为什么CISA的中国网络攻击手册值得您关注
乍一看,上周联邦调查局和网络安全与基础设施安全局就国家支持的中国网络攻击提出的建议并不是什么新鲜事。它概述了他们使用的策略、技术和程序。此外,并非每个数据中心都包含中国政府感兴趣的信息。但是,对于许多(如果不是大多数)管理数据中心网络安全性的人员来说,应该阅读该报告。这是因为 A) 可能在这里受到影响的公司远远超出了对中国有直接战略利益的公司; B) 该报告包括一组特定的入侵指标列表——这将有助于制定响应计划;和 C) 它包括一组建议的缓解措施和联系信息,供 FBI 和 CISA 办公室致力于解决可能会提供帮助的威胁。该文件重点关注一个名为 APT40 的中国网络攻击组织,并列出了具体人员的姓名:三名中国情报官员和一名幌子公司的员工。该集团针对多个行业的公司,包括学术界、航空航天、生物医学、国防工业基地、教育、政府、医疗保健、制造、海事、研究机构和交通运输。我们以前见过的大多数妥协指标都列出来了。尽管如此,企业数据中心和数据中心提供商的网络安全管理者还是有理由关注的。美国主要数据中心供应商 Flexential 的网络安全服务高级总监 Sean Pearcy 表示:“如今,数据中心受到的直接攻击甚至比客户还多。 “恶意行为者意识到他们通常可以更轻松地通过数据中心锁定客户。”他告诉 DCK,客户开始更多地质疑数据中心提供商关于其关键基础设施安全性的问题。 “恶意行为者希望通过数据中心横向移动,”他说。 “数据中心漏洞有可能导致整个客户网络瘫痪。
内部企业数据中心的经理应该注意 CISA 咨询,即使他们不在中国网络攻击报告中列出的目标行业之一。成为包含易受攻击的有价值目标之一的业务生态系统的一部分就足够了。例如,小型营销、法律或软件公司可能拥有中国政府感兴趣的客户。正如我们在去年的 SolarWinds 泄露事件中看到的那样,国家行为者很容易使用第三方服务提供商。在这种情况下,俄罗斯国家行为体渗透了网络监控软件供应商 SolarWinds,以攻击供应商的客户。中国也这样做了。美国司法部在 2018 年披露,中国黑客十多年来一直在攻击托管服务提供商,以获取他们的客户。在新的咨询中,CISA 警告说,这些攻击还将破坏电子邮件和社交媒体帐户以进行社会工程攻击。如果来自受信任的来源,一个人更有可能点击电子邮件并下载软件。如果攻击者可以访问员工的邮箱并且可以阅读以前的邮件,他们就可以定制他们的网络钓鱼电子邮件,使其特别有吸引力——甚至使它看起来像对以前的邮件的回应。美国国家安全局可信系统研究小组前负责人、现为 SineWave Ventures 的普通合伙人的帕特里夏·穆奥奥 (Patricia Muoio) 表示,与“私营部门”犯罪分子不同,国家资助的犯罪分子更愿意使用复杂的路径来达到他们的最终目标。 “他们非常有耐心,非常坚持,愿意花时间和精力去他们想去的地方,”她告诉 DCK。 “而且这些路径中的许多都涉及那些本身并不是感兴趣的实体的人。”她说,在商业生态系统中,整个网络与其最不安全的成员一样脆弱。 “所以,每个人都需要提高标准。没有人应该说,'他们不会关心我。'”
