暗网中的公共部门数据安全威胁

暗网为威胁行为者提供了一个避风港，他们可以在此收集情报、交易非法商品和工具，并与网络犯罪分子建立联系。除了让威胁行为者能够与志同道合的个人联系和学习外，暗网还促进了被盗数据的采购和贩卖，使网络攻击更加有效和邪恶。

没有任何组织的数据能免于在暗网上被共享，公共部门组织也不例外。公共部门处理的信息范围广泛，从公民的个人身份信息到关键基础设施的运营细节，这些信息一旦在暗网上曝光，可能导致欺诈、大量网络攻击以及关键服务的中断。

本文概述了Trustwave SpiderLabs团队在网络犯罪地下世界中观察到的与公共部门数据相关的情况，特别是正在出售的内容和威胁行为者正在寻找的内容。我们的研究还提供了可操作的安全建议，以帮助公共部门组织保护其系统免受网络威胁和风险。

公共管理部门的暗网VPN访问

VPN访问公共管理系统是暗网市场上出售的物品之一，使其成为最常见的初始访问形式之一。政府实体仍然严重依赖VPN来实现远程工作和机构间合作，并且许多这些系统一旦连接就授予广泛的网络权限。所有这些原因使得VPN凭证备受追捧，因为它们允许攻击者绕过边界防御并在网络内部以最小阻力操作。

图1. 暗网广告介绍试图出售墨西哥政府设施的VPN和域用户访问权限。

威胁行为者通常通过网络钓鱼、凭证窃取程序、暴力攻击或内部泄露来收集这些访问点。除了VPN，列表可能包括RDP、Citrix门户、网络邮件或云仪表板（如Microsoft 365）。一些行为者甚至出售捆绑了会话令牌或截图作为证明的访问权限。访问经纪人通常将这些访问权限转售给勒索软件组织、黑客活动分子或国家支持的行为者，从而增加风险并使检测和响应复杂化。

图2. 威胁行为者以1,500美元的价格出售政府设施的远程桌面协议访问权限。

对于公共管理部门，后果是严重的。VPN访问可用于部署恶意软件、窃取敏感记录、中断服务或作为勒索软件攻击的发射台。在某些情况下，它实现了更深入的间谍活动或数据操纵活动。一旦进入内部，攻击者可以升级权限、横向移动并长时间逃避检测，有时甚至数月。

图3. 威胁行为者以500美元的价格提供阿尔及利亚政府设施的VPN访问权限。

为了减轻威胁，机构必须对所有远程访问强制执行MFA，限制用户权限，监控会话中的异常情况，并定期轮换凭证。长期来看，减少对VPN的依赖并转向零信任模型至关重要。同时，主动监控暗网市场有助于在发生更大损害之前识别和响应被泄露的访问权限。

公共部门中的恶意内部人员

恶意内部人员威胁是对公共部门组织最复杂和最危险的威胁之一，特别是在敏感领域，如执法、情报以及国际警务机构（如国际刑警组织和欧洲刑警组织）。与必须绕过多层防御的外部攻击者不同，内部人员通常从特权访问和对内部系统的深入了解开始。这使他们处于滥用信任和泄露机密或受限信息而不触发即时警报的独特位置。

图4. 俄语暗网论坛上的广告，向政府机构内部人员提供丰厚奖励。

近年来，公共部门出现了一个令人担忧的趋势，即威胁行为者通过暗网上的匿名渠道积极试图招募内部人员。这些招募帖子专门针对政府雇员，包括警察、行政人员、IT人员，甚至国际机构的成员。

激励措施各不相同；有些人因经济困难或意识形态一致而被诱惑，而另一些人则通过敲诈被迫就范。威胁行为者通常向愿意提供访问凭证、内部文件、系统日志、情报或任何特定请求数据（如受保护数据库中的信息）的人提供丰厚奖励。

这些网络犯罪分子的动机范围从简单的数据转售到诽谤，以及实现各种形式的间谍活动、敲诈、胁迫、破坏或定向干扰活动。

执法和国际调查机构因其处理的数据类型而成为特别有吸引力的内部人员目标。这包括主动调查、身份、跨境情报合作和行动计划。警察部门或其他机构的内部人员可能泄露数据，使威胁行为者能够检查特定信息（如人们的车辆号码），这可能危及生命、扰乱执法行动或暴露警察行动基础设施。

图5. 印度执法数据被共享到暗网社区。

像欧洲刑警组织这样的国际执法行动也不能幸免。对手认识到，访问泛欧威胁情报、犯罪数据库和联合行动战略可以为犯罪网络和敌对民族国家提供长期利益。虽然直接渗透很少见，但成员国日益增长的数字互联为较低级别的内部人员在一个国家访问影响更广泛区域的共享信息创造了新的机会。

远程工作的兴起和政府运营数字化的增加扩大了潜在的攻击面。内部人员招募不再局限于物理接触或嵌入式操作员；现在，它可以完全在线策划，通过加密聊天和加密货币支付，确保双方的匿名性和可追溯性。

为了应对这一威胁，公共部门组织不仅必须加强技术控制，如访问监控和行为分析，还必须投资于文化韧性、审查程序和员工意识。内部人员风险不再是一个理论问题——它是网络犯罪分子以日益有组织和故意的方式利用的一个活跃向量。

待售的公共管理部门电子邮件

网络犯罪生态系统中一个日益增长的趋势涉及与公共管理部门域相关的活动电子邮件账户的销售和租赁。这些不仅仅是泄露的凭证；在许多情况下，账户仍然完全可用，允许威胁行为者像合法的政府雇员一样发送和接收电子邮件。犯罪分子通过网络钓鱼、凭证窃取恶意软件或内部访问获得这些账户，然后在暗网论坛或私人Telegram群组上出售或租赁。

