俄罗斯网络攻击重点转向乌克兰军事基础设施，网络安全在基础设施上的投入必要性。

主要威胁行为体及策略

大部分活动都归咎于五个俄罗斯威胁组织：UAC-0149、UAC-0020、UAC-0180、UAC-0184、UAC-0200。这些组织一直在使用远程访问木马 (RAT) 来攻击使用 Windows 的乌克兰军队计算机。

过去几年，俄罗斯的网络策略发生了变化。2022 年，俄罗斯黑客专注于破坏关键基础设施 IT 系统和窃取数据库。2023 年，这一重点转向在乌克兰许多不同行业内进行广泛信息收集，然后在 2024 年转向军事目标。

消息应用程序：新前沿

强调的一个令人担忧的趋势是 WhatsApp、Telegram 和 Signal 等消息应用程序的使用增加。Signal 应用程序尤其被用来攻击高价值的军事和政府人员。黑客，尤其是与 UAC-0184 相关的黑客，会收集个人信息以冒充已知联系人并与某些目标建立信任，类似于网络钓鱼攻击。

网络钓鱼一直都是一个攻击力强，杀伤范围广的攻击方式，预防网络钓鱼的最有效的方式，就是提升网络安全意识，能够从潜意识层面识别网络钓鱼。

一旦建立信任，攻击者就会发送伪装成相关内容的恶意档案。例如，这可能是战斗镜头或招募信息。打开后，这些档案会秘密地用恶意软件感染目标系统。值得注意的是，UAC-0184 以其多阶段攻击以及使用XWorm 恶意软件和 Remcos RAT攻击目标而闻名。

网络事件和恶意软件感染不断增加

2024 年第一季度和第二季度，乌克兰报告的网络攻击总数与 2023 年第三季度和第四季度相比增加了 19%，达到 1,739 起。这一增长主要归因于更多被认为不太严重的事件，以及更严重的违规行为减少。

恶意软件感染正成为这些网络攻击的核心部分。2024 年第一季度和第二季度记录的感染数量为 196 起，高于 2023 年第三季度和第四季度的 103 起。这种激增的部分原因是未经授权的盗版软件数量增加，这些软件被盗版但内置了后门。

授权软件的重要性

SSSCIP 继续强调使用授权软件的重要性，因为未经授权的软件会产生更多漏洞。例如 Office、MDM、Windows、EDR 等。这适用于乌克兰军队，也适用于民间组织，因为他们试图减轻因感染而产生的漏洞。

随着冲突进入第三个年头，网络空间仍然是战争的核心。SSSCIP 警告称，针对军事人员的网络攻击可能仍将占据重要地位。

如何做好基础设施防护

做好基础设施的防护还需从如下几个方面入手：

技术体系：以安全可信、自主可控为底座，在合规基础防护能力之上加强重点防护措施建设构建安全技术体系；

管理体系：从组织架构、安全规划、管理制度等构建安全管理体系；

运营体系：从运营人员、流程及技术等维度构建安全运营体系；

保障机制：从人才、经费等维度构建安全保障机制，全面提升关键信息基础安全保护能力和能力，保障关键信息基础设施安全。

关键基础设施的端到端网络安全可以而且应该封装一系列技术和服务，包括安全云架构、灾难恢复、网络恢复、数据保护、隐私保护等。以下是需要考虑的重要特性、技术和功能：

安全的云架构。从单个统一平面管理所有云资源的能力是降低关键基础设施风险的重要一步。为所有云提供一个运营中心，可确保整个组织内统一的云安全和网络策略，使IT团队能够以更快、更自信和更智能的方式识别、保护、检测、响应和恢复。通过零信任架构，组织可以验证用户、设备、应用、数据和传输会话，然后才能访问网络、其他用户、应用、数据或云。

现代数据保护和网络恢复解决方案和服务。关键基础设施的弹性是为了防止成功的攻击和其他潜在的灾难。其还涉及到系统和服务到位，以便快速恢复，并将对数据、系统和应用的损害降至最低。

所有供应链和生态系统的本质安全。本质安全始于供应链保障。组织的制造流程应该包括多层控制，以减轻可能引入供应链的任何风险。或者，将用户凭证数据与操作系统和内存隔离。确保使用的服务器提供强化的安全保护，例如防止BIOS篡改和安全组件验证，并使用整合端点保护平台来保护用户和设备。

由自动化和智能化驱动的检测、调查和响应。统一的威胁检测和响应技术，以及安全网络解决方案，如SD-WAN和安全访问服务边缘(SASE)，是任何现代关键基础设施网络安全战略的重要方面。解决方案应在整个生态系统中提供端到端的可见性和可操作的情报，并具有持续更新威胁情报的能力，以保持最新的保护。借助托管检测和响应等解决方案，组织可以利用基于服务的模型来扩展灾难恢复安全性，使用真实的、可操作的威胁情报来监控、检测、调查和响应整个IT环境中的威胁。

原文始发于微信公众号（三沐数安）：俄罗斯网络攻击重点转向乌克兰军事基础设施，网络安全在基础设施上的投入必要性。