台风预警:国际网络机构发布的紧急网络预警
2023年5月29日
这是美国国家安全局(NSA)和网络安全基础设施安全局(CISA)发布的非凡信息。特别不寻常的是,这些机构认为这种威胁如此严重,以至于采取措施声称这些活动是由国家支持的。采取这些措施绝非轻率之举。
对于澳大利亚和英国的组织以及关键基础设施提供商来说,最重要的是,它是由“五眼”国家集团(美国、非盟、新西兰、英国、加拿大)作为联合咨询发布的,表明他们都认为这些国家存在明确而直接的类似攻击威胁。
以监视为导向的威胁行为者是一种特别具有挑战性和潜伏性的威胁。他们的动机不是金钱或勒索。他们有耐心,有决心,使用隐秘和高度复杂的方法。在许多情况下,所需的缓解措施非常主动,除了最复杂和资源充足的网络团队之外,所有团队都面临挑战。
初始访问可以通过多种方式实现,但包括在常用的防火墙中使用未知漏洞(可能是零日漏洞)。攻击者还能够从设备中获取凭证(例如密码),甚至可能在入侵后滥用设备,以隐藏进出组织的流量。根据定义,这些未知的漏洞没有已知的补救措施,因此很难关闭。
一旦进入网络,使用收集的凭据(或被盗的凭据,他们也知道使用),威胁行为者将采用一套战术,技术和程序(TTPs)统称为“生活在土地上”(LOTL) -而不是使用定制开发的恶意软件(恶意软件)甚至现成的恶意软件(这两种软件都可以被大多数端点检测和响应扫描软件检测到),他们使用内置的微软Windows工具和命令,把它们当作武器来对付目标。
这些是网络管理员和Windows系统管理员经常使用的合法命令和工具,使得它们的滥用特别难以检测。即使使用诸如应用程序白名单之类的高级工具和技术,也很难检测和阻止非法的攻击者——他们的工具经常被添加到组织的应用程序白名单中,以允许他们用于合法的管理活动。
另一种先进的技术是将受损的信息(凭据、系统信息、网络信息)存储在密码保护的档案中,以避免被典型的扫描和防御技术发现。具有讽刺意味的是,微软防御者上周成为网络媒体关注的焦点,因为独立分析师发现它正在扫描受密码保护的档案,因此有一些工具可以检测到这种技术。
利用看似合法的工具和实用程序进行的非法活动,几乎不可能被传统的反病毒工具检测到。检测需要行为扫描和模式检测工具和技术(而不是基于签名的工具),而这些本质上都是反应性的方法——一旦检测到,威胁行为者就已经在环境中了。
主动监控非法使用合法工具,通过使用多因素身份验证来加固帐户,以及使用最新的威胁情报和尽快修补漏洞(在零日漏洞的情况下立即修补),都是必不可少的。如果攻击者已经在网络中,即使这些卫生措施也很难应用——例如,多因素身份验证可能无法防止在网络中使用受损帐户。
探测异常活动只是第一步。攻击者在陆地上活动的许多迹象看起来像正常的网络活动——不要在没有进一步调查的情况下就认为你的网络已经被破坏了。这种不确定性使得即时响应尤其令人担忧——何时应该关闭或隔离系统?什么时候应该将活动报告为网络安全事件?拥有一个高效且易于理解的升级和决策过程可以使一切变得不同。
有关详细的检测、缓解和狩猎技术,请参阅联合网络安全咨询的建议澳大利亚网络安全中心和英国国家网络安全中心,微软的威胁情报.
出于经济动机的威胁行为者大声宣布他们的存在,并以破坏和经济利益为明确的商业目标接近目标。在赎金攻击中,赎金金额是将伤害最小化的合理价格,而伤害威胁则是支付赎金的筹码。
另一方面,专注于间谍活动和信息收集的行动者的策略和动机可能代表一种(几乎)无形的威胁,没有商业合理性。他们的动机是长期的,可能会随着时间的推移而变化。
陆战战术挑战了传统的安全和应对思维,产生了广泛的影响。一个有经济动机的攻击者可以使用“靠土地生存”战术来积累知识,以便在以后更具破坏性的攻击中使用——但其他行为者可能永远不会宣布他们的存在。
关键基础设施提供商尤其需要重新考虑他们的网络应对措施。
这份联合安全咨询报告强调,没有人能免受攻击,并强调了关键基础设施部门的战略价值。对于那些最终目的是勒索赎金的威胁行为者,我们已经将重点放在了建立抵御能力上,但应对不那么明显的威胁需要转变思维方式。
一个老练而坚定的对手呈现出一种不对称的威胁——一旦你成为目标,你很可能会妥协。你必须假设自己在某个阶段会受到损害——为此做好计划,做好准备、做出反应和恢复力。
作者:风险咨询合伙人John Macpherson;风险咨询总监John Moore;Amanda Ludlow,合作伙伴数字经济交易;安德鲁·希尔顿,数字经济交易专业顾问。
这是Ashurst Australia和Ashurst Risk bob正常玩会被黑吗Advisory Pty Ltd的联合出版物,两者都是Ashurst Group的一部分。
Ashubob正常玩会被黑吗rst集团是全球性的,由Ashurst LLP、Ashurst Australia及其各自的附属公司(包括独立的当地合伙企业、公司或其他实体)组成,这些附属公司被授权使用“Ashurst”名称或将自己描述为Ashurst的附属公司。阿舍斯特集团的一些成员是有限责任实体。bob正常玩会被黑吗
bob正常玩会被黑吗Ashurst Risk Advisory Pty Ltd (ABN 74 996 309 133)以Ashurst Rbob直播软件isk Advisory品牌提供服务。Ashubobİbob正常玩会被黑吗52;播软件rst Risk Advisory Pty Ltd提供的服务不构成法律服务或法律咨询,也不是由澳大利亚法律从业人员以该身份提供的。有关司法管辖区规管提供法律服务的法律法规不适用于提供非法律服务。bob直播软件
如欲了解更多有关亚司特集团及所提供服务的资料,请浏览bob直播软件bob正常玩会被黑吗www.bob正常玩会被黑吗ashurst.com.