应对伊朗潜在网络攻击的防御策略

本文基于美国国土安全部CISA机构的会议内容,总结了伊朗网络攻击历史与防御建议,包括关键基础设施保护、漏洞修补和持续性威胁检测等实用网络安全措施。

应对伊朗潜在网络攻击的防御策略

作者:Joe Basirico
发布日期:2020年1月14日
阅读时间:3分钟

最近我有机会参加美国国土安全部网络安全和基础设施安全局(CISA)的电话会议,听取了他们在美伊紧张局势升级后如何考虑防范网络威胁的观点。我想总结一下我所听到的内容,并参考一些有用的网络安全指南。

在电话中,CISA明确表示,尽管他们已针对地缘政治紧张和威胁升级准备了国家网络意识系统警报和CISA见解文件,但尚未观察到来自伊朗的攻击增加。

CISA在通话中讨论了伊朗在受到威胁时利用不对称攻击的历史。最近,除了常规能力外,他们还使用了进攻性网络攻击。我在十月份的ReThink文章(《我们正处于网络冷战中》)中写过我们如何正在酝酿网络战的所有要素。

CISA的大部分建议都是务实的防御指南。他们没有改变威胁级别,但建议诸如双重检查紧急呼叫树、启用双因素认证(2FA)、确认报告流程以及演练组织事件响应计划等。

伊朗的网络活动历史

除了指南之外,我发现开源进攻性网络操作的历史非常有趣。CISA指出了四起高调攻击:

  • 2011年末至2013年中 – 针对美国金融部门的DDoS攻击:七名伊朗行为者在两年内对美国银行的公开网站进行了DDoS攻击。
  • 2013年8月/9月 – 未经授权访问纽约州大坝:伊朗革命卫队(IRGC)未经授权访问了控制纽约州大坝的SCADA系统。
  • 2014年2月 – 拉斯维加斯金沙集团被黑:2014年,金沙集团遭到入侵,客户数据被盗,包括信用卡和社会安全号码。此外,攻击中还有破坏性部分,金沙系统被擦除。
  • 2013年至2017年 – 代表IRGC的网络盗窃活动:在这四年中,IRGC与144所美国大学、176所外国大学、47家私营公司以及多个政府机构(包括劳工部、联合国和联合国儿童基金会)的入侵有关。

CISA的建议

从警报中,CISA建议公司采取5项行动来建立更好的防御。许多这些建议是ReThink Security之前讨论过的重复内容,您可能之前听过,但我不能强调这些是开始网络安全准备之旅的绝佳建议。

  1. 禁用所有不必要的端口和协议。
  2. 增强对网络和电子邮件流量的监控。
  3. 修补面向外部的设备。
  4. 记录并限制PowerShell的使用。
  5. 确保备份是最新的。

立即开始

持久性远在发现之前,尤其是对于国家行为者。检测是良好网络安全防御的重要组成部分。如果您担心自己可能成为目标,一个好的第一步是仔细检查您的系统。MITRE ATT&CK框架列出了对手可能获得持久性的不同方式(持久性 - MITRE ATT&CK™)。使用此列表查找持久性攻击的迹象。为了最小化业务影响,在收到勒索软件消息或检测到数据泄露之前发现并缓解攻击者至关重要。

参考文献

  • CISA见解 - 地缘政治紧张和威胁增加(PDF)
  • 伊朗对美国巴格达军事打击的潜在网络响应 | CISA
  • CISA的一般网络安全指南
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次