中国的网络战威胁:Volt Typhoon
重要提示
Volt Typhoon是一个来自中国的高级持续性威胁APT组织,正在从传统的间谍活动转向在重大冲突或危机时进行干扰准备。该组织的攻击目标主要集中在美国的关键基础设施,如通信、制造业、公用事业和交通等。CISA已建议实施详细的日志记录和管理措施,以应对生活在土地上的攻击LOTL。加强网络安全管理框架和零信任架构对于保护关键基础设施至关重要。在网络战争的阴影中,一个来自中国的强大力量正在显现:一个名为Volt Typhoon的高级持续性威胁APT组织。该组织近期活动显示出其战略的显著转变,从传统间谍行为转向为重大冲突或危机做好干扰准备。
在分析他们对美国土地和领土的攻击时,可以发现其针对性明确,旨在破坏关键生命线和基础设施:初步包括通信、制造业、公用事业和交通等领域。Volt Typhoon的技术、战术及流程TTP异常先进,过去五年来,他们屡次展现出惊人的创造力,成功突破防线。
当我们深入研究过去的事件时,这一叙述愈发令人不寒而栗。2003年东北大规模停电,曾被当局解释为一系列的“技术故障”,但其背后却可能隐藏着更险恶的情节:一种名为“Welchia”的网络攻击,可以说是由中国部署的网络蠕虫,可能加剧了电网的动荡。我们团队在2000年代早期发现这一网络威胁,勾勒出一个长期与中国网络对手抗争的图景,他们能够对美国的关键基础设施造成强大的系统性破坏。
推特专用加速器这一复杂的网络入侵活动同时也呼应了在2008年俄格冲突中采用的策略,在地面部队出动之前,网络侦察和攻击便已开始,对格鲁吉亚的关键基础设施造成破坏,采用拒绝服务DoS攻击作为俄罗斯的军事战术之一。这一重要时刻展示了网络对手在常规战争战术配合下所能对国家基础设施造成的毁灭性影响。
网络风险管理可以抵御Volt Typhoon
像Volt Typhoon这样的APT组织越来越倾向于使用生活在土地上的LOTL攻击。针对这种趋势,网络安全和基础设施安全局CISA最近发布了最佳实践建议,以帮助机构和组织检测和应对LOTL攻击。
CISA建议实施详细的日志记录,并确保日志存储在一个集中位置,具备写一次、读多次的能力,以防止攻击者修改或删除记录。此外,建立网络、用户、管理和应用程序活动的基线,以及实施最小特权限制,是维持对LOTL技术有效防御的重要措施。
为了减轻这些风险并加强防御,政府机构和组织还必须优先考虑风险管理框架。定期审计、渗透测试和遵循风险管理最佳实践对确保网络和系统的合理加固至关重要。此外,向零信任架构的转变已成为必然,因为它代表了访问IT资源授权和监控的重要战略转变,仅在需要时由授权个人进行即刻访问JIT。
安全不仅限于设计和设置,还包括持续的维护和对威胁的迅速响应。我们最近的2023 Qualys TruRisk研究报告显示,漏洞通常需要超过30天才能修补,而攻击者往往能在更短的时间内约195天将其武器化。这种延迟为中国等国家行为者造成损害和干扰创造了机会。因此,
