政府機構往往是黑客常見的攻擊目標,而美國網絡安全和基礎設施安全局(CISA)則負責提升其防衛。不過在去年的紅隊演練入侵行動中,目標政府機構竟然經過 5 個月都未發現被入侵。
CISA 最近表示,2023 年進行了名為 SILENTSHIELD 的紅隊演練評估,在未事先通知的情況下對聯邦民間行政部門(FCEB)機構進行滲透測試,模擬長期敵對國家威脅組織的行動。紅隊透過利用目標機構 Oracle Solaris 系統中一個未修補的漏洞(CVE-2022-21587,CVSS 評分 9.8)獲得了初始存取權限,導致系統完全被入侵。
紅隊在獲得 Solaris 系統存取權限後,發現無法直接進入 Windows 網絡,後來透過針對目標機構成員進行釣魚攻擊,CISA 最終成功進入了 Windows 網絡,注入了一個持久性的遙距存取木馬(RAT),並發現了未受保護的管理員憑證,意味著被評估機構被完全掌握。
不過在評估的五個月中,目標 FCEB 機構完全未能偵測或修復任何 SILENTSHIELD 活動,直到 CISA 最終向其披露行動。CISA 表示,之後他們與機構的安全團隊和系統管理員舉行了每週會議,帶來「已知技術反應時間和基於行為的檢測方面的可衡量改進」,其中主要問題之一是機構的記錄收集「效率低下且無效」。
CISA 表示,FCEB 機構需要採用縱深防禦原則,即採用多層檢測和分析措施以實現最大防衛。CISA 建議進行網絡分段,強調過度依賴已知入侵指標(IoC)相當危險。同時他們呼籲採用「安全設計」原則,不再使用預設密碼、為用戶提供免費記錄,並要求供應商與 SIEM 和 SOAR 供應商合作,以更好地利用這些記錄。
來源:The Register