最后更新于2022年2月24日星期四16:27:17 GMT

更新(2022年2月24日): 自从这篇博客文章首次发表以来,乌克兰的局势已经恶化, 尽管我们的准备建议保持不变. 我们将在事件许可的情况下更新Rapid7博客.

俄罗斯和乌克兰之间的紧张关系仍在加剧, 围绕军事冲突的可能性及其后果存在高度不确定性. 作为美国网络安全和基础设施局(CISA) 在最近关于这些情况的声明中指出, 而“目前美国本土还没有任何具体可信的威胁,“俄罗斯政府有可能考虑升级其破坏稳定的行动,可能会影响乌克兰以外的其他国家。.”

更高的风险

报告 随着俄罗斯和乌克兰之间的局势升级,俄罗斯正在利用攻击性网络能力. 如果局势接近冲突, 这些行动还可能延伸到潜在的报复性网络攻击, 或者网络攻击活动, 攻击那些支持乌克兰的国家的关键物理和网络基础设施. 这似乎是危言耸听,但美国和其他西方实体已经屈服了 相当大的攻击 多年来一直受到俄罗斯黑客组织的攻击. 政府官员长期以来 报道 这些活动得到支持或, 在最好的情况下, 被俄罗斯政府忽视了, 评论员和研究人员也有 建议 这有助于推进俄罗斯的政治议程. 2021年6月, 这些针对美国关键基础设施的持续高水平攻击导致美国总统拜登下台 寻址 他将直接与俄罗斯总统普京讨论此事.

此外,像这样的事件 NotPetya 和Conficker向我们表明,网络空间的目标很少是精确的, 网络攻击的附带损害可能会远远超出最初的目标.

鉴于网络攻击造成损害的风险越来越大——无论是对乌克兰及其支持者的直接攻击,还是攻击的间接影响——这是谨慎的, 正如CISA所指出的, “所有组织——无论规模大小——在网络安全和保护其最关键的资产”和业务流程方面都采取了更高的姿态.

强烈建议所有组织采取以下行动. 即使在没有地缘政治冲突的情况下,也应该采取这些措施——对组织网络安全的威胁在最近的乌克兰-俄罗斯紧张局势之前就已经存在,之后也将存在.

为直接网络攻击做准备

对于大多数网络安全团队来说,抵御来自资源丰富的国家的攻击是一场噩梦. 然而, 您的组织可以采取一些基本步骤来减少成为目标的可能性, 损害的严重程度, 以及攻击者成功的几率.

中钢协 盾了 该报告列举了许多步骤,这些步骤是防御任何潜在网络攻击的合理做法, 我们鼓励所有组织在准备计划中对每一项进行审查.

从根本上说,指导方针可以归结为确保您拥有:

  • 在您的外部互联网和云资产及应用程序部署中进行安全且有弹性的配置
  • 对关键业务功能的所有组件的流程和网络活动的可见性
  • 经过良好测试的事件响应流程,可快速有效地响应所有网络入侵

如果您的组织目前与乌克兰组织合作, 我们赞同中钢协的指导,要格外注意监控, 检查, 隔离来自这些组织的流量,并密切审查该流量的访问控制.

美国的组织也应该把CISA的联系信息(位于报告的末尾)以数字和物理形式(在你无法访问数字资产的情况下)放在手边,这样你就可以在你是直接网络攻击的受害者的情况下联系他们或联邦调查局.

为网络关键基础设施攻击做准备

如上所述, 俄罗斯是一个非常有能力的网络对手, 但是他们不能单独攻击每个资产/组织, 突然之间. 通过针对许多个人和组织所依赖的数字资源和互联网服务,更有可能发生大规模的破坏或破坏.

这种攻击可以采取多种形式,例如:

  • 拒绝服务(DoS)攻击中央/大型DNS和其他“互联网管道服务”提供商(请记住 2016年,DynDNS DoS攻击导致Twitter和许多其他网站瘫痪), 这可能导致无法访问基于web和应用程序的面向客户的资源,以及无法访问任何软件即服务(SaaS)产品, 例如Salesforce, 同意, Zendesk, DocuSign, 以及其他广泛使用的服务.
  • 针对云业务套件提供商的DoS攻击, 例如Google Workspace或Microsoft 365, 哪些可能会在一段时间内中断关键的业务通信.
  • 扩展DoS和有针对性的“破坏软件”攻击, 哪些会妨碍服务的操作和关键业务流程的执行. 就像NotPetya和奥林匹克驱逐舰, 破坏软件的目的是通过加密或删除来破坏被它感染的机器的能力.
  • 针对网络关键路由段的大规模DoS攻击,大规模BGP劫持.

现在是列出关键业务流程中所有第三方依赖项并起草计划的好时机,以便在每个服务在一段时间内不可用的情况下确保这些流程的连续性. 开始为每个服务组件确定备选提供者并为每个组件起草快速迁移计划也是谨慎的做法.

针对上面提到的网络级攻击, 当涉及到集中式网络点DoS时,您可以做的事情不多, 但是您可以通过以下方式帮助您增强对BGP劫持的抵御能力 实施安全BGP实践 并鼓励你的商业伙伴和互联网服务提供商也这样做.

如果紧张关系变得严重, 针对美国及其盟国物理基础设施造成破坏的直接网络攻击的可能性非零(但可能非常低). 仅美国就有 关键基础设施数量众多 其中许多是私营企业,它们仍在加强网络安全防御和能力. 这包括所有企业所依赖的实体, 比如电力供应商, 紧急医疗服务, 运输, 金融机构.

承认遭受严重网络攻击的可能性相对较低,但影响很大, 现在是检查和更新(必要时)业务连续性和灾难恢复(BC/DR)计划和剧本的好时机, 也许还可以做一两个练习!),包括丢失一个或多个关键基础设施组件.

不要惊慌

虽然有理由担心和准备,但没有理由恐慌或过度反应. 它是, 然而, 花点时间检查一下你的安全状况是非常合适的, 了解这一高度威胁级别, 让利益相关者参与评估,看看你是否应该——以及如何——继续支持任何存在差距的领域.

不要错过任何一个博客

获取有关安全的最新故事、专业知识和新闻.


更多阅读: