政府考虑在长达十年的入侵后销毁其数据枢纽

据英国新闻杂志《旁观者》报道，一起由中国支持的网络攻击造成了如此严重的破坏，以至于曾短暂提议销毁整个数据枢纽。该杂志指出，这起访问英国政府机密数据的攻击只是对英国IT基础设施持续威胁的一个表现。

这次入侵不仅是英国面临的风险案例，也是各国政府和组织普遍面临的风险例证。

据彭博社报道，两位前高级安全官员及其他了解情况的政府官员透露，中国至少十年来经常访问英国政府服务器上的低密级和中密级信息。这包括标记为"官方敏感"和"秘密"的信息，以及政府安全IT网络上的某些材料，不过没有"绝密"信息遭到泄露。

考虑到两名被指控向中国当局传递秘密文件的英国人的审判失败，中国对英国基础设施的威胁目前正处于政府思考的最前沿。

这次对数据枢纽的攻击发生在控制该枢纽的公司被出售给中国实体之后。据彭博社报道，虽然考虑过销毁数据枢纽，但政府找到了保护数据的替代方法。然而，这次入侵的严重程度足以让当时的英国首相鲍里斯·约翰逊委托编写一份关于中国构成的威胁报告，包括数字监控和网络攻击。该报告从未公开发布，《旁观者》称，对枢纽攻击的技术细节仍然属于机密。

数据枢纽攻击"尤为关键"

对数据枢纽的攻击被视为尤为关键。软件公司ESET的全球网络安全顾问杰克·摩尔表示：“部长们曾考虑在数据枢纽被出售给与中国有关联的实体后销毁存储敏感政府数据的数据枢纽，这表明英国对关键基础设施控制的重视程度。物理销毁站点会停止服务并抹去取证证据，但这凸显了对国家资产可能受外国控制的深度担忧。”

为英国政府关键网络基础设施提供支持的供应商Bridewell的网络威胁情报主管加文·纳普赞同这种方法的严重性。他说：“这就像设备受损时，唯一能真正确保没有残留或未识别后门的方法是将资产恢复到已知良好状态。在物理领域，特别是数据中心，彻底清理和验证没有持续的威胁行为者/间谍存在要困难得多，在国家机密级别上，处理或终止风险所需的努力和成本非常巨大。”

虽然尚不清楚数据枢纽具体是如何被攻破的，但Bridewell的首席技术官马丁·莱利表示：“主要入口点可能是VPN，这对中国行为者来说很常见，但如果他们已经横向移动到环境中并提升了权限，那么影响会更广。”

莱利指出，当政府表示发现了另一种保护数据的方法时，很可能是"在执行事件响应以了解入侵的广度和初始访问方式后"修补了一个漏洞。

组织不能忽视供应链

纳普表示，由于国家支持的攻击者构成的持续威胁，各地的组织需要保持持续警惕，并补充说：“政府各部门的首席信息安全官必须假设自己已经成为目标，特别是由国家关联的高级持续性威胁（APTs）的目标。这些团体难以检测，因为他们优先考虑隐蔽性和长期访问而非破坏。这引发了关于组织如何检测内部威胁和搜寻边缘设备上的入侵的关键问题，尤其是在供应商管理硬件、使取证更加复杂的情况下。”

纳普警告说，仅使政府基础设施更安全而忽视供应链是不够的。“即使是最安全的网络，当攻击者利用用户、承包商或第三方系统获得立足点时也可能被攻破。他们经常入侵边缘设备或利用错误配置在环境中横向移动，“他说。

“记住，国家支持的攻击者玩的是长期游戏，将自己嵌入关键网络数月或数年，“他说。“诸如操作中继盒（ORBs）之类的技术使他们能够掩盖活动并绕过端点检测工具，使得归因极其困难。”