全球咨询公司科尔尼 (Kearney) 数字化转型实践的合伙人 Vidisha Suman 表示,当今所有网络漏洞中有一半以上是由第三方攻击引起的。她补充说:“只有不到四分之一的公司意识到与第三方提供商之间发生的所有数据访问和共享范围。”这甚至没有考虑到与软件、硬件和服务提供商的所有联系。她说,当大多数公司查看他们的供应商关系时,他们关注的是他们提供的服务的重要性。 “现在是时候以‘风险价值’的心态来审查网络安全措施了。”私人网络犯罪分子寻求经济利益。他们窃取信用卡信息和医疗保健数据在黑市上出售,劫持机器以挖掘加密货币,并部署勒索软件。国家资助的攻击者追求的是不同的东西。如果他们计划使用您的公司作为攻击媒介来攻击另一个目标,他们会想要破坏用户帐户以获取他们的通信。如果您是软件供应商,他们的目标是进入您的软件开发或更新过程。具有战略利益的公司可能拥有中国网络攻击所针对的有价值的知识产权或业务或法律文件。因此,虽然针对这两种攻击的缓解措施大体相同——修补和更新所有系统、加强身份验证和访问控制以及部署现代监控技术——但可能需要采取一些额外的措施。
例如,公司可能会特别注意对包含敏感文档、企业合作伙伴或客户信息或员工电子邮件或社交媒体帐户的系统的任何异常访问。两种攻击类型之间的另一个区别是所需的隐身级别。私人网络犯罪分子可能会在公司系统内逗留一段时间,窃取数据或运行加密矿工,但一般来说,他们在位的时间越长,被发现的可能性就越大。此外,他们发起勒索软件攻击的速度越快,他们获得报酬的速度就越快。然而,国家资助的演员特别小心,以免被抓住。在 CISA 公告中,这属于攻击的“防御规避、指挥和控制、收集和渗漏”阶段。管理咨询公司 AArete 的技术实践董事总经理约翰·凯里 (John Carey) 说:“这种隐秘方法增加了收集到的信息的价值,并敞开了大门。”他告诉 DCK,攻击者可以继续收集有关该组织的信息,几乎就像他们在公司工作的内奸一样。其次,如果受害者不知道他们被击中,被盗信息就更有价值。 “他们不想让受害者知道他们在那里的事实,这意味着盗窃知识产权或特定的内幕信息,这对不良行为者有利,例如首次公开募股前的数据或可能的毒品试用效果,显然还是保密的。”如果公司发现 APT40 活动的证据,他们应该联系当地的 FBI 现场办公室或 FBI 的 24/7 网络观察。报告入侵可以帮助当局更好地确定威胁的范围并制定适当的应对措施。
Omdia 数据安全首席分析师 Tanner Johnson 表示,CISA 早就应该建立基础设施来应对中国网络攻击威胁。合作符合公司的最大利益。 “这将有助于提供一个单一的存储库,我们可以在其中普遍共享信息并协调响应,”他告诉 DCK。公司可以联系 CISA 请求与这些威胁相关的事件响应资源或技术援助。网络安全供应商 ImmuniWeb 的首席执行官 ilia Kolochenko 表示,除非法律要求您这样做,否则通知执法部门您已被勒索软件攻击通常“并不重要”。然而,对于 APT40,联系当局是个好主意,他说。 CISA 可能有更多关于攻击的信息,例如攻击者可能留下的秘密后门或其他敏感情报。 “我认为 CISA 目前不会公开分享这些情报,以免妨碍调查,”他说。 “但如果你联系 CISA,他们可能会分享一些额外的见解。”无论攻击者是要获取信用卡号还是国家机密,防御策略都是一样的。 CISA 提供了公司应具备的安全控制列表,这些都是针对任何类型攻击的最佳实践。它包括从及时修补到使用多因素身份验证再到监控系统异常行为的所有内容。网络安全供应商 Cybereason 的高级主管罗斯·鲁斯蒂奇 (Ross Rustici) 表示:“这份报告的第一要点应该是这些策略实际上是多么的行事。
他告诉 DCK,APT40 使用商品工具。 “Gh0st、Derusbi 和 China Chopper 在这一点上都有十年或更长时间。”再一次,它归结为安全基础。公司需要针对所有常用的攻击方法建立防御。德鲁斯比说:“它不仅会阻止这种特殊的高级持续威胁,还会大大降低网络犯罪分子的效率。”
