通信基礎設施的威脅形勢顯著加劇,中華人民共和國 (PRC) 附屬威脅行為者等敵對組織將全球電信提供商作為目標。這些活動強調了提高可見性和加強防範剝削的必要性。
為此,美國網絡安全和基礎設施安全局(CISA)與國家安全局、聯邦調查局(FBI)、澳大利亞信號局的澳大利亞網絡安全中心、加拿大網絡安全中心和新西蘭國家網絡安全中心發布了指導適用於網絡工程師和其他通信基礎設施維護者。本指南包括用於增強可見性和強化網絡設備以防止中華人民共和國附屬機構和其他惡意網絡行為者成功利用的最佳實踐。
該聯合指導意見是對與中國政府有關聯的名為“Salt Typhoon”的黑客組織實施了電信基礎設施的攻擊。該指南的核心是優先考慮用戶隱私的措施和強大的身份驗證機制,這對於應對現代網絡威脅至關重要。
該指南指出:“儘管本指南是針對網絡維護者和通信基礎設施工程師量身定制的,但它也可能適用於擁有本地企業設備的組織。” “編寫機構鼓勵電信和其他關鍵基礎設施組織應用本指南中的最佳實踐。”
該指南稱,“截至本發布日期,已發現的與這些威脅行為者活動相關的利用或妥協與與受害者基礎設施相關的現有弱點一致;尚未觀察到新的活動。修補易受攻擊的設備和服務以及總體保護環境將減少入侵機會並減輕行為者的活動。”
可見性是監控、檢測和理解基礎設施內活動的網絡防禦的基石,對於在潛在威脅、漏洞和異常行為升級為重大安全事件之前識別它們至關重要。
網絡工程師被敦促嚴格審查其環境中的任何配置更改。對路由器、交換機和防火牆等設備進行未經授權的修改,如果不加以控制,可能會成為攻擊者的入口點。
應實施全面的警報機制來檢測配置、路由更新和訪問控制列表 (ACL) 的更改。集中存儲配置並定期驗證它們可確保一致性並降低篡改風險。網絡流量監控解決方案戰略性地放置在關鍵入口和出口點,提供流量模式的可見性並幫助檢測客戶間流量異常。
為了最大限度地減少暴露,管理流量必須限制在安全且定義的網絡路徑上,最好只能通過專用管理工作站進行訪問。應持續監控用戶身份驗證以檢測異常情況,例如未經授權的登錄或使用不活動帳戶。應使用採用 IPsec 或 TLS 等加密傳輸協議的集中式日誌記錄系統來安全地存儲和分析日誌。這些系統應該能夠實現實時數據關聯和分析,進一步增強威脅檢測能力。
安全信息和事件管理 (SIEM) 工具可以通過聚合不同來源的數據來快速識別威脅,從而顯著增強可見性。建立正常網絡行為的基線有助於定義檢測和警報異常活動的規則。此外,維護最新的設備和固件清單可確保兼容性並減少漏洞。
強化網絡架構和設備的深度防禦方法可以減少攻擊面並加強對漏洞的防禦。實施安全配置並遵守最佳實踐可以限制潛在的漏洞。
關鍵的強化措施包括使用帶外管理網絡,該網絡與運營數據網絡物理隔離。這種分離可以防止發生洩露時的橫向移動,並確保網絡基礎設施的安全管理。嚴格的默認拒絕 ACL 策略,加上使用 VLAN 或專用 VLAN (PVLAN) 進行數據包檢查和分段,進一步增強了安全性。面向外部的服務(例如 DNS 和 Web 服務器)應隔離在非軍事區內,以保護內部資源。
虛擬專用網絡 (VPN) 網關的安全配置至關重要。僅應公開必要的端口,並應強制執行強加密協議來進行密鑰交換、身份驗證和加密。應禁用過時的加密算法和未使用的功能以減少漏洞。應採用傳輸層安全1.3版本來確保數據完整性和機密性,並且基於公鑰基礎設施(PKI)的證書應取代自簽名證書進行身份驗證。
身份驗證過程對於維護網絡安全和用戶隱私至關重要。所有設備都應使用最安全的可用身份驗證機制。應為所有管理和用戶帳戶強制執行多重身份驗證 (MFA),特別是基於硬件的 PKI 或 FIDO 身份驗證等防網絡釣魚的 MFA 方法。 MFA 確保僅向授權人員授予訪問權限,並降低憑據洩露被利用的可能性。
會話管理策略應包括有限的令牌持續時間和過期時的強制重新身份驗證。應實施基於角色的訪問控制策略,為用戶分配特定角色,確保他們只能訪問其職責所需的資源。定期審核帳戶活動和權限,確保遵守最小權限原則。
應立即禁用未使用或不必要的帳戶。本地帳戶應僅作為最後手段使用,其憑據在使用後立即更改。支持 MFA 的集中式身份驗證、授權和計費服務器應管理對基礎設施的例行訪問。
組織必須採用嚴格的密碼策略,確保密碼滿足複雜性要求並使用單向哈希算法安全存儲。應避免使用已棄用的哈希技術,例如 Type-5 或 Type-7 密碼。相反,應在支持的地方使用安全選項,例如 Type-8 密碼或 Type-6 加密 TACACS+ 密鑰。
密碼標準必須嚴格執行。例如,VPN 應利用強大的密鑰交換算法,例如具有 4096 位模指數的 Diffie-Hellman Group 16 或具有 384 位橢圓曲線組的 Group 20。加密應利用 AES-256,並使用 SHA-384 或 SHA-512 執行散列。對於 Secure Shell 協議,2.0 版必須至少使用 3072 位 RSA 密鑰和 4096 位 Diffie-Hellman 密鑰大小來實現。
確保通信基礎設施安全的另一個關鍵方面涉及準備和響應事件。集中式日誌記錄和監控系統應具備在異地安全保留日誌的能力,確保日誌不會被惡意行為者篡改。日誌在傳輸和存儲過程中也應進行加密,以保持數據的完整性和機密性。
如果發生可疑活動,組織必須有明確的報告渠道。建議美國組織聯繫 FBI 的互聯網犯罪投訴中心 (CISA)。同樣,澳大利亞、加拿大和新西蘭各自的機構也建立了報告機制來解決網絡安全事件。
為了增強整體安全態勢,鼓勵軟件製造商採用安全設計原則,這種方法將安全措施集成到開發生命週期中,從而減少客戶在部署後實施額外強化措施的需要。客戶應優先購買符合安全設計標準並要求供應商承擔責任的軟件和硬件。
該指南中概述的建議旨在減輕中華人民共和國附屬機構和其他網絡威脅行為者帶來的風險。增強的可見性和強大的身份驗證機制是安全通信基礎設施的重要組成部分。通過實施這些最佳實踐,組織可以保護敏感數據、確保用戶隱私並保持關鍵系統的彈性。
文章主題
||||||||