对于威胁行为者来说，这种访问的价值是巨大的。政府电子邮件地址在与外部组织、供应商或公民互动时具有很高的固有信任度。黑客可以使用这些账户发起高效的有针对性的网络钓鱼活动、冒充官员、分发恶意文档，或通过向内部联系人请求额外的凭证或系统权限来升级其访问权限。在某些情况下，攻击者使用合法的电子邮件访问来操纵采购流程、授权欺诈性支付，或通过观察内部通信悄悄收集情报。

图6. 暗网广告提供来自各个国家的政府电子邮件账户访问权限。

从公共管理部门的角度来看，后果可能是严重的。被泄露的电子邮件可能导致数据泄露、财务损失、声誉损害和公众信任的侵蚀。即使在账户被保护后，损害可能已经造成，信息可能已被泄露，恶意软件可能已被部署，或者进一步的访问权限可能已被转售给其他网络犯罪集团。此外，该机构可能不得不进行昂贵的调查、通知受影响的个人，并实施长期的修复。

为了防止此类滥用，公共机构必须强制执行严格的访问控制、实施MFA，并监控电子邮件使用中的异常情况，如来自异常位置的登录尝试或可疑的消息活动。员工意识培训也至关重要，特别是在网络钓鱼和社会工程策略方面。

公共部门的修复策略

公共部门网络威胁的修复是一个多层次的努力。它涉及部署技术、培养熟练的人员和意识、建立稳健的流程并制定明智的政策。公共行政部门应努力做到“安全设计”，将网络安全融入每个项目，而不是事后才考虑。这意味着当新的政府或公共管理数字服务启动时，安全架构和隐私考虑应从一开始就内置其中。这也意味着拥抱防御创新：正如攻击者使用AI一样，政府的防御者应利用AI进行威胁狩猎和异常检测（值得注意的是，使用基于AI的安全措施的组织在2024年据报道检测违规的速度更快并节省了成本）。最终，保护公共管理部门免受网络攻击对于确保政府能够履行职责以及公民能够信任并安全使用数字公共服务至关重要。

过去五年是一个警钟，说明了最坏的情况，但它们也催化了改进。如果从违规中吸取教训并实施上述实践，公共部门组织将成为更难攻击的目标，并且未来五年网络攻击的趋势可能会从猖獗的成功转向更多被挫败的尝试。持续的警惕、投资和适应将是必要的，因为威胁形势永远不会停滞不前。然而，目标是明确的：维护支撑现代治理和公共生活的数字系统的连续性、安全性和完整性。以下是公共管理部门为减轻所述威胁而推荐的修复和最佳实践：

实施网络安全框架和零信任

采用公认的网络安全框架，如NIST、CIS Controls或ISO 27001，以在所有系统中建立基线保护。通过要求对所有用户和设备进行持续验证，过渡到零信任架构。强制执行MFA、严格的身份和访问控制以及网络分段。维护准确的资产和软件清单。通过审查供应商、监控违规行为以及通过可信来源验证软件完整性，纳入供应链风险管理。

修补和强化系统

建立正式的补丁管理流程，以优先考虑并快速应用安全更新，特别是针对已知被利用的漏洞。尽可能自动化补丁部署，并确保遗留系统得到更新或替换。禁用未使用的服务，强制执行安全配置，并定期审核系统设置。实施和保护离线备份，并具有强大的访问控制和定期测试，以确保从勒索软件或系统故障中可靠恢复。

改进检测和响应

部署24/7安全监控工具，包括端点检测、威胁情报和异常检测系统。建立并演练定义角色、决策协议和恢复程序的事件响应计划。将这些计划与业务连续性策略集成，以在网络事件期间维持运营。参与信息共享网络，并在内部能力有限时采用MDR服务。强调早期威胁检测和快速响应以减少运营和数据损失。

加强培训和访问控制

实施针对网络钓鱼、社会工程和事件报告的持续网络安全培训。要求在所有访问点使用MFA，并应用特权访问管理来限制高级控制。定期审查和调整用户权限。监控异常账户活动，并快速应用严格的内部访问验证以检测和遏制被泄露的账户。

构建韧性和连续性

制定并定期测试业务连续性和灾难恢复计划，确保关键服务可以在没有IT系统的情况下运行。分段网络以限制在事件发生时的横向移动。使用自动化端点隔离立即遏制威胁。购买网络安全保险以减轻财务损失，但确保覆盖范围得到强大预防措施的支持。进行事后审查以识别和纠正根本原因。与其他政府机构和国际伙伴协调，共享威胁数据并加强集体韧性。

加强政策和威慑

执行阻止或禁止公共实体支付赎金以减少攻击者财务激励的政策。支持起诉和制裁网络犯罪分子及其协助者。强制要求及时向国家当局报告违规事件，以便协调响应。在适当情况下公开归因于国家支持的攻击，并通过法律或外交渠道回应。促进国际合作以建立统一、长期的威慑。

结论

过去五年表明，对公共管理部门的网络攻击不仅持续存在，而且日益复杂和具有影响力。趋势线显示，威胁行为者，无论是出于经济动机的团伙还是国家支持的单位，都已将政府实体锁定为高价值目标。公共部门组织必须假设攻击将继续，并且确实成为日常运营的“新现实”，因此将网络安全作为其使命的基础优先考虑。对最近事件的分析揭示了需要加强的关键领域：勒索软件准备、快速补丁管理、供应链风险监督和数据保护。令人鼓舞的是，有效的防御是可以实现的。例如，许多美国大城市通过主动投资于现代安全措施，成功地避免了重大中断。

通过正确的策略和承诺，公共行政部门可以建立强大、有韧性的防御。