据称由中国黑客组织“盐风”近期对包括巴西在内的多家电信公司和国家发动的网络攻击,令全世界提高警惕。新闻报道描述了这些入侵手段的复杂程度,而最令人担忧的是,犯罪分子理论上仍然潜伏在这些公司的网络中。
关于这个网络犯罪团伙的首批信息出现在2021年,当时微软威胁情报团队发布消息称,中国已成功渗透多家互联网服务提供商,以监控企业并窃取数据。该团伙的首批攻击之一是入侵思科路由器,这些路由器被用作监控通过这些设备进行的互联网活动的网关。一旦获得访问权限,黑客便能将攻击范围扩展到其他网络。2021年10月,卡巴斯基实验室证实,网络犯罪分子已将攻击范围扩大到越南、印度尼西亚、泰国、马来西亚、埃及、埃塞俄比亚和阿富汗等其他国家。
如果最初的漏洞早在2021年就已为人所知——为什么我们还会再次遭受攻击?答案恰恰在于我们日常如何应对这些漏洞。
违规方法
最近几天,美国政府的消息证实了一系列针对“公司和国家”的攻击——据称这些攻击是由于制造商 Ivanti 的 VPN 应用程序、用于监控服务器的 Fortinet Forticlient EMS、Sophos 防火墙以及 Microsoft Exchange 服务器中存在的已知漏洞造成的。
微软的漏洞于 2021 年披露,随后该公司发布了补丁。Sophos 防火墙的漏洞于 2022 年公布,并于 2023 年 9 月修复。Forticlient 的问题于 2023 年公开,并于 2024 年 3 月修复——Ivanti 的问题也同样如此,其 CVE(通用漏洞披露)也于 2023 年注册。然而,该公司直到去年 10 月才修复了该漏洞。
所有这些漏洞使得犯罪分子能够利用合法凭证和软件轻松渗透到被攻击的网络,几乎不可能检测到这些入侵行为。之后,犯罪分子在这些网络内部横向移动,部署恶意软件以进行长期间谍活动。
近期攻击事件令人担忧之处在于,“盐风”黑客组织所使用的手段与以往被归咎于中国政府的攻击活动中长期采用的策略如出一辙。这些策略包括使用合法凭证将恶意活动伪装成日常操作,使其难以被传统安全系统识别。此外,该组织还重点攻击VPN和防火墙等常用软件,这表明他们对企业和政府环境中的漏洞有着深刻的理解。
漏洞问题
被利用的漏洞也揭示了一个令人担忧的模式:补丁和更新的延迟应用。尽管制造商提供了修复程序,但许多公司的运营实际情况阻碍了这些解决方案的立即实施。兼容性测试、避免关键业务系统中断的需求,以及在某些情况下,对漏洞严重性认识不足,都导致了漏洞暴露窗口期的延长。
这个问题不仅是技术问题,也是组织和战略问题,涉及流程、优先级,而且往往还涉及企业文化。
一个关键问题是,许多公司将补丁更新视为“次要”任务,而将业务连续性放在首位。这就造成了所谓的“停机两难”:领导者必须在暂时中断服务以更新系统和承担未来遭受攻击的潜在风险之间做出抉择。然而,近期发生的攻击事件表明,推迟这些更新可能会付出更大的代价,无论是经济损失还是声誉损失。
此外,兼容性测试是一个常见的瓶颈。许多企业环境,尤其是在电信等行业,都运行着传统技术和现代技术的复杂组合。这意味着每次更新都需要投入大量精力,以确保补丁不会对依赖系统造成问题。这种担忧是可以理解的,但可以通过采用更强大的测试环境和自动化验证流程等措施来缓解。
导致补丁修复延迟的另一个因素是对漏洞严重性的认识不足。通常,IT 团队会低估特定 CVE 的重要性,尤其是在尚未进行深入研究的情况下。问题在于,在企业意识到问题的严重性之前,攻击者的机会窗口可能就已经打开了。而威胁情报以及技术供应商与企业之间清晰的沟通,在这方面至关重要。
最后,企业需要采取更加积极主动和优先考虑的漏洞管理方法,包括自动化修补流程、划分网络以限制潜在入侵的影响,以及定期模拟可能的攻击以帮助识别潜在的“弱点”。
补丁和更新延迟的问题不仅是一个技术挑战,也为企业提供了一个契机,使其能够转变安全策略,变得更加敏捷、灵活和富有韧性。更重要的是,这种攻击模式并非新鲜事,数百起攻击都采用相同的作案手法,利用漏洞作为攻击入口。吸取这些经验教训,能够决定企业是再次成为受害者,还是能够做好应对下一次攻击的准备。
