最近据称由中国团体盐台风对电信公司和国家进行的攻击 – 其中包括巴西 – 让整个世界处于警戒状态. 新闻报道了入侵的复杂程度和, 什么更令人担忧 – 罪犯, 理论上, 仍然会在这些公司的网络中
关于这个团体的最初信息出现在2021年, 当微软的威胁情报团队发布关于中国如何成功渗透多个互联网服务提供商的信息时, 为了监视公司 – 并捕获数据. 该组织进行的首次攻击之一是通过对思科路由器的漏洞进行的, 作为一个网关,用于监控通过这些设备发生的互联网活动. 一旦获得访问权限, 黑客能够将他们的影响力扩展到其他网络. 在2021年10月, 卡巴斯基确认网络犯罪分子已经将攻击扩展到越南等其他国家, 印度尼西亚, 泰国, 马来西亚 埃及, 埃塞俄比亚和阿富汗.
如果最早的漏洞从2021年就已经被知晓 – 为什么我们仍然遭到攻击? 答案在, 正是如此, 我们如何在日常生活中应对这些脆弱性
强奸方法
现在, 在最近几天, 美国政府的信息确认了一系列针对“公司和国家”的攻击 – 已知的VPN应用程序中的漏洞可能会导致的事件, 制造商Ivanti, 没有Fortinet Forticlient EMS, 用于对服务器进行监控, 在Sophos防火墙和Microsoft Exchange服务器中.
微软的漏洞在2021年被披露当时, 标志在序列中, 公司发布了修正方案. Sophos防火墙的漏洞于2022年被公开 – 并在2023年9月进行了修正. Forticlient中发现的问题在2023年变得公开, 并将在2024年3月修正 – 以及Ivanti的那些, 在2023年也注册了他们的CVE(公共漏洞和暴露). 公司, 然而, 只在去年十月修复了漏洞.
所有这些漏洞使得犯罪分子能够轻易渗透到被攻击的网络中, 使用合法的凭证和软件, 这使得检测这些入侵几乎不可能. 从那时起, 罪犯在这些网络中横向移动, 植入恶意软件, 帮助进行长期间谍工作的.
最近攻击中令人担忧的是,盐台风小组黑客使用的方法与之前归因于中国国家行为体的长期活动中观察到的战术一致. 这些方法包括使用合法凭证来掩盖恶意活动,如日常操作, 使传统安全系统难以识别. 关注广泛使用的软件, 如VPN和防火墙, 展示对企业和政府环境中漏洞的深入了解
脆弱性问题
被利用的漏洞还揭示了一个令人担忧的模式:补丁和更新的应用延迟. 尽管制造商提供了修复程序, 许多公司的运营现实使得这些解决方案的立即实施变得困难. 兼容性测试, 避免在关键任务系统中中断的必要性和, 在某些情况下, 缺乏对故障严重性的意识导致暴露窗口的增加
这个问题不仅仅是技术性的, 但也是组织和战略性的, 涉及过程, 优先事项和, 很多时候, 企业文化
一个关键方面是许多公司将补丁应用视为与运营连续性相比的“次要”任务. 这就产生了所谓的停机困境, 领导者需要在暂时中断服务以更新系统和未来潜在漏洞的风险之间做出决定. 然而, 最近的攻击表明,推迟这些更新可能会更加昂贵, 在财务和声誉方面
此外, 兼容性测试是一个常见的瓶颈. 许多企业环境, 特别是在电信等行业, 他们使用复杂的遗留技术和现代技术的组合. 这使得每次更新都需要相当大的努力,以确保补丁不会在依赖系统中引发问题. 这种关心是可以理解的, 但可以通过采用更强大的测试环境和自动化验证流程等实践来减轻
另一个导致补丁应用延迟的因素是对漏洞严重性缺乏意识. 很多时候, IT团队低估了特定CVE的重要性, 主要是因为到目前为止它还没有被广泛探索. 问题是攻击者的机会窗口可能在组织意识到问题的严重性之前就会打开. 这是一个威胁情报和技术供应商与企业之间清晰沟通可以产生巨大差异的领域
最后, 企业需要采取更积极和优先的方式来管理漏洞, 补丁过程的自动化包括什么, 网络的分段, 限制可能入侵的影响, 定期模拟可能攻击的常规, 什么有助于找到潜在的“弱点”.
补丁和更新延迟的问题不仅仅是一个技术挑战, 但也是组织转变其安全方法的机会, 使其更灵活, 适应性强且有韧性. 最重要的是, 这种操作方式并不新鲜, 和其他数百次攻击以相同的方式进行操作方法, 从被用作入口的漏洞开始. 利用这个教训可能是成为受害者或为下一个攻击做好准备之间的差异
