XiaoMi-AI文件搜索系统
World File Search System网络事件响应
网络风暴IX ACTION报告
由网络安全和基础设施安全局(CISA)赞助,网络风暴是CISA的双年展帽石练习,并在2021财政年度的《国防授权法》中被国会授权为全国网络练习。这是政府最广泛的此类网络安全活动,为联邦政府,州政府,私营部门和国际合伙人国家提供了难得的机会,可以在整个社区中团结起来并行使网络反应。从2006年的网络风暴I开始,该练习通过检查事件响应过程来汇集利益相关者,以评估和增强网络准备。网络风暴IX以这一遗产为基础,将公共和私营部门的同龄人聚集在一起,建立新的关系,加强现有关系并通过确定最佳实践来加强沿着国家网络事件响应计划(NCIRP)概述的整个现成方法来加强协调事件响应的最佳实践,以维护美国的关键基础设施。1
通过高级 CSA 改进战略决策的相关技术
随着网络攻击的范围和规模不断扩大,全球许多组织目前都面临着无法根据他们在网络领域收集的大量数据做出明智决策的困境。从网络安全分析师到高级政府官员,利益相关者都需要网络通用作战图 (C-COP),以便根据收集的网络数据做出决策。需要先进的网络态势感知 (CSA) 来实时确定、概念化和预测潜在的网络威胁和漏洞,这一点至关重要。C-COP 中展示的技术提供了对网络攻击的敏锐理解,从而增强了分析师、网络运营中心 (NOC) 领导和高级管理人员的决策能力。通过使用新颖的关联技术,可以轻松快速地揭示恶意活动的背景,从而允许做出明智的决策,以了解如何对抗、缓解和/或防御发现的攻击。在网络域中关联和可视化信息的主要方法基于地理空间数据、网络拓扑或 Internet 协议 (IP) 空间。但是,这些方法对网络态势感知提出了一些限制,包括地理位置准确性、视觉清晰度和表示一致性。我们提出了一种最近开发的方法,该方法通过利用 IP 空间中的“所有权”概念,将分层树形图的概念推广到网络数据的关联和可视化。生成的 IP 空间图已成功用于 CSA,例如网络事件响应、网络攻击的取证调查和信息安全持续监控 (ISCM)。我们的分层 IP 空间图可视化一个域,而不是特定的数据集,因此可以同时显示许多不同的数据源和数据类型作为叠加层以支持 C-COP。决策者需要一种专业且可定制的可视化,以便快速了解、关联、跟踪并能够对 IP 空间内的活动采取行动。我们的实施还通过使用基于 Web 的多用户界面和称为网络标记语言 (CML) 的开放数据格式,支持公共和私人实体之间改进的信息共享。
DTM-24-001,“国防部针对云服务产品开展的网络安全活动”,2024 年 2 月 27 日
参谋长联席会议主席手册 6510.01,“网络事件处理计划”,当前版本 国家安全系统委员会政策 32,“云计算政策”,2022 年 5 月 参谋长联席会议主席执行命令,“实施网络空间作战指挥与控制的执行命令修改”,2014 年 11 月 14 日 联邦法规,第 36 篇,第 1222.32 节 国家安全系统委员会指令第 4009 号,“国家安全系统委员会 (CNSS) 词汇表”,2022 年 3 月 2 日 国防联邦采购条例补充,第 204.73 节,当前版本 国防信息系统局,“国防部云计算安全要求指南”,当前版本 1 国防部副首席信息官,“国防部架构框架 2.02 版”,2010 年 8 月 2 国防部指令 5106.01,“国防部监察长(IG DOD)”,2012 年 4 月 20 日,经修订 国防部指令 5144.02,“国防部首席信息官(DoD CIO)”,2014 年 11 月 21 日,经修订 国防部指令 5205.16,“国防部内部威胁计划”,2014 年 9 月 30 日,经修订 国防部指令 8000.01,“国防部信息企业管理(DoD IE)”,2016 年 3 月 17 日,经修订 国防部指令 5200.48,“受控非机密信息(CUI)”,2020 年 3 月 6 日 国防部指令 