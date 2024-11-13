国家级对手正在转变策略，从数据破坏转向优先侧重隐秘行动与间谍活动。根据《微软 2023 年数字防御报告》指出：“国家级攻击者正加大投入，发动更复杂的网络攻击以规避检测并实现战略优先级目标。”
这些行为者对美国基础设施与受保护数据构成重大威胁，任何一项资源的泄露都可能将公民置于风险之中。
值得庆幸的是，这些恶意行动存在积极面：情报价值。通过分析国家级攻击者的战术，政府机构与私营企业能更有效地追踪、管控并化解此类攻击。
网络安全与基础设施安全局 (CISA) 界定了四个活跃的国家级威胁行为者：中国政府、俄罗斯政府、朝鲜政府与伊朗政府。这些行为者均采用多种手段突破安全防线，侵入受害者网络。
CISA 威胁追踪部门副主任 Jermaine Roebuck 指出：“其手段包括网络钓鱼、利用窃取凭证、攻击未修补漏洞及安全配置错误。他们会开展广泛的入侵前侦察，以掌握网络架构并识别漏洞。借助这些信息，这些国家支持的行为者利用面向公网的边缘设备漏洞，并借助系统配置错误获取初始访问权限。他们常使用已知漏洞的公开利用代码，同时也擅长发现并利用零日漏洞。一旦侵入受害者网络，高级攻击者会采用离地攻击 (LOTL) 技术来规避检测。”
通过了解威胁参与者的技术与战术，组织能更有效地将有限的安全资源分配至最关键环节。“掌握这些战术可使防御者运用针对性的安全理念与技术类别来对抗攻击者，并聚焦于明确定义的数据属性与价值以检测其攻击手段，”Roebuck 表示。
换言之，企业与机构对国家攻击方法的了解越深入，防护效果就越好。
尽管各国攻击行为为美国网络安全提供了防护思路，但有效防御还有另一个关键组成部分：回归基础安全实践。
例如，这两者并非互斥。政府机构在识别并瓦解虚假信息行动的同时，确保系统配备防篡改多因素身份验证 (MFA) 以降低入侵风险同样至关重要。
据 Roebuck 介绍，CISA 的其他建议还包括：
“组织应定期开展培训课程，指导员工识别钓鱼攻击并养成良好的网络卫生习惯，”他说道。“根据可信的开源情报 (OSINT) 来源，75% 的入侵属于‘无恶意软件型’攻击。”这意味着威胁行为者通过钓鱼和社会工程手段获取有效凭证后‘从正门长驱直入’。用户需要接受充分培训以识别社会工程手段和钓鱼邮件。
为降低凭证风险，Roebuck 建议所有账户设置高强度唯一密码，并提议企业修改默认凭证。“高强度唯一密码通过大幅增加未授权访问难度来防止入侵，通过确保威胁行为者无法轻易访问其他账户来限制损害范围，减少针对默认或弱密码的常见攻击，保护敏感信息并提升整体安全性。”
国家级攻击的协同特性意味着没有任何企业或政府机构能够独善其身。相反，只有通过组织的协同努力，才能实现安全水平的提升。
CISA 也正在为提供帮助贡献力量。Roebuck 提及该机构发布的关于中华人民共和国 (PRC) 的联合公告，其中提供了检测、缓解和修复新兴威胁的建议措施。“但我们深知，复杂的国家级威胁行为者持续演变其战术、技术与规程，”他表示。“因此，CISA 与政府机构、商业及关键基础设施伙伴建立了紧密合作关系，以提供可操作信息来应对不断演变的恶意网络活动，例如来自 PRC 的威胁。”
CISA 近期还发布了《联邦民事行政部门网络安全运营协同计划》(FOCAL)，该计划为公共和私营部门组织提供了提升网络安全协调能力、更好防御国家级威胁的路线图。
Roebuck 的安全建议最终归结为简明扼要的忠告：“为防范日益猖獗的恶意行为者，需实施并维护有效的解决方案，以检测入侵并尽可能迅速地驱逐攻击者。”
