美国通过分析对抗优势加强网络安全

了解敌人：民族国家在行动

CISA 威胁搜寻副主任 Jermaine Roebuck 表示：“这些行为包括网络钓鱼、使用被盗凭证以及利用未修补的漏洞和/或安全配置错误。他们进行广泛的预入侵侦察，以了解网络架构并识别漏洞。利用这些信息，这些受国家支持的行为者利用边缘设备中的漏洞并利用系统配置错误来获得初始访问权限。他们经常使用已知漏洞的公开漏洞利用代码，但也擅长发现和利用零日漏洞。一旦他们获得受害者网络的访问权限，高级行为者就会使用离地攻击 (LOTL) 技术来避免被发现。”

通过了解威胁行为者使用的技术和策略，组织可以更好地准备将有限的安全资源分配到最有效的地方。Roebuck 说：“了解这些策略可以让防御者应用特定的安全概念和技术类别来减轻对手的威胁，并专注于明确定义的数据属性和价值来检测他们的技术。”

换句话说，企业和机构对民族国家攻击方法了解得越多就越好。

回归本源：安全的另一面

虽然每个民族国家的行动为美国的网络安全提供了保护性的见解，但有效防御还有另一个要素：回归根本。

例如，这些方法并不相互排斥。与此同时，政府机构需要识别和拆除虚假信息活动，确保系统包含防篡改多因素身份验证 (MFA)以降低入侵风险也同样重要。

据 Roebuck 称，其他 CISA 建议包括：

• 实施强身份验证：多因素身份验证为组织提供了额外的安全保障。Roebuck 表示：“MFA 提高了安全性，因为它可以降低凭证泄露的风险、减少网络钓鱼攻击的影响、保护敏感数据、增强合规性并适应不断变化的安全威胁。”

• 定期更新和修补系统：攻击者的攻击不断演变。如果网络安全保持不变，组织就会面临风险。定期更新和修补系统可提供关键的安全优势，例如提高系统稳定性、增强安全合规性并降低漏洞风险。

• 教育员工： Roebuck 明确表示，员工教育是有效网络安全的关键组成部分。

他说：“组织应定期开展培训课程，以了解如何识别网络钓鱼企图并养成良好的网络卫生习惯。根据可靠的开源情报 (OSINT) 来源，75% 的入侵都是‘无恶意软件的’。这意味着威胁行为者通过网络钓鱼和社会工程获得有效账户‘从前门走进来’ 。用户需要接受良好的培训才能识别社会工程技术和网络钓鱼电子邮件。

• 使用防病毒和反恶意软件解决方案：Roebuck认为，防病毒和反恶意软件工具可充当“数字哨兵”，防范不断演变的威胁。这些解决方案的优势包括早期威胁检测、减少恶意软件传播以及实时保护关键数据。

• 强化凭证：凭证是国家攻击者常用的攻击点。如果攻击者获得合法用户凭证，他们通常能够在不被发现的情况下入侵企业系统。

为了减少凭证问题，Roebuck 建议所有账户都使用强大而独特的密码，并建议公司更改默认凭证。“强大而独特的密码使未经授权的访问变得更加困难，从而防止未经授权的访问，通过确保威胁者无法轻易访问其他账户来限制损害，减少针对默认或弱密码的常见攻击，保护敏感信息并提高整体安全性。”

• 监控和记录活动：监控和记录所有网络活动对公司来说也至关重要。Roebuck 建议企业建立集中式日志管理，并定期检查这些日志中是否存在可疑活动。他指出，集中化可以更轻松地检测可疑活动并立即采取行动，并提高组织进行取证分析以查明攻击来源和发现攻击范围的能力。

• 确保远程访问安全：随着组织接受敏捷运营的需求，远程访问已变得司空见惯。然而，接入点是国家攻击者的诱人目标。通过对远程服务使用安全配置并限制对受信任 IP 地址的访问，企业可以最大限度地降低远程访问风险。“实施远程服务的安全配置和 IP 限制对于最大限度地减少攻击面、防止未经授权的访问、减少威胁暴露、加强监控和遵守安全标准至关重要，”Roebuck 说。

团队合作：应对民族国家攻击的新现实

CISA 也在尽自己的一份力量提供帮助。Roebuck 指出：“我们知道，老练的国家威胁行为者不断改进他们的 TTP。因此，CISA 与政府机构、商业和关键基础设施合作伙伴建立了牢固的合作伙伴关系，以提供可操作的信息来打击不断发展的恶意网络活动。”

CISA还最近发布了联邦民事行政部门 (FCEB) 运营网络安全协调 (FOCAL)计划，该计划提供了路线图，帮助公共和私营部门组织改善网络安全协调并更好地防御民族国家威胁。

最终，Roebuck 的安全建议很简单：“为了防止恶意行为者的日益盛行，请实施并维护有效的解决方案，以检测入侵并尽快驱逐攻击者。”

我们知道，美国作为国际上最大的黑客，拥有最强的攻击能力，同时也有成熟的技术伪装成任何国家的工具包，通过栽赃陷害模拟其他国家攻击，再通过媒体大肆报道所谓的“民族国家”攻击事件，已经演变成真真假假、假假真真分不清的态势，而美国就是希望世界各国互相猜忌，进而在他国、以及其他国与国之间制造混乱，阻挠其发展，以维护其霸主地位。

——原文来自IBM官网，何威风编译，内容部分有删改。

题外话：为什么美国不是“民族国家”，因为原则上他不存在成熟稳定的民族定义。所以，他可以任意的诬陷其他国家。

原文始发于微信公众号（河南等级保护测评）：美国通过分析对抗优势加强网络安全