概述
像SaltTyphoon这样的事件很好地提醒了企业和用户由于依赖可能不受控制的基础设施而容易受到攻击的风险。随着越来越多的分布式应用程序通过公共云、SaaS和全球服务提供商提供计算、存储和网络服务,攻击面超出了他们的控制范围。正如人们所说,安全漏洞已成为“何时”而非“是否”的问题。在这种环境中蓬勃发展的最明显方法是通过使用零信任原则来减少外部和内部的攻击面,从而实现设计上的安全。确保通过Unified SASE作为服务来提供安全的网络访问是消除网络和安全供应商扩展的一大进步,从而提供操作简便性。如果发生攻击,隔离问题、减少爆炸区域并继续满足业务需求就显得尤为重要。SASE控制各种安全技术的部署并提供更快的响应时间,这显著有助于网络卫生并减少攻击面。

目标基础设施

行业中广泛使用的最受欢迎的基础设施产品,如交换机和路由器。众所周知,有时工厂默认密码未被更改。鉴于思科设备的普及,SaltTyphoon瞄准思科设备也就不足为奇了。以下是几个原因:

  • 考虑到其普及性和市场主导地位,思科是全球最大的网络设备提供商之一。其设备部署在企业、服务提供商和关键基础设施中。成功地入侵思科设备可能使攻击者访问包含敏感和高价值信息的网络。
  • SaltTyphoon通常将重点放在政府、军事和关键基础设施上,思科设备在这些地方得到广泛部署。思科设备如路由器、交换机和防火墙在网络流量管理中占据核心位置,使它们成为拦截、数据外泄或流量篡改的理想位置。思科设备经常在管理政治或经济敏感操作的组织中使用,这使其成为完美的间谍目标。这些设备拥有可信的网络位置,一旦被攻破,可以绕过安全措施并干扰操作,从而使攻击者在目标组织中占据优势。
  • 由于持久访问和隐蔽操作,思科设备为植入后门提供了强有力的立足点。SaltTyphoon经常通过直接针对思科设备向网络基础设施部署持久的恶意代码,因为被攻破的网络设备通常能避开端点检测系统,从而为攻击组提供了隐蔽的立足点。
  • SaltTyphoon以利用未修补的漏洞而闻名,且 思科设备多年来一直与一些重大漏洞有关(例如,思科智能安装、VPN漏洞)。开发或获取针对思科系统的高级漏洞利用工具非常容易。通过在战略位置利用思科设备,攻击者可以在供应链中攻破多个下游组织。

清理IT系统的挑战
大量工作量的主要原因是许多公司通常提供的拼凑式、碎片化解决方案。此外,几乎没有可用的可视性和监控系统,这意味着恶意软件可能潜藏在基础设施的任何部分。因此,挑战在于确定哪些系统受到感染,然后找到一种修复的方法。让我们了解一下技术限制:

  • APT使用隐蔽战术(无文件恶意软件、加密和混淆)、持久性机制(隐藏注册表键、计划任务、固件级修改)和定制工具来避免检测和清除尝试。
  • 由于复杂的环境,如广泛的IT系统,拥有众多终端、服务器和云集成,导致缺乏可视性,从而使监控变得更加困难。许多组织没有记录足够的数据,或者没有保留足够长的时间来追溯攻击的全面影响。
  • 由于技能差距和响应时间缓慢的人工限制,攻击者能够建立更强的立足点。许多组织缺乏应对APT的专业技能和资源。此外,组织往往将运营需求置于安全之上,导致防御出现空白。
  • 由于潜伏时间的检测滞后也是一个原因,APT可以在数月甚至数年内未被发现。在这段时间里,他们可能会部署多个后门并攻破多个系统。等到被发现时,攻击者可能已经深度渗透。

作为集成保护措施的Unified SASE as a Service
Unified SASE as a Service,作为Aryaka武器库中的关键解决方案,在与SaltTyphoon等高级持续性威胁(APT)的斗争中发挥了重要作用。其前瞻性和反应性的防御设计旨在巧妙地应对高级攻击,成为任何组织安全策略中的关键组成部分。

  • 执行最小特权原则是与APT斗争的关键步骤。组织必须使用ZTNA实现精细的访问控制,确保用户、设备和应用程序只能与其角色所需的特定资源进行交互。这大大减少了APT造成广泛损害的潜力,使其成为关键的防御策略。
  • 身份和上下文感知的策略,考虑位置、时间和行为,在与APT斗争中至关重要。通过实现对用户和设备的持续验证,这些策略显著减少了攻击者成功伪装成合法用户的机会。这增强了对安全措施的信任,使它们成为任何组织防御策略的核心部分。
  • Unified SASE as a Service通过微分段提供隔离功能,将工作负载、应用程序和设备在网络中隔离开来。这一策略限制了APT的横向移动,防止攻击者在获得初步立足点后继续攻破其他系统。
  • 通过Unified SASE as a Service,组织可以增强网络和安全层的监控和可视性,检测异常并关联指标,以便及早识别并响应潜在的APT活动。此外,安全功能如SWG、FwaaS、IPS、文件扫描等提供实时警报和自动响应可疑活动,帮助组织迅速检测并遏制APT行为。
  • 众所周知,APT窃取目标网络中的敏感数据和知识产权,因此攻击者需要将这些信息外泄到远程位置。通过Unified SASE as a Service,可以使用CASB、DLP等安全功能,以及使用机器学习/人工智能进行异常检测的安全引擎,来检测敏感数据泄露和数据传输异常,尤其是协议滥用等外泄行为。

一般建议
一个关键的考虑因素是操作简便性,因为这些过程可能增加显著的负担,并且难以持续维护。为创建和管理安全政策和程序制定清晰的角色和职责非常有帮助。组织可以做得更多,而不仅仅是 CISA和FBI 提出的建议。见下文:

  • 实施 零信任架构,要求对每个访问请求进行身份验证和授权,无论是内部还是外部。当组织遵循“永不信任,始终验证”原则时,可以帮助限制横向移动并减少攻击的影响。
  • 主动威胁狩猎在尽早发现APT方面起着至关重要的作用。定期搜索已知的APT相关妥协指标(IOC),如恶意IP、文件哈希和域名。组织还应关注攻击指标(IOA),以检测恶意意图和战术,如横向移动、权限提升和数据外泄。
  • 利用先进的安全和网络技术的力量。首先,分段将网络划分为更小的区域以容纳威胁并限制攻击者的活动。其次,可以使用欺骗技术,如蜜罐和诱饵来检测和研究攻击者的行为。第三,基于AI的自动化可以用于更快速地检测、分类和响应APT活动。
  • 组织应定期进行桌面演练,评估其应急响应计划的有效性,演练现实场景,包括APT模拟和常见攻击场景的攻击