SolarWinds攻擊事件悄悄吹響了美國的網(wǎng)絡(luò )戰號角
來(lái)源:互聯(lián)網(wǎng)時(shí)間:2023-05-06 12:06:21
接上篇的翻譯轉載����,其實(shí)那些小說(shuō)似的采訪(fǎng)并沒(méi)有多少料�����,筆者在三年前事件發(fā)生時(shí)就已經(jīng)有一篇短文分析出來(lái)劇情了����,表面上看起來(lái)美國頂級安全公司和政府機構亂作一團����,而后面這兩年美國的反應才是真的讓人大跌眼鏡...
在前不久的RSA Conference 2023大會(huì )上�����,美國國家任務(wù)網(wǎng)絡(luò )部隊(Cyber National Mission Force����,CNMF)與美國網(wǎng)絡(luò )安全和基礎設施安全局 (Cybersecurity and Infrastructure Security Agency�����,CISA)的兩位代表首次分享解密了最近“前出狩獵行動(dòng)(Hunt Forward Operations�����,HFOs)”的一些信息����,其中就包括了2021年的Solarwinds供應鏈攻擊事件在美國國家層面的一些反應����。
【資料圖】
CISA的Eric Goldstein公開(kāi)說(shuō):“我們使用了來(lái)自Mandiant和Microsoft的數據�����,快速識別了可能受到Solarwinds供應鏈攻擊活動(dòng)影響的九家機構����,攻擊活動(dòng)廣泛地針對了Microsoft Office 365基礎設施����,我們在許多受害機構中啟動(dòng)了防御應對措施�����。作為這項工作的一部分�����,我們定位了許多受影響機構使用的失陷SolarWinds服務(wù)器����,當我們對這些服務(wù)器進(jìn)行鏡像快照后�����,會(huì )立即與CNMF共享信息和數據����,以供他們在HFOs中使用”����。
而CNMF的William J. Hartman少將解釋了CNMF的進(jìn)一步行動(dòng)�����,他們能夠訪(fǎng)問(wèn)失陷服務(wù)器的鏡像快照����,這對他們來(lái)說(shuō)非常寶貴的資源�����,他們會(huì )立即在虛擬環(huán)境中對其進(jìn)行了模擬分析�����,然后開(kāi)始研究對策�����,以期在其他任務(wù)中尋找對手類(lèi)似的攻擊活動(dòng)����,最終CNMF能夠開(kāi)發(fā)出一種高端威脅狩獵能力來(lái)尋找對手�����。他還表示:“由于CISA共享了信息和情報����,我們確切地知道在尋找什么����,并且當我們開(kāi)始執行前出狩獵行動(dòng)(Hunt Forward Operations�����,HFOs)時(shí)����,我們幾乎立即就能看到對手的活動(dòng)�����,我們不僅能夠接近對手����,而且我們能夠以對手不知道的方式進(jìn)行網(wǎng)絡(luò )作戰和收集信息����,最終我們破獲了18個(gè)新的惡意樣本”�����。
看到這里大家肯定會(huì )很懵逼����,什么是前出狩獵行動(dòng)(Hunt Forward Operations����,HFOs)����?
這里的HFOs就是美國國家級的溯源反制行動(dòng)����,涉及美國政府機構和軍隊的合作����,一些所謂的美國頂級網(wǎng)絡(luò )安全公司(民企)不過(guò)是提供數據支持打輔助而已����,HFOs甚至會(huì )使用反制手段黑回去溯源取證�����。
繼續來(lái)給APT“磚家”們科普什么是HFOs...
