随着网络攻击威胁的增加,全球网络安全机构向各个组织发出警告。了解如何保护您的组织。
勒索软件攻击及其他乌克兰危机引起的针对性攻击威胁正在不断增加,网络安全机构向全球私营和公共部门组织频频发出警告。英国国家网络安全中心(NCSC-UK)称勒索软件威胁尤为普遍,特别是对教育行业而言。
为应对俄罗斯-乌克兰战争,澳大利亚、英国和美国发布联合公告,强调了勒索软件攻击对关键基础设施组织的全球性威胁正在加剧。此外,美国的网络安全与基础设施安全局(CISA)、联邦调查局(FBI)、国家安全局(NSA)以及英国的国家网络安全中心(NCSC-UK)已向教育、金融服务、医疗保健等多个行业发出呼吁。
这些机构强调了窃取初始访问权限的几种方法,比如通过网络钓鱼攻击窃取凭据、使用远程桌面协议窃取凭据、采用暴力攻击猜测凭据等。
俄乌战争成为人们关注焦点的原因是,在今年的一些臭名昭著的大规模网络攻击中,比如2020年影响多个政府机构的 SolarWinds 攻击,俄罗斯黑客一直是主要的幕后黑手。事实上,就在两周前,美国相关机构专门针对俄罗斯向国内主要银行高管发出警告。在乌克兰最近的事态发展之后,路透社报道称,英国的 NCSC 通知国内各个企业要“加强网络防御”。
您的组织是否处于危险之中?
许多美国和欧洲组织(尤其是中小型企业)选择忽视或根本没有根据此前的警告做好防范。《Verizon 2021数据泄露调查报告》证明,如果组织员工数量超过100名,则员工百分百会成为网络攻击的目标。
如果您的供应链或业务合作伙伴(甚至是您合作伙伴的合作伙伴)中存在与乌克兰相关的组织,您的风险会更大。2022年2月22日,全球评级组织标准普尔的分析师指出:“乌克兰遭受网络攻击的风险不断增加……可能对乌克兰及其他地区的企业、政府和其他各方产生连锁反应。”据美国有线电视新闻网报道,分析师还指出,世界各地“与乌克兰系统有关联的公司或将�遭到利用,成为实现其他目的关键”。
就在上周,网络安全公司 ESET 在推特上发布推文,称已发现专门针对乌克兰组织的新型“擦除”恶意软件。该软件会试图从所破坏的任何系统中擦除数据。
您的保险可能涵盖网络攻击,但也涵盖“战争行为”吗?
2017年 NotPetya 恶意软件感染全球计算机,当时首先受感染的是乌克兰各个组织,然后便迅速传播。不久,丹麦马士基有限公司(Maersk A/S)、美国默克集团(Merck)和英国 WPP PLC 集团都受到了影响。这些攻击共造成近100亿美元的损失,有人认为这是俄罗斯武装部队的主要情报局 GRU 所为。
NotPetya 的重要(且尚未解决)遗留问题之一与亿滋国际(Mondelez International)有关。跨国食品公司亿滋国际总部位于芝加哥,生产奥利奥、Triscuits 等深受喜爱的休闲食品。NotPetya 感染了亿滋国际的计算机系统,连续数周中断该公司的电子邮件系统、文件访问和物流。此次袭击事件尘埃落定后,亿滋国际提出了损害赔偿保险索赔,但保险公司以不承保战争造成的损害为由迅速拒绝了此次索赔。亿滋的案件仍未解决。
美国默克集团也曾在法庭上提起类似诉讼并胜诉。根据 Bloomberg Law,新泽西州最高法院裁定,保险公司不能“要求免除战争责任,因为其条款适用于武装冲突”。这一裁决可以“迫使保单要更加明确地规定民族国家网络攻击后果的责任”。
与此同时,亿滋国际已制定全新的“安全意识计划”,以帮助防范网络攻击。
您的 IT 团队可以采取的具体防范措施
值得注意的是,CISA 称:“各种规模的组织都应加强网络安全以及关键资产保护方面的防范措施……每个组织,无论大小,都必须采取措施以防范破坏性的网络活动。”为此,我们能够采取什么措施?CISA 为我们提供了建议采取的防范措施清单,用于加强对网络安全的防范。
入侵防范
当然,CISA 首先推荐您采取网络入侵防范措施。这一点很重要,因为入侵防范可以减少对所有后续网络安全保护措施的需求,比如入侵后取证、响应、遏制等。考虑到这一点,CISA 建议您应采取以下五个措�施,以“降低破坏性网络入侵的可能性”:
认证组织网络的所有远程访问以及特权或管理访问时需采用多因子身份认证。
确保软件是最新的,优先更新解决 CISA 确认的已知利用漏洞软件。
确认组织的 IT 人员已禁用所有非业务必须的端口和协议。
如果组织正在使用云服务,请确保 IT 人员已经审查并实施 CISA 指南中的强效控制措施。
如果是私营或公共部门的关键基础设施组织或联邦、州、地方、部落或地区的政府,您可以注册 CISA 的免费网络卫生服务,比如漏洞扫描,这样可以帮助减少面临的威胁。
威胁检测
CISA 的第二组建议侧重于将入侵威胁检测作为威胁防范措施。同样,详细的 CISA 建议如下:
确保网络安全/IT 人员注重识别并快速评估任何意外或异常的网络行为。启用日志记录以改善问题或事件调查过程。
确认组织的整个网络受到防病毒、反恶意软件的保护,并确保这些工具中的签名已更新。
如果与乌克兰组织合作,请特别注意监控、检查并隔离这些组织的网络流量;仔细审查这些网络流量的访问控制。
日志记录对于尽早调查问题和事件至关重要。您可能会惊讶地发现,许多主流的远程访问/支持解决方案不具备快速提供有意义的日志数据的功能。数据指实际访问远程访问/支持解决方案的指定人员、时间、地点、持续时间等。在其他形式的授权与审计中,有效的日志记录可以更大限度地减少您在黑客攻击中承担的责任。
如需 CISA 建议的完整版,包括如何做好入侵防范并应对破坏性网络事件,请访问 CISA 的 Shields Up 页面,该页面提供俄乌战争相关消息。
