通訊基礎設施的威脅情勢顯著加劇,中華人民共和國 (PRC) 附屬威脅行為者等敵對組織將全球電信供應商作為目標。這些活動強調了提高可見性和加強防範剝削的必要性。
為此,美國網路安全和基礎設施安全局 (CISA)、國家安全局、聯邦調查局 (FBI)、澳洲信號局的澳洲網路安全中心、加拿大網路安全中心和紐西蘭國家網路安全中心,已發出指導適用於網路工程師和其他通訊基礎設施維護者。本指南包括用於增強可見性和強化網路設備以防止中華人民共和國附屬機構和其他惡意網路行為者成功利用的最佳實踐。
該聯合指導意見是對與中國政府有關的名為「Salt Typhoon」的駭客組織實施了電信基礎設施的攻擊。該指南的核心是優先考慮用戶隱私的措施和強大的身份驗證機制,這對於應對現代網路威脅至關重要。
該指南指出:“儘管本指南是針對網路維護者和通訊基礎設施工程師量身定制的,但它也可能適用於擁有本地企業設備的組織。” “編寫機構鼓勵電信和其他關鍵基礎設施組織應用本指南中的最佳實踐。”
該指南稱,「截至本發布日期,已發現的與這些威脅行為者活動相關的利用或妥協與受害者基礎設施相關的現有弱點一致;沒有觀察到新的活動。修補易受攻擊的設備和服務以及整體保護環境將減少入侵機會並減輕攻擊者的活動。
可見性是監控、偵測和理解基礎設施內活動的網路防禦的基石,對於在潛在威脅、漏洞和異常行為升級為重大安全事件之前識別它們至關重要。
網路工程師被敦促嚴格審查其環境中的任何配置變更。對路由器、交換器和防火牆等設備進行未經授權的修改,如果不加以控制,可能會成為攻擊者的入口點。
應實施全面的警報機制來偵測配置、路由更新和存取控制清單 (ACL) 的變更。集中儲存配置並定期驗證它們可確保一致性並降低篡改風險。網路流量監控解決方案策略性地放置在關鍵入口和出口點,提供流量模式的可見度並協助偵測客戶間流量異常。
為了最大限度地減少暴露,管理流量必須限制在安全且定義的網路路徑上,最好只能透過專用管理工作站進行存取。應持續監控使用者身分驗證以偵測異常情況,例如未經授權的登入或使用不活動帳戶。應使用採用 IPsec 或 TLS 等加密傳輸協定的集中式日誌記錄系統來安全地儲存和分析日誌。這些系統應該能夠實現即時數據關聯和分析,進一步增強威脅偵測能力。
安全資訊和事件管理 (SIEM) 工具可以透過聚合不同來源的資料來快速識別威脅,從而顯著增強可見性。建立正常網路行為的基線有助於定義偵測和警報異常活動的規則。此外,維護最新的設備和韌體清單可確保相容性並減少漏洞。
強化網路架構和設備的深度防禦方法可以減少攻擊面並加強對漏洞的防禦。實施安全配置並遵守最佳實踐可以限制潛在的漏洞。
關鍵的強化措施包括使用帶外管理網絡,該網絡與營運數據網路物理隔離。這種分離可以防止發生洩漏時的橫向移動,並確保網路基礎設施的安全管理。嚴格的預設拒絕 ACL 策略,加上使用 VLAN 或專用 VLAN (PVLAN) 進行封包檢查和分段,進一步增強了安全性。面向外部的服務(例如 DNS 和 Web 伺服器)應隔離在非軍事區內,以保護內部資源。
虛擬私人網路 (VPN) 閘道的安全性配置至關重要。僅應公開必要的端口,並應強制執行強加密協定來進行金鑰交換、身份驗證和加密。應停用過時的加密演算法和未使用的功能以減少漏洞。應採用傳輸層安全性1.3版本來確保資料完整性和機密性,並且基於公鑰基礎設施(PKI)的憑證應取代自簽章憑證進行驗證。
身份驗證過程對於維護網路安全和用戶隱私至關重要。所有設備都應使用最安全的可用身份驗證機制。應為所有管理和使用者帳戶強制執行多重身份驗證 (MFA),特別是基於硬體的 PKI 或 FIDO 身份驗證等防網路釣魚的 MFA 方法。 MFA 確保僅向授權人員授予存取權限,並降低憑證外洩被利用的可能性。
會話管理策略應包括有限的令牌持續時間和過期時的強制重新驗證。應實施基於角色的存取控制策略,為使用者指派特定角色,確保他們只能存取其職責所需的資源。定期審核帳戶活動和權限,確保遵守最小權限原則。
應立即停用未使用或不必要的帳戶。本機帳戶應僅作為最後手段使用,其憑證在使用後立即變更。支援 MFA 的集中式身分驗證、授權和計費伺服器應管理對基礎架構的例行存取。
組織必須採用嚴格的密碼策略,確保密碼符合複雜性要求並使用單向雜湊演算法安全儲存。應避免使用已棄用的雜湊技術,例如 Type-5 或 Type-7 密碼。相反,應在支援的地方使用安全性選項,例如 Type-8 密碼或 Type-6 加密 TACACS+ 金鑰。
密碼標準必須嚴格執行。例如,VPN 應利用強大的金鑰交換演算法,例如具有 4096 位元模指數的 Diffie-Hellman Group 16 或具有 384 位元橢圓曲線組的 Group 20。加密應利用 AES-256,並使用 SHA-384 或 SHA-512 執行雜湊。對於 Secure Shell 協議,2.0 版必須至少使用 3072 位元 RSA 金鑰和 4096 位元 Diffie-Hellman 金鑰大小來實作。
確保通訊基礎設施安全的另一個關鍵方面涉及準備和回應事件。集中式日誌記錄和監控系統應具備在異地安全保留日誌的能力,確保日誌不會被惡意行為者竄改。日誌在傳輸和預存程序中也應進行加密,以保持資料的完整性和機密性。
如果發生可疑活動,組織必須有明確的通報管道。建議美國組織聯絡 FBI 的網路犯罪投訴中心 (CISA)。同樣,澳洲、加拿大和紐西蘭的相應機構也建立了通報機制來解決網路安全事件。
為了增強整體安全態勢,鼓勵軟體製造商採用安全設計原則,這種方法將安全措施整合到開發生命週期中,從而減少客戶在部署後實施額外強化措施的需求。客戶應優先購買符合安全設計標準並要求供應商承擔責任的軟體和硬體。
該指南中概述的建議旨在減輕中華人民共和國附屬機構和其他網路威脅行為者帶來的風險。增強的可見性和強大的身份驗證機制是安全通訊基礎設施的重要組成部分。透過實施這些最佳實踐,組織可以保護敏感資料、確保使用者隱私並保持關鍵系統的彈性。
文章主題
||||||||
