波兰CERT 2025能源行业事件报告警示我们:许多网络安全事件并非始于高级技术或未知漏洞,而是源于那些从未修复的基础漏洞。默认凭证。无人监管的访问权限。攻击者可随意抹除的日志。备份中遗漏的关键系统。
在描述的若干事件中,攻击者无需费力。环境本身已为他们提供了便利。
袭击事件如何形成
该报告概述了多起攻击者通过熟悉途径入侵的事件。钓鱼邮件、恶意附件、被入侵的网站以及暴露的服务都是常见的攻击起点。一旦某个终端设备遭到入侵,攻击者便会专注于悄无声息地移动,使用合法工具和标准协议。
内部网络中的设备常被认为是安全的。事实证明这种假设是错误的。网络设备、管理界面和操作系统有时会使用默认或共享凭证进行部署。在某些情况下,攻击者甚至无需利用漏洞,直接登录即可。
远程访问同样起到了推波助澜的作用。VPN连接并非总是受到严格审查,不同环境中的身份验证控制也各不相同。一旦建立连接,攻击者便利用RDP会话和SMB文件共享进行横向移动,混入正常流量中,从而规避即时检测。
为何默认凭证仍是最大风险之一
默认凭证仍是可避免风险中最常见的类型之一,却在实际事件中屡屡出现。报告明确指出,这不仅涉及面向互联网的设备。内部系统——包括运营技术组件和管理服务器——也存在凭证未更改或管理员权限过广的问题。
攻击者首先寻找这些漏洞。一旦发现,他们便能迅速且悄无声息地取得控制权。
修改默认凭据、限制共享账户以及对特权访问实施问责制,并非高级措施,而是基本要求。一旦这些基础措施缺失,其他所有工作都会变得更加困难。
执行后的检测为时已晚
值得注意的是,在某些情况下,终端安全工具确实检测到了恶意活动,这有助于限制损害。然而,检测往往发生在恶意软件已经开始运行之后。
一旦恶意软件执行,攻击者便可窃取凭证、修改配置并建立持久化机制。此时,响应过程将变得更为复杂且破坏性更大。
该报告强调了在文件运行前进行检查的重要性。电子邮件附件、下载文件以及通过可移动介质引入的文件,在进入操作系统前都应进行扫描和清理。在入口处阻止威胁可减少后续清理工作的需求。
监控攻击者实际使用的手段
报告中描述的若干事件涉及的是横向移动而非炫目的攻击手段:例如系统间的远程桌面协议会话、用于传输工具的SMB共享,以及那些经过时间积累逐渐打开安全之门的细微配置变更。
监控内部通信至关重要。东西向流量往往不如面向互联网的活动受到重视,然而攻击者一旦入侵内部网络,多数时间都耗费在这些通信上。
配置变更同样需要高度关注。Firewall 、VPN设置和Active Directory权限不应悄然改变。组织需要清晰掌握变更内容、变更者及变更原因。意外变更往往是系统遭入侵的最早征兆。
日志与备份:攻击者试图攻破的环节
该报告还揭示了攻击者如何针对日志记录和恢复流程发起攻击。在某些事件中,日志遭到删除或篡改,导致调查工作受阻,并限制了对事件真相的理解。
审计日志应转发至安全位置,确保攻击者无法修改或删除。理想情况下,日志应单向传输。若攻击者能删除日志,便可掩盖其行踪。
备份同样需要同等程度的重视。许多组织会备份配置文件,却忽视了固件、完整系统映像和终端状态。当固件或系统二进制文件遭到破坏时,仅靠配置备份远远不够。干净的固件、服务器备份以及可信的终端映像对于恢复至关重要。
真正的收获
波兰计算机应急响应小组(CERT Polska)的报告并未描述因工具缺失导致的故障,而是描述了因忽视基础工作而引发的故障,例如:
- 默认凭据仍保留在原位。
- 远程访问未被完全监控。
- 日志存储在攻击者能够触及的位置。
- 恶意软件仅在活跃后才被检测到。
值得庆幸的是,某些攻击在造成重大破坏之前已被发现。但运气并非控制手段。
能源机构必须在攻击链的更早期阶段降低风险——在恶意软件运行之前、在凭证被滥用之前、在攻击者掩盖行踪之前。报告明确指出:攻击者正沿用可预测的路径。这意味着防御者能够封堵这些路径。
这些修复措施虽不复杂,却刻不容缓。
不要等到恶意软件执行后才做出反应。了解如何 OPSWAT MetaDefender 通过在文件抵达关键系统前进行扫描与净化,在入口点阻断威胁。
