调整网络安全策略以适应不断升级的威胁形势

2023 年末，活跃了近二十年的臭名昭著的恶意软件 Qakbot（也称为 Qbot）被击落，为世界各地的安全团队带来了暂时的解脱。

然而，一些人警告其可能卷土重来，强调不断演变的威胁形势和瓦解网络犯罪生态系统的挑战。

Qakbot 的功能十分强大，从基本的银行木马进化为“瑞士军刀”式恶意工具，展现了网络攻击的日益复杂。

尽管被彻底根除，但其支持后端基础设施仍然存在，这也凸显了在网络安全领域取得持久胜利的难度。

国家行为者模糊界限

网络威胁范围超出了传统犯罪。

国家支持的专门从事间谍和信息收集的团体将目标对准了电网和水管理系统等关键基础设施。

他们的隐秘策略，包括网络外壳和“离地攻击”技术，使得他们很难被发现和破坏。

最近，FBI 捣毁了一个由 KV-botnet 运营的僵尸网络，怀疑该网络受到国家行为者的支持，这进一步说明了其中的复杂性。

与 Qakbot 不同，拆除 KV-botnet 可能更具挑战性，因为它的架构和追究国家行为者责任的司法限制。

这起事件凸显了网络战争的可能性，攻击会破坏关键服务并对平民造成重大伤害。

由于个人账户被盗，引发连锁反应，导致 Cloudflare 系统遭入侵，攻击的关联性不断增强，这进一步凸显了造成大规模破坏的可能性。

生态系统不断发展

网络犯罪也变得越来越专业化。

初始访问代理 (IAB) 专注于破坏系统并向其他参与者出售访问权限，以部署勒索软件或进一步利用。

这种分工让每个团体都能磨练自己的专业知识，使归因（识别罪犯）更具挑战性。

高级持续性威胁 (APT) 团体通过合作进一步使问题复杂化，每个团体都利用对方的技能和资源。

这种合作方式类似于一群狼一起合作捕获更大的猎物，体现了网络犯罪行动日益复杂的趋势。

勒索软件即服务 (RaaS) 和分布式拒绝服务 (DDoS) 即服务 (DaaS) 模式的兴起进一步降低了网络攻击的门槛。

RaaS 组织（如前面提到的 Egregor）将勒索软件作为一种“服务”提供，提供发起攻击所需的一切，从恶意软件到用户手册。

同样，像 KillNet 这样的 DDoS 即服务组织出租他们的 DDoS 能力，让技术水平更低的攻击者更容易破坏在线服务。

这种网络犯罪的商品化使攻击者能够专业化和协作，从而形成一个复杂而有弹性的生态系统。

在不断变化的环境中提高安全性

虽然不断变化的威胁形势带来了严峻挑战，但组织可以采取主动措施来加强其安全态势。

需要考虑的四个方面是：

1. 维护全面的系统清单：

跟踪组织网络上的所有设备，包括物联网 (IoT)、工业控制系统 (ICS) 和运营技术 (OT) 设备。

了解它们的功能、所有权和预期用途。未识别的设备会带来重大安全风险。

请永远记住，您无法保护您不知道的东西。

2. 建立通信基线：

全面了解正常的系统通信模式。

分析网络流量以识别典型的数据流和通信协议。

此基线可作为检测可能表明潜在攻击的异常的参考点。

3. 制定安全政策并实施风险管理策略：

根据“需要知道”的原则制定安全政策和分段策略。

限制对系统的远程访问并持续监控异常活动。

利用安全信息和事件管理 (SIEM) 解决方案关联来自各种安全工具的数据以识别可疑活动模式。

4. 实施全面的安全策略并定期测试：

不要忽视您的应用程序和云部署。

将它们纳入您的安全清单，并使用适当的安全工具实施最佳实践，以确保一致性并保持对其完整性的信心。

由内部或外部红队定期进行渗透测试以揭露漏洞。

建立安全文化

虽然这些建议为网络安全提供了坚实的基础，但真正安全的组织不仅仅需要采取技术措施，还需要建立安全文化。

这包括提高员工对网络威胁的认识以及保护自己和组织数据的最佳做法。

定期的安全培训课程可以让员工掌握识别网络钓鱼企图、避免社会工程手段和举报可疑活动的知识和技能。

合作的必要性

不断变化的威胁形势需要不断保持警惕和适应。

通过认识到网络攻击日益复杂化、实施上述建议并培养安全文化，组织可以显著改善其安全态势。

然而，应对网络犯罪带来的挑战需要超越单个组织的合作。

增加公司和政府机构之间的信息共享有助于识别新出现的威胁并制定更有效的防御策略。

此外，国际合作对于追究国家支持的行为者的责任和破坏网络犯罪生态系统至关重要。

随着威胁形势的不断演变，共同努力对于保护数字世界至关重要。