通信基础设施的威胁形势显着加剧,中华人民共和国 (PRC) 附属威胁行为者等敌对组织将全球电信提供商作为目标。这些活动强调了提高可见性和加强防范剥削的必要性。
为此,美国网络安全和基础设施安全局 (CISA)、国家安全局、联邦调查局 (FBI)、澳大利亚信号局的澳大利亚网络安全中心、加拿大网络安全中心和新西兰国家网络安全中心,已发出指导适用于网络工程师和其他通信基础设施维护者。本指南包括用于增强可见性和强化网络设备以防止中华人民共和国附属机构和其他恶意网络行为者成功利用的最佳实践。
该联合指导意见是对与中国政府有关联的名为“Salt Typhoon”的黑客组织实施了电信基础设施的攻击。该指南的核心是优先考虑用户隐私的措施和强大的身份验证机制,这对于应对现代网络威胁至关重要。
该指南指出:“尽管本指南是针对网络维护者和通信基础设施工程师量身定制的,但它也可能适用于拥有本地企业设备的组织。” “编写机构鼓励电信和其他关键基础设施组织应用本指南中的最佳实践。”
该指南称,“截至本发布日期,已发现的与这些威胁行为者活动相关的利用或妥协与受害者基础设施相关的现有弱点一致;没有观察到新的活动。修补易受攻击的设备和服务以及总体保护环境将减少入侵机会并减轻攻击者的活动。”
可见性是监控、检测和理解基础设施内活动的网络防御的基石,对于在潜在威胁、漏洞和异常行为升级为重大安全事件之前识别它们至关重要。
网络工程师被敦促严格审查其环境中的任何配置更改。对路由器、交换机和防火墙等设备进行未经授权的修改,如果不加以控制,可能会成为攻击者的入口点。
应实施全面的警报机制来检测配置、路由更新和访问控制列表 (ACL) 的更改。集中存储配置并定期验证它们可确保一致性并降低篡改风险。网络流量监控解决方案战略性地放置在关键入口和出口点,提供流量模式的可见性并帮助检测客户间流量异常。
为了最大限度地减少暴露,管理流量必须限制在安全且定义的网络路径上,最好只能通过专用管理工作站进行访问。应持续监控用户身份验证以检测异常情况,例如未经授权的登录或使用不活动帐户。应使用采用 IPsec 或 TLS 等加密传输协议的集中式日志记录系统来安全地存储和分析日志。这些系统应该能够实现实时数据关联和分析,进一步增强威胁检测能力。
安全信息和事件管理 (SIEM) 工具可以通过聚合不同来源的数据来快速识别威胁,从而显着增强可见性。建立正常网络行为的基线有助于定义检测和警报异常活动的规则。此外,维护最新的设备和固件清单可确保兼容性并减少漏洞。
强化网络架构和设备的深度防御方法可以减少攻击面并加强对漏洞的防御。实施安全配置并遵守最佳实践可以限制潜在的漏洞。
关键的强化措施包括使用带外管理网络,该网络与运营数据网络物理隔离。这种分离可以防止发生泄露时的横向移动,并确保网络基础设施的安全管理。严格的默认拒绝 ACL 策略,加上使用 VLAN 或专用 VLAN (PVLAN) 进行数据包检查和分段,进一步增强了安全性。面向外部的服务(例如 DNS 和 Web 服务器)应隔离在非军事区内,以保护内部资源。
虚拟专用网络 (VPN) 网关的安全配置至关重要。仅应公开必要的端口,并应强制执行强加密协议来进行密钥交换、身份验证和加密。应禁用过时的加密算法和未使用的功能以减少漏洞。应采用传输层安全1.3版本来确保数据完整性和机密性,并且基于公钥基础设施(PKI)的证书应取代自签名证书进行身份验证。
身份验证过程对于维护网络安全和用户隐私至关重要。所有设备都应使用最安全的可用身份验证机制。应为所有管理和用户帐户强制执行多重身份验证 (MFA),特别是基于硬件的 PKI 或 FIDO 身份验证等防网络钓鱼的 MFA 方法。 MFA 确保仅向授权人员授予访问权限,并降低凭据泄露被利用的可能性。
会话管理策略应包括有限的令牌持续时间和过期时的强制重新身份验证。应实施基于角色的访问控制策略,为用户分配特定角色,确保他们只能访问其职责所需的资源。定期审核帐户活动和权限,确保遵守最小权限原则。
应立即禁用未使用或不必要的帐户。本地帐户应仅作为最后手段使用,其凭据在使用后立即更改。支持 MFA 的集中式身份验证、授权和计费服务器应管理对基础设施的例行访问。
组织必须采用严格的密码策略,确保密码满足复杂性要求并使用单向哈希算法安全存储。应避免使用已弃用的哈希技术,例如 Type-5 或 Type-7 密码。相反,应在支持的地方使用安全选项,例如 Type-8 密码或 Type-6 加密 TACACS+ 密钥。
密码标准必须严格执行。例如,VPN 应利用强大的密钥交换算法,例如具有 4096 位模指数的 Diffie-Hellman Group 16 或具有 384 位椭圆曲线组的 Group 20。加密应利用 AES-256,并使用 SHA-384 或 SHA-512 执行散列。对于 Secure Shell 协议,2.0 版必须至少使用 3072 位 RSA 密钥和 4096 位 Diffie-Hellman 密钥大小来实现。
确保通信基础设施安全的另一个关键方面涉及准备和响应事件。集中式日志记录和监控系统应具备在异地安全保留日志的能力,确保日志不会被恶意行为者篡改。日志在传输和存储过程中也应进行加密,以保持数据的完整性和机密性。
如果发生可疑活动,组织必须有明确的报告渠道。建议美国组织联系 FBI 的互联网犯罪投诉中心 (CISA)。同样,澳大利亚、加拿大和新西兰的相应机构也建立了报告机制来解决网络安全事件。
为了增强整体安全态势,鼓励软件制造商采用安全设计原则,这种方法将安全措施集成到开发生命周期中,从而减少客户在部署后实施额外强化措施的需要。客户应优先购买符合安全设计标准并要求供应商承担责任的软件和硬件。
该指南中概述的建议旨在减轻中华人民共和国附属机构和其他网络威胁行为者带来的风险。增强的可见性和强大的身份验证机制是安全通信基础设施的重要组成部分。通过实施这些最佳实践,组织可以保护敏感数据、确保用户隐私并保持关键系统的弹性。
文章主题
||||||||
