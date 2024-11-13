网络安全与基础设施安全局 (CISA) 界定了四个活跃的国家级威胁行为者：中国政府、俄罗斯政府、朝鲜政府与伊朗政府。这些行为者均采用多种手段突破安全防线，侵入受害者网络。

CISA 威胁追踪部门副主任 Jermaine Roebuck 指出：“其手段包括网络钓鱼、利用窃取凭证、攻击未修补漏洞及安全配置错误。他们会开展广泛的入侵前侦察，以掌握网络架构并识别漏洞。借助这些信息，这些国家支持的行为者利用面向公网的边缘设备漏洞，并借助系统配置错误获取初始访问权限。他们常使用已知漏洞的公开利用代码，同时也擅长发现并利用零日漏洞。一旦侵入受害者网络，高级攻击者会采用离地攻击 (LOTL) 技术来规避检测。”

通过了解威胁参与者的技术与战术，组织能更有效地将有限的安全资源分配至最关键环节。“掌握这些战术可使防御者运用针对性的安全理念与技术类别来对抗攻击者，并聚焦于明确定义的数据属性与价值以检测其攻击手段，”Roebuck 表示。

换言之，企业与机构对国家攻击方法的了解越深入，防护效果就越好。