8330.01,“信息技术的互操作性,包括国家安全系统”,2022 年 9 月 27 日 国防部指令 8500.01,“网络安全”,2014 年 3 月 14 日,经修订 国防部指令8530.01,“网络安全活动支持国防部信息网络作战”,2016 年 3 月 7 日,经修订 国防部指令 8530.03,“网络事件响应”,2023 年 8 月 9 日 国防部指令 8531.01,“国防部漏洞管理”,2020 年 9 月 15 日 国防部指令 8582.01,“处理未分类的非公开国防部信息的非国防部信息系统的安全性”,2019 年 12 月 9 日 国防部手册 8530.01,“网络安全活动支持程序”,2023 年 5 月 31 日 第 14028 号行政命令,“改善国家网络安全”,2021 年 5 月 12 日 美国国家标准与技术研究院特别出版物,“NIST 云计算参考架构”,2011 年 9 月
针对 ICS/SCADA 设备的 APT 网络工具 - Defense.gov
尽可能对所有 ICS 网络和设备的远程访问强制实施多因素身份验证。 制定网络事件响应计划,并定期与 IT、网络安全和运营方面的利益相关者一起演练。 按照一致的时间表将所有 ICS/SCADA 设备和系统的密码(尤其是所有默认密码)更改为设备唯一的强密码,以减轻密码暴力攻击,并为防御者监控系统提供检测常见攻击的机会。 确保正确配置 OPC UA 安全性,启用应用程序身份验证并显式信任列表。 确保安全存储 OPC UA 证书私钥和用户密码。 维护已知良好的离线备份,以便在发生破坏性攻击时更快地恢复,并对固件和控制器配置文件进行哈希和完整性检查,以确保这些备份的有效性。 将 ICS/SCADA 系统的网络连接限制为仅专门允许的管理和工程工作站。 通过配置设备保护、凭据保护和虚拟机管理程序代码完整性 (HVCI) 来可靠地保护管理系统。在这些子网上安装端点检测和响应 (EDR) 解决方案,并确保配置了强大的防病毒文件信誉设置。 从 ICS/SCADA 系统和管理子网实施强大的日志收集和保留。 利用持续 OT 监控解决方案对恶意指标和行为发出警报,监视内部系统和通信中是否存在已知的敌对行为和横向移动。为了增强网络可见性以潜在地识别异常流量,请考虑使用 CISA 的开源工业控制系统网络协议解析器 (ICSNPP)。 确保所有应用程序仅在运行需要时安装。 执行最小特权原则。仅在需要执行任务(例如安装软件更新)时使用管理员帐户。 调查拒绝服务或连接切断的症状,这些症状表现为通信处理延迟、功能丧失需要重新启动以及对操作员评论的操作延迟,这些都是潜在恶意活动的迹象。 监控系统是否加载了不寻常的驱动程序,尤其是 ASRock 驱动程序(如果系统上通常不使用 ASRock 驱动程序)。
针对 ICS/SCADA 设备的 APT 网络工具
• 尽可能对所有远程访问 ICS 网络和设备实施多因素身份验证。 • 制定网络事件响应计划,并定期与 IT、网络安全和运营方面的利益相关者一起演练。 • 定期将所有 ICS/SCADA 设备和系统的密码(尤其是所有默认密码)更改为设备独有的强密码,以减轻密码暴力攻击,并为防御者监控系统提供检测常见攻击的机会。 • 确保正确配置 OPC UA 安全性,启用应用程序身份验证并显式信任列表。 • 确保 OPC UA 证书私钥和用户密码安全存储。 • 维护已知良好的离线备份,以便在发生破坏性攻击时更快地恢复,并对固件和控制器配置文件进行哈希和完整性检查,以确保这些备份的有效性。 • 将 ICS/SCADA 系统的网络连接限制为仅专门允许的管理和工程工作站。 • 通过配置设备保护、凭据保护和虚拟机管理程序代码完整性 (HVCI) 来可靠地保护管理系统。在这些子网上安装端点检测和响应 (EDR) 解决方案,并确保配置了强大的防病毒文件信誉设置。 • 从 ICS/SCADA 系统和管理子网实施强大的日志收集和保留。 • 利用持续的 OT 监控解决方案对恶意指标和行为发出警报,监视内部系统和通信中是否存在已知的敌对行为和横向移动。为了增强网络可见性以潜在地识别异常流量,请考虑使用 CISA 的开源工业控制系统网络协议解析器 (ICSNPP)。 • 确保所有应用程序仅在运行需要时安装。 • 执行最小特权原则。仅在需要执行任务(例如安装软件更新)时使用管理员帐户。 • 调查拒绝服务或连接切断的症状,这些症状表现为通信处理延迟、需要重新启动的功能丧失以及对操作员评论的延迟操作,这些都是潜在恶意活动的迹象。 • 监控系统是否加载了异常驱动程序,尤其是 ASRock 驱动程序(如果系统上通常不使用 ASRock 驱动程序)。
每周网络评论
咨询和公开发布 • CISA:即将举行的国家网络事件响应计划 (NCIRP) 虚拟聆听会议 • CISA:国家互联网安全月:今年 6 月,采取 4 个简单步骤确保在线安全 • CISA 和 FBI:打击 SGL 注入 • CISA:操作指南 - Shodan 之外的内容 • CISA 和 NSA:减少跨运营技术暴露的建议措施 • 美国和国际合作伙伴:网络访问安全的现代方法 • 联合产品:保护 OT 运营免受持续的亲俄黑客活动的侵害 • 联合产品发布:2024 年美国联邦选举:内部威胁 • 罗克韦尔:断开设备与互联网连接以防止网络威胁的客户指南 白宫报告揭露 Cy23 美国政府数据泄露 一份新发布的白宫报告揭开了 CY23 网络安全事件的面纱——并且是一篇引人入胜的文章(取决于您的观点)。值得注意的披露包括,其中 38% 是由于员工滥用政府系统造成的;而且似乎没有一个政府机构在报告期内毫发无损地受到严重的网络安全事件的影响。(The Register;2024 年 6 月 12 日)参见白宫报告:2024 年美国网络安全态势报告另请参阅:FISMA 报告称,去年联邦政府遭遇更多网络攻击但检测效果更好美国与乌克兰的新协议包括网络安全承诺上周,美国总统和乌克兰总统举行会谈,讨论在可预见的未来持续向乌克兰提供支持。最终达成的支持协议的核心是寻求增强乌克兰在包括网络领域在内的各种战场领域抵御俄罗斯侵略的能力。协议的关键点之一是美国协助检测/阻止黑客针对乌克兰关键基础设施网络的网络攻击。 (The Record;24 年 6 月 14 日)软件许可疾病正在感染我们国家的网络安全观点。本月,微软总裁布拉德·史密斯在美国众议院国土安全委员会的听证会上被质问,该听证会涉及政府面临的网络安全问题,而这些问题的直接原因是微软的安全漏洞。然而,这些问题不仅仅归结于不安全的产品。它们是更严重疾病的症状——市场和竞争政策的失误使微软几乎主宰了所有公共部门技术市场,而监督部门未能正确诊断更深层次的原因,使我们所有人都处于危险之中。(Dark Reading;24 年 6 月 18 日)另请参阅:微软选择利润而不是安全;告密者称,美国政府容易受到俄罗斯的攻击另请参阅:验证软件是否安全构建的过程今天开始 中国网络间谍活动自 2021 年以来针对亚洲电信运营商 与中国有关的网络间谍组织与一场长期活动有关,该活动至少自 2021 年以来已渗透到位于一个亚洲国家的多家电信运营商。博通旗下赛门铁克威胁猎人团队在与 The Hacker News 分享的一份报告中表示:“攻击者在目标公司的网络上放置后门,还试图窃取凭据。” 这家网络安全公司没有透露目标国家,但表示发现证据表明恶意网络活动可能早在 2020 年就开始了。它补充说,这些攻击还针对了一家未具名的为电信行业提供服务的服务公司和另一个亚洲国家的一所大学。此次活动使用的工具与中国间谍组织 Mustang Panda(又名 Earth Preta 和 Fireant)、RedFoxtrot(又名 Needleminer 和 Nomad Panda)和 Naikon(又名 Firefly)近年来开展的其他任务有重叠。(Hacker News;2024 年 6 月 20 日)