂和资源充足的网络团队之外，所有团队都面临挑战。

最初的妥协和横向移动-“以土地为生”

初始访问可以通过多种方式实现，但包括在常用的防火墙中使用未知漏洞(可能是零日漏洞)。攻击者还能够从设备中获取凭证(例如密码)，甚至可能在入侵后滥用设备，以隐藏进出组织的流量。根据定义，这些未知的漏洞没有已知的补救措施，因此很难关闭。

一旦进入网络，使用收集的凭据(或被盗的凭据，他们也知道使用)，威胁行为者将采用一套战术，技术和程序(TTPs)统称为“生活在土地上”(LOTL) -而不是使用定制开发的恶意软件(恶意软件)甚至现成的恶意软件(这两种软件都可以被大多数端点检测和响应扫描软件检测到)，他们使用内置的微软Windows工具和命令，把它们当作武器来对付目标。

这些是网络管理员和Windows系统管理员经常使用的合法命令和工具，使得它们的滥用特别难以检测。即使使用诸如应用程序白名单之类的高级工具和技术，也很难检测和阻止非法的攻击者——他们的工具经常被添加到组织的应用程序白名单中，以允许他们用于合法的管理活动。

另一种先进的技术是将受损的信息(凭据、系统信息、网络信息)存储在密码保护的档案中，以避免被典型的扫描和防御技术发现。具有讽刺意味的是，微软防御者上周成为网络媒体关注的焦点，因为独立分析师发现它正在扫描受密码保护的档案，因此有一些工具可以检测到这种技术。

获得技术-实用的防御和缓解步骤

利用看似合法的工具和实用程序进行的非法活动，几乎不可能被传统的反病毒工具检测到。检测需要行为扫描和模式检测工具和技术(而不是基于签名的工具)，而这些本质上都是反应性的方法——一旦检测到，威胁行为者就已经在环境中了。

主动监控非法使用合法工具，通过使用多因素身份验证来加固帐户，以及使用最新的威胁情报和尽快修补漏洞(在零日漏洞的情况下立即修补)，都是必不可少的。如果攻击者已经在网络中，即使这些卫生措施也很难应用——例如，多因素身份验证可能无法防止在网络中使用受损帐户。

探测异常活动只是第一步。攻击者在陆地上活动的许多迹象看起来像正常的网络活动——不要在没有进一步调查的情况下就认为你的网络已经被破坏了。这种不确定性使得即时响应尤其令人担忧——何时应该关闭或隔离系统?什么时候应该将活动报告为网络安全事件?拥有一个高效且易于理解的升级和决策过程可以使一切变得不同。

有关详细的检测、缓解和狩猎技术，请参阅联合网络安全咨询的建议澳大利亚网络安全中心和英国国家网络安全中心,微软的威胁情报．

另一种思考安全的方式

出于经济动机的威胁行为者大声宣布他们的存在，并以破坏和经济利益为明确的商业目标接近目标。在赎金攻击中，赎金金额是将伤害最小化的合理价格，而伤害威胁则是支付赎金的筹码。

另一方面，专注于间谍活动和信息收集的行动者的策略和动机可能代表一种(几乎)无形的威胁，没有商业合理性。他们的动机是长期的，可能会随着时间的推移而变化。

陆战战术挑战了传统的安全和应对思维，产生了广泛的影响。一个有经济动机的攻击者可以使用“靠土地生存”战术来积累知识，以便在以后更具破坏性的攻击中使用——但其他行为者可能永远不会宣布他们的存在。

关键基础设施提供商尤其需要重新考虑他们的网络应对措施。

• 从攻击者的角度来看待风险-网络事件规划、数据安全和模拟通常假设有经济动机的威胁行为者，或根据组织的潜在成本或危害进行校准。了解对国家支持的攻击者有价值的资产和信息可能不被视为商业敏感或对您的业务至关重要。越来越多的国家支持的威胁行为者可能会利用内部人员来破坏更安全的环境。
• 努力实现零信任-关键基础设施应越来越多地采取假定破坏或妥协的姿态。永远不要相信，永远要验证和确认。
• 想想保险-检讨你的保险政策，并向你的经纪人或法律顾问寻求建议。了解哪些是被覆盖的，哪些不是。这种不同的威胁模型将挑战保险业的假设——伦敦劳合社(Lloyd’s of London)现在要求其市场保险公司将国家支持的网络攻击排除在外。应对陆上生活活动，以及组织可能遭受的伤害(例如由于关闭或隔离系统)可能不包括在内。这将如何影响你的实地反应?
• 重新调整安全投资，确保可持续融资-传统上，安全投资是由网络事件的直接商业风险驱动的，假设支付赎金是威胁行为者的最终目标。这种做法没有考虑到国家支持的威胁行为者给经济和社会带来的更广泛风险。需要大量投资来应对国家支持的威胁的部门可能需要推动其他战略来为网络弹性提供资金(例如，政府支持、激励、共同投资模式或行业征税)。
• 你通知什么，通知谁，什么时候通知?从本质上讲，依赖网络攻击看起来是正常的活动——可能不清楚网络是否已经被破坏，或者攻击的动机或可能的影响是什么。知道如何以及何时通知监管机构和其他当局，以及保险公司和其他利益相关者，是很困难的——尤其是在严格的12到72小时时限内(比如澳大利亚的规定)2018年关键基础设施安全法(详情请浏览强制网络事件报告将适用于澳大利亚的关键基础设施bob正常玩会被黑吗）.
• 你什么时候拔掉电源插头?在网络中发现威胁行为者的第一反应之一是关闭或隔离系统以遏制攻击——反应越快，就越能遏制损害。但是，关闭系统会带来巨大的商业、运营和回收成本，并可能影响供应链。有时候，治疗比疾病本身更糟糕(尤其是当你不确定自己是否生病的时候)。快速有效的升级和调查可能意味着遏制攻击者和让他们自由运行之间的区别，并且可以避免不必要地关闭重要系统。
• 政府会介入吗?政府可能更有可能行使干预权力(如澳大利亚政府根据2018年关键基础设施安全法)，即国家支持的攻击者威胁到国家利益。当涉及到国家支持的威胁时，我们可能会看到国家安全利益超过商业利益。企业希望采取的自我保护措施与政府希望采取的防止更广泛伤害的措施之间可能存在脱节，特别是当威胁行为者正在收集情报而不是威胁造成直接伤害时。

做好妥协的准备

这份联合安全咨询报告强调，没有人能免受攻击，并强调了关键基础设施部门的战略价值。对于那些最终目的是勒索赎金的威胁行为者，我们已经将重点放在了建立抵御能力上，但应对不那么明显的威胁需要转变思维方式。

一个老练而坚定的对手呈现出一种不对称的威胁——一旦你成为目标，你很可能会妥协。你必须假设自己在某个阶段会受到损害——为此做好计划，做好准备、做出反应和恢复力。

作者:风险咨询合伙人John Macpherson;风险咨询总监John Moore;Amanda Ludlow，合作伙伴数字经济交易;安德鲁·希尔顿，数字经济交易专业顾问。

这是Ashurst Australia和Ashurst Risk bob正常玩会被黑吗Advisory Pty Ltd的联合出版物，两者都是Ashurst Group的一部分。

Ashubob正常玩会被黑吗rst集团是全球性的，由Ashurst LLP、Ashurst Australia及其各自的附属公司(包括独立的当地合伙企业、公司或其他实体)组成，这些附属公司被授权使用“Ashurst”名称或将自己描述为Ashurst的附属公司。阿舍斯特集团的一些成员是有限责任实体。bob正常玩会被黑吗

bob正常玩会被黑吗Ashurst Risk Advisory Pty Ltd (ABN 74 996 309 133)以Ashurst Rbob直播软件isk Advisory品牌提供服务。Ashubobİbob正常玩会被黑吗52;播软件rst Risk Advisory Pty Ltd提供的服务不构成法律服务或法律咨询，也不是由澳大利亚法律从业人员以该身份提供的。有关司法管辖区规管提供法律服务的法律法规不适用于提供非法律服务。bob直播软件

如欲了解更多有关亚司特集团及所提供服务的资料，请浏览bob直播软件bob正常玩会被黑吗www.bob正常玩会被黑吗ashurst.com．