面对全球冲突的网络安全准备
对任何受冲突影响的人来说,入侵乌克兰都是一场痛苦的考验。虽然我们希望能够在不对受影响人口造成进一步伤害的情况下解决这一问题,但这是一个风险和不确定性增加的时期,其影响正在波及全世界。
越来越令人担忧的一个领域是网络攻击的风险增加。作为更大的网络安全社区的一部分,我们旨在分享对那些正在处理或必须应对日益增加的网络安全威胁问题的人有帮助的信息。
快速演变的威胁格局——民族国家攻击和机会主义威胁行为者
在至少几个月的时间里,针对乌克兰的网络袭击升级。最近几天的袭击使政府和企业系统及网站离线,并破坏了乌克兰网站。一种新的数据清除恶意软件,名为HermiticWiper(又名KillDisk.NCV),也被用来感染乌克兰、拉脱维亚和立陶宛的数百台机器。安全研究人员报告称,HermiticWiper会破坏主引导记录(MBR),导致引导失败。这一新的恶意软件家族紧跟着一月份被用来攻击乌克兰系统的WhispersGate恶意软件的发现而来。与NotPetya一样,这些新的恶意软件家族似乎有意让它们感染的资产丧失能力。这些令人衰弱的新型恶意软件家族的迅速出现,也加强了对主动预防性安全的需求,这种安全性超越了基于签名的识别。
然而,地缘政治冲突对网络安全的影响远远超出了乌克兰的边界。网络威胁活动正在全球范围内兴起。CISA、FBI和国家安全局(NSA)联合发布的一份咨询报告概述了国家资助的网络犯罪分子所使用的活动和策略。这些活动包括暴力强迫、使用恶意链接刺杀网络钓鱼电子邮件、使用获取的凭据获取访问权限,以及维护持久访问权限。中钢协还发布了一份“屏蔽”咨询意见。在咨询中,“CISA建议所有组织,无论规模大小,在网络安全和保护其最关键资产方面采取更高姿态。”该咨询还提供了组织应采取的措施,以帮助防止或减轻网络入侵。
虽然民族国家威胁行为体可能正在增加活动,以破坏对手的行动和供应链,并扩大其权力范围,但通常的非附属机会主义威胁行为体,如勒索软件运营商和网络钓鱼骗子,也可能像在新冠病毒大流行的早期阶段那样,试图从全球不稳定中获利。在过去的几年里,我们已经看到了一些丑陋的景象(例如殖民地管道攻击、Oldsmar水处理攻击等),无论这些攻击是出于财务或其他目的,作为网络攻击的一部分,无辜者的生命或生计都会受到危害。
针对顶级威胁的混合预防性保护
在过去的一年里,世界各国,包括美国发布了关于“改善国家网络安全”的14028号行政命令,在加强网络防御和促进更好的跨国合作方面取得了长足的进步。最近的地缘政治事件强调了从小型企业到关键基础设施和运营技术(OT)的所有组织中完善零信任安全控制的重要性。
现在,每个人都必须重新评估自己的网络风险,并密切关注在哪里可以完善自己的安全控制。具体的安全优先级—无论是加快漏洞修补、保险存储和自动化凭据管理、应用最低权限,还是更好地保护远程访问路径—都应根据评估结果确定。
在重新评估安全态势时,请考虑以下安全策略和能力,以帮助您更好地抵御这种环境中日益增加的网络威胁:
1.确定漏洞的修补和修复并确定其优先级。虽然当前的地缘政治冲突可能会导致零日威胁的增加,但解决已知的漏洞是一种最佳做法,有助于加强基线安全,减少威胁面。
2.维护更新–确保端点和软件已更新,如果未在最新版本上运行,则至少在仍受支持的版本上运行。具有漏洞和安全弱点的报废软件很容易成为攻击者在您的环境中站稳脚跟的目标。
3.通过删除不必要的软件、应用程序和特权,并关闭不必要的端口,强化IT系统。
4.删除管理员权限并在所有访问中应用最小权限。将所有访问限制在最小的必要数量和持续时间内,以最小化威胁面,并防止横向移动和权限提升攻击
5.使用密码管理器确保一致实施凭据安全最佳实践。特别是,对于人、机器、员工和供应商来说,特权凭证和机密对于管理和保护至关重要。特权凭证的轮换,以及独特而复杂的密码的创建,提供了针对暴力强迫、凭证重复使用攻击等的有效防御。
6.确保所有访问都是短暂的,身份验证会持续进行,并且只有在满足适当的上下文时才会进行
7.通过单一访问路径锁定远程连接,并确保所有访问都遵循最小特权原则。重要的是减少端口暴露,以防止顶级载体利用进入点进行勒索软件和其他威胁。
8.应用先进的应用程序控制和保护技术,抵御复杂的无文件和陆上威胁,这些威胁通常用于多步攻击链(APT)和民族国家攻击。
9.实施分段和微分段,以隔离系统、资源和用户,进一步抵抗横向移动。
10.监控、管理和审核每个涉及企业的特权会话,无论是由人力、机器、员工还是供应商。即时关注并停止可疑会话活动的能力尤其重要。
11.确认您的事件响应计划以及员工和执法部门的关键联系信息是最新的。
除了帮助我们的客户保护他们的环境外,BeyondTrust还致力于监控针对我们自身环境的活动。我们的组织在销售和交付我们的产品时遵守适用的美国制裁计划和贸易法规,以及我们经营的其他地区。随着事态发展,我们将根据任何新实施的制裁迅速作出反应,以确保我们遵守这些计划。我们随时准备支持我们的客户、合作伙伴和那些新加入BeyondTrust的人。