前出狩獵行動(dòng)(Hunt Forward Operations����,HFOs)是由美國網(wǎng)絡(luò )司令部(USCYBERCOM)在合作伙伴國家的請求下嚴格執行的防御性網(wǎng)絡(luò )行動(dòng)�����。在受邀情況下�����,USCYBERCOM的HFOs團隊會(huì )部署到合作伙伴國家����,觀(guān)察和偵測目標國家網(wǎng)絡(luò )上的惡意網(wǎng)絡(luò )活動(dòng)�����。HFOs行動(dòng)產(chǎn)生的見(jiàn)解能夠增強國家間的網(wǎng)絡(luò )安全防御�����,并和合作伙伴國家共享和提高網(wǎng)絡(luò )空間抵御威脅的能力�����。
前出狩獵行動(dòng)的人員全部隸屬于美國網(wǎng)絡(luò )司令部(USCYBERCOM)下屬的國家任務(wù)網(wǎng)絡(luò )部隊(Cyber National Mission Force����,CNMF)�����,該部隊由受過(guò)特殊培訓的人員組成�����,負責保護和捍衛美國國防信息網(wǎng)絡(luò )(DODIN)免受惡意網(wǎng)絡(luò )行動(dòng)者和外國的國家級對手攻擊����。
在海外����,美國CNMF運營(yíng)團隊與合作伙伴并肩作戰�����,搜尋目標國家網(wǎng)絡(luò )上的安全漏洞�����、惡意軟件以及對手的存在����。美國網(wǎng)絡(luò )司令部(USCYBERCOM)與目標國共享前出狩獵行動(dòng)的見(jiàn)解�����,與聯(lián)邦調查局(FBI)�����、國土安全部(DHS)等其他政府機構以及私營(yíng)企業(yè)分享信息����。這些行動(dòng)強化了美國國土安全和網(wǎng)絡(luò )安全����,同時(shí)暴露了美國對手的技戰術(shù)和網(wǎng)絡(luò )武器�����,避免它們被用于攻擊美國�����。
HFOs團隊實(shí)施了美國網(wǎng)絡(luò )司令部(USCYBERCOM)持續的前向防御策略����。美國網(wǎng)絡(luò )不斷受到對手國家和惡意網(wǎng)絡(luò )行為者的攻擊����,他們試圖利用漏洞破壞美國的社會(huì )穩定和軍事能力����。為應對這種情況�����,美國網(wǎng)絡(luò )司令部(USCYBERCOM)在網(wǎng)絡(luò )空間中持續與對手進(jìn)行交戰�����,以打擊網(wǎng)絡(luò )威脅����,削弱對手的能力和網(wǎng)絡(luò )����,不斷加強國防部信息網(wǎng)絡(luò )(DODIN)的安全防御�����。前向防御需要盡可能地接近對手活動(dòng)的來(lái)源�����,擴大美國網(wǎng)絡(luò )作戰人員的覆蓋范圍�����,并在源頭消除威脅�����。
從2018年到2022年�����,美國網(wǎng)絡(luò )司令部(USCYBERCOM)下屬的網(wǎng)絡(luò )國家任務(wù)部隊與合作伙伴國家進(jìn)行了二十多次前出狩獵行動(dòng)����。CNMF運營(yíng)團隊部署到了全球范圍內的十六個(gè)不同國家����,包括烏克蘭�����、愛(ài)沙尼亞和立陶宛等�����。經(jīng)過(guò)多次合作�����,這些由合作伙伴支持的行動(dòng)已經(jīng)發(fā)現了多個(gè)高級威脅捕獲成果向網(wǎng)絡(luò )安全界公開(kāi)以供分析����。
前出狩獵行動(dòng)產(chǎn)生的見(jiàn)解已被證明對保衛美國網(wǎng)絡(luò )空間�����、防御外部入侵和惡意攻擊來(lái)說(shuō)非常寶貴�����。2020年�����,美國網(wǎng)絡(luò )司令部(USCYBERCOM)就在九個(gè)不同國家進(jìn)行了十一次前出狩獵行動(dòng)����,對保衛2020年美國選舉免受外部影響和干擾做出了貢獻�����。在2021年����,美國網(wǎng)絡(luò )司令部(USCYBERCOM)與網(wǎng)絡(luò )安全和基礎設施安全局(CISA)聯(lián)合進(jìn)行了一次HFOs行動(dòng)�����,以應對SolarWinds供應鏈攻擊�����,最終將攻擊歸因于俄羅斯APT29組織�����,HFOs行動(dòng)有效的產(chǎn)出了有關(guān)對手的技戰術(shù)����、意圖和情報�����。
當然最終的結果是某些APT“磚家”想要的成功溯源����,大結局是白宮發(fā)了制裁令����。但就此Solarwinds攻擊劇終了么...�����?
答案是沒(méi)有����!美國其實(shí)對于A(yíng)PT攻擊一點(diǎn)都不怵�����,反而很高興�����,因為借這次SolarWinds安全事件的驅動(dòng)����,美國軍方終于依靠“受害者”的身份發(fā)明了HFOs這種去海外網(wǎng)絡(luò )空間交戰的“正當防衛”手段�����。至此美國可以堂而皇之地去侵犯對手國家的網(wǎng)絡(luò )空間主權�����,網(wǎng)絡(luò )戰的號角已經(jīng)被悄悄吹響...
標簽:
營(yíng)業(yè)執照公示信息
