二月初,网络安全和基础设施安全局 (CISA)、国家安全局 (NSA)、联邦调查局 (FBI) 和其他组织就中华人民共和国 (PRC) 发布的紧急风险发布了一份警告。当时,他们特别提醒关键基础设施组织注意国家赞助的网络行为者,并点名指出 "伏特台风",这些行为者正准备对美国关键基础设施实施破坏性或毁灭性网络攻击。
根据 2 月份的警告,伏特台风(又名 Vanguard Panda、BRONZE SILHOUETTE、Dev-0391、UNC3236、Voltzite 和 Insidious Taurus)已经入侵了美国及其领土上通信、能源、运输系统以及供水和废水处理系统部门的关键基础设施组织的IT 环境,并预先进行了部署,以便能够横向移动到操作技术(OT)资产以破坏功能。今年 3 月,"五眼 "盟国就关键基础设施机构如何抵御这些威胁发布了另一份警报和指南,敦促领导人认识到网络风险是核心业务风险,也是国家安全的根本。最近,一位美国参议员在给 CISA 的一封信中对 Volt Typhoon 带来的威胁发出了警告。
台风 "伏特 "玩的是长线游戏
与某些恶意行为者不同,伏特台风不会利用恶意软件来获取和维持网络访问权。相反,他们依靠有效账户和强大的操作安全性来长时间保持不被发现,有时甚至长达五年或更长时间。通过使用系统的内置功能,该威胁组织利用 "就地生存"(LOTL)技术,包括在多个IT 环境中的系统上使用本地工具和进程。这有助于他们躲避检测,利用对目标组织和环境的深入研究,相应地调整战术、技术和程序。伏特台风 "还持续投入资源,以保持持久性,并随着时间的推移增加对目标环境的了解,远远超过最初的入侵。
许多组织缺乏检测和识别恶意活动的能力,因此更难区分合法行为和恶意行为。为了防范乐虎国际手机版下载技术,组织必须采取全面和多方面的网络安全方法。 由 CISA 提供的联合指导提供了广泛的检测和加固最佳实践,可帮助企业更有效地检测和缓解这些技术。关键基础设施部门必须采用这些最佳做法,将更多的重点放在提高供应链的安全性上。
Secure Supply ChainSecure
企业越来越多地面临供应链中的复杂攻击。根据欧盟网络与信息安全局(ENISA)的一份报告,"Supply Chain 软件 依赖性破坏 "仍然是最大的威胁,这无疑是由于第三方供应商和合作伙伴在供应链中的整合。关键基础设施远不能幸免于这一趋势,这为像伏特台风这样的国家支持的行为者获取和保持访问权限开辟了潜在的途径,可能会将组织和个人置于危险之中。为了应对这些威胁,企业必须确保软件和硬件供应链的安全,并采用安全设计原则。
软件 Supply Chain
软件供应链中存在漏洞,包括插入恶意代码和使用易受攻击的第三方组件,这已不是什么秘密。恶意代码可允许未经授权的访问,导致数据泄露,有时甚至会导致系统被完全接管。软件 开发人员经常使用第三方组件(包括开源软件)来加速开发和添加新功能。不幸的是,这些组件可能包含已知的漏洞、新发现的漏洞,甚至是由恶意行为者引入代码库的漏洞。
最近的一个例子是,据报道,Python 软件包索引(PyPI)--用 Python 编程语言编写的应用程序和代码库的首选来源--受到了用户的攻击,这些用户很可能使用自动化手段上传恶意软件包,利用用户的错别字。他们使用了一种名为 typosquatting 的技术,创建与流行软件包名称相似的软件包,以便在安装时感染用户设备。这表明,在人工智能技术快速集成而没有采取适当安全措施的情况下,亟需验证源代码库的依赖性和漏洞,并应对恶意软件威胁。
同样,随着组织采用容器化并使用存储库来管理源代码和容器镜像,恶意行为者就有机会接触到更大的攻击面。如果恶意软件渗入代码和容器存储库,就会在软件应用程序栈中传播,造成广泛破坏。单个镜像中的漏洞可能会影响多个应用程序和组织。
为了应对这些挑战,企业必须采用严格的代码审查流程,包括使用软件物料清单 (SBOM),为构建软件时使用的所有组件提供正式记录。当新的关键漏洞被披露时,这种能力至关重要,因为它能让企业快速确定其代码是否使用了该软件、该软件存在于何处、是否构成风险,并在构成风险时进行补救。SBOM 可帮助识别开源软件以及源代码和容器中的易受攻击软件组件,从而降低风险敞口。这种可视性还有助于快速应对新出现的威胁,从而确保并证明符合法律和监管标准。
硬件 Supply Chain
由于硬件和软件之间的相互依存关系,确保硬件供应链的安全与确保软件组件的安全同样重要。硬件 也会带来漏洞,特别是通过mobile 设备、可mobile 媒体和临时网络设备等瞬时网络资产。瞬时资产往往在传统安全措施的监视下进入环境。由于易于移动和修改,这些资产很容易被滥用和篡改,成为恶意软件或未经授权访问敏感网络的通道。
为应对这一风险,企业应确保在将此类资产连接到关键基础设施环境中的任何硬件之前,对其进行扫描并确保其安全,包括识别来源国。这样,企业就能识别包含恶意软件的资产,根据来源阻止未经授权的数据访问,识别受限地点和供应商,并确保跨地区的监管合规性。确保使用的硬件来自信誉良好的安全来源,可降低嵌入漏洞的风险,以免日后被人利用。
随着IT 和 OT 环境的互联程度越来越高,联网资产的可视性对于提高安全性和限制包括伏特台风在内的恶意行为者的能力至关重要。了解设备的原产国以及固件和软件版本,可以让企业更全面地评估漏洞,更灵活地应对威胁。固件和软件更新经常会解决安全漏洞问题,因此需要了解版本历史以保持安全卫生。随着各国政府越来越多地敦促改进技术供应链,这些信息还有助于遵守不同的监管标准和框架。
Secure-按设计原则
如今,采用安全设计原则对于应对伏特台风等复杂威胁和最大限度降低关键基础设施的风险至关重要。安全设计方法意味着技术产品的设计要能防止恶意网络行为者成功访问设备、数据和联网基础设施。根据 CISA,"编写机构建议软件制造商将安全设计和默认原则及策略纳入其软件开发实践,以加强客户的安全态势"。
伏特台风 "和类似行为者正在利用软件开发生命周期(SDLC)设计阶段可能已经减少的漏洞,采用日益复杂的 TTPs。通过将安全嵌入技术架构和开发流程,安全设计原则使企业能够构建本质上更能抵御入侵、操纵和利用的系统。
保护关键基础设施
通过主动消除恶意软件和挫败潜在的漏洞,这种方法大大减轻了凭证盗窃和其他恶意活动的威胁。此外,优先考虑软件和硬件安全还能确保抵御网络威胁的内在弹性。保护供应链是企业为确保关键基础设施的安全和安保而必须采取的重要步骤。
了解OPSWAT 如何帮助防范伏特台风威胁。
