最近据称由中国盐台风集团发起的针对电信公司和国家的攻击——其中包括巴西——让全世界都处于警戒状态。 新闻报道了入侵的复杂程度,更令人担忧的是——犯罪分子理论上仍然在这些公司的网络内部。
关于该集团的最早信息出现在2021年,当时微软的威胁情报团队披露了中国如何成功渗透多个互联网服务提供商,以监视企业并捕获数据的相关信息。 该集团进行的首次攻击之一是通过对思科路由器的入侵,这些路由器用作监控通过这些设备进行的互联网活动的网关。 一旦获得访问权限,黑客就能将其范围扩大到其他网络。 2021年10月,卡巴斯基确认网络犯罪分子已将攻击扩展到越南、印度尼西亚、泰国、马来西亚、埃及、埃塞俄比亚和阿富汗等其他国家。
如果这些早期的漏洞早在2021年就已被知晓——为什么我们仍然遭受攻击? 答案正是在于我们日常如何应对这些漏洞。
强奸方法
近日,美国政府确认了一系列针对“企业和国家”的攻击事件,这些事件源于知名漏洞,涉及Ivanti公司开发的VPN应用程序在Fortinet Forticlient EMS中的漏洞,该系统用于监控服务器、Sophos防火墙以及Microsoft Exchange服务器。
微软的漏洞在2021年被披露,随后公司发布了修复程序。 Sophos防火墙的漏洞于2022年公布,并于2023年9月修复。 在2023年,Forticlient中发现的问题变得公开,并在2024年3月得到修复——以及Ivanti的问题,它们的CVEs(常见漏洞与暴露)也在2023年被注册。 然而,公司直到去年十月才修复了该漏洞。
所有这些漏洞使得犯罪分子能够轻松渗透被攻击的网络,使用合法的凭证和软件,这使得检测这些入侵几乎变得不可能。 从那时起,罪犯在这些网络中横向移动,部署恶意软件,协助进行长期的间谍工作。
令人担忧的是,盐台风集团黑客使用的方法与之前归因于中国国家行为者的行动中观察到的长期战术一致。 这些方法包括使用合法的凭证来掩盖恶意活动,使其看起来像是日常操作,增加了传统安全系统识别的难度。 专注于广泛使用的软件,如VPN和防火墙,显示出对企业和政府环境中漏洞的深入了解。
脆弱性问题
被利用的漏洞还揭示了一个令人担忧的模式:补丁和更新的应用延迟。 尽管制造商提供了修正方案,但许多企业的运营实际情况使得立即实施这些解决方案变得困难。 兼容性测试、避免关键任务系统中断的必要性以及在某些情况下对故障严重性缺乏意识,导致暴露窗口的增加。
这一问题不仅是技术问题,而且是组织和战略问题,涉及流程、优先事项,通常还包括企业文化。
一个关键方面是,许多公司将应用补丁视为一项“次要”的任务,而非与运营连续性同等重要。 这就形成了所谓的停机困境,领导者必须在暂时中断服务以更新系统和未来潜在被利用的风险之间做出决定。 然而,最近的攻击显示推迟这些更新可能会付出更高的代价,无论是经济方面还是声誉方面。
此外,兼容性测试是一个常见的瓶颈。 许多企业环境,特别是在电信等行业,采用了复杂的遗留技术和现代技术的结合。 这导致每次更新都需要付出相当大的努力,以确保补丁不会在依赖系统中引发问题。 这种类型的关心是可以理解的,但可以通过采用更强大的测试环境和自动验证流程等做法来减轻。
另一个导致补丁应用延迟的原因是对漏洞严重性缺乏认识。 很多时候,IT团队低估了某个特定CVE的重要性,尤其是在它尚未被广泛利用的情况下。 问题在于攻击者的机会窗口可能在组织意识到问题严重性之前就已经打开。 这是一个威胁情报与技术供应商和企业之间的清晰沟通可以发挥巨大作用的领域。
最后,企业需要采取更积极和优先的漏洞管理方法,包括自动化补丁流程、网络划分以限制潜在入侵的影响、定期模拟可能的攻击以帮助发现潜在的“薄弱点”。
补丁和更新延迟的问题不仅是一个技术挑战,也是组织转变安全策略的机会,使其变得更加敏捷、适应性强和具有弹性。 首先,这种操作方式并不新颖,数百起其他攻击也是以同样的方式进行的操作方法,以被用作切入点的漏洞为起点。 充分利用这次课程可能成为成为受害者或为下一次攻击做好准备之间的关键差异。
