从最近国内多起疑似数据勒索事件对照等保标准要求研读美国执法机构发布的勒索软件防范网络安全公告
有些自媒体喜欢设置非常长的文章标题,笔者也试一下。
最近多方信源显示,进入2025年以来,国内疑似发生多起境外勒索软件组织实施的数据勒索事件,据称的受害者不乏有高科技企业甚至是网络安全相关企业。而也是在2025年2月底,美国网络安全相关执法机构联合发布了一份旨在防范 Ghost 勒索软件的网络安全公告,颇有必要从等级保护要求出发,结合案件多发的情况进行认真研读。
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
该安全公告[1]由美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)以及多州信息共享与分析中心(MS-ISAC)联合发布,向公众分享已知的 Ghost(Cring)勒索软件(组织)的妥协指标(IoCs)及战术、技术和程序(TTPs)。
国内很多网络安全职业自媒体都有摘录翻译转载,但实际都只是从新闻角度说了有这么一回事,对相关从业者尤其是广大甲方来说,这种片言只语的摘录(比如“受害者涉及70多个国家,包括中国等”)并无实际帮助。
话说回来,网络安全中的甲方教育本来就是费力不讨好的事情,安全行业机构厂商都不愿意做的事,职业自媒体更不愿意花时间了。
公告一开始就重点指出了5项措施,企业组织必须立即行动以缓解 Ghost 勒索软件所带来的安全威胁。但具体而言,这5项措施应该如何落实?
其实要防范勒索软件,在笔者角度认为最简化的一句话就是:
结合等保标准要求和 CIS Critical Security Controls 设计适合自己的具体措施,严格执行,定期审计。
公告指出的5项首要措施包括:
1、保持定期备份,并将备份与源系统分离独立存储,且存储位置应能防止有可能被攻陷的网络设备访问而导致备份被篡改或加密 [CPG 2.R]。
2、对操作系统、软件和固件的已知漏洞及时应用安全更新,且在基于风险评估得出的时间范围内实施。[CPG 2.F]。
3、重点关注7个CVE:CVE-2018-13379、CVE-2010-2861、CVE-2009-3960、CVE-2021-34473、CVE-2021-34523、CVE-2021-31207。
4、对网络进行分段,以限制从最初沦陷的设备到同一组织内其他网络设备的横向移动行为。[CPG 2.F]。
5、所有特权账户和电子邮件服务账户的登录和使用,应使用抗钓鱼的多因素认证(MFA)。
大多数转载摘录的媒体对以上首要措施均没有提到的是,原文的1、2、4三项后面带有的 CPG 是引用到美国网络安全和基础设施安全局发布的 Cybersecurity Performance Goals (CPGs) 网络安全绩效目标[2]。
CPGs 是性质上属于自愿执行的网络安全实践指南,其包含的安保措施均具有高影响程度。这些措施对所有规模的企业和关键基础设施所有者进行了衡量,概括出为保护自己免受网络威胁而能采取的最高优先级的安全基线。
CPGs 的具体内容和 CIS Critical Security Controls 以及我国网络安全等级保护标准的要求相类似,比如第1条就是资产梳理,第2条是组织内网络安全领导职责等,每一条都简要说明了执行效果、对应到 MITRE ATT&CK 框架[3]条款的攻击或风险、适用的范围和建议的具体行动。
CPGs 特点是比较简单直接,避免了网络安全框架或标准因为必须长篇大论而导致非专业人员难看懂的问题。
5项首要措施中,除第3项重点关注7个被利用的老旧但高风险的 CVE 漏洞之外,其他4项实质都是通用的网络安全要求,而且:
都是在等保要求的范围内。
笔者简单地找了一下配对关系:
|
公告的措施 |
等保相关标准条款 |
CIS Critical Security Controls V8 |
|
1、备份及备份的贮存 |
GB/T 20269-2006 5.6.1.1 数据备份和恢复 |
Control 11 11.2 Perform Automated Backups 11.4 Establish and Maintain an Isolated Instance of Recovery Data |
|
2、漏洞及补丁 |
GB/T 20269-2006 5.5.5.3 系统安全管理要求 5.5.6.3 安全机制整合要求 |
Control 07 7.3 Perform Automated Operating System Patch Management 7.4 Perform Automated Application Patch Management |
|
4、网络分段分区 |
GB/T 22239-2019 安全区域边界 |
Control 12 12.2 Establish and Maintain a Secure Network Architecture |
|
5、多因素身份认证 |
GB/T 22239-2019 8 第三级安全要求 8.1.4.1 身份鉴别 |
Control 06 6.5 Require MFA for Administrative Access |
从上表可见,只有多因素身份认证是等级保护第三级的要求,起点较高,其他三项都是从等保第一级就开始提出的要求。
提醒一下读者,想了解 CIS 关键安全控制措施的具体内容,可以参考本人较早前的翻译:
5项首要措施中,对7个被利用的 CVE 的关注放在中间第3项。值得注意的是这些 CVE 都不是新东西,甚至有2009年也就是十六年前的。
这就指向一件事:历史遗留系统的漏洞如何补的问题。这也是在做等保测评时经常需要面对的情况。
实际情况中,由于存在使用需求,不少企业组织会选择继续使用历史遗留系统,而且抱有侥幸心理:系统部署在内网,而且是在核心区内受到保护,所有访问都经过了必要的过滤,没问题的(大误)。
当然不排除有些企业组织没对历史遗留系统做防护的,甚至资产清单都没整理出来自己还有在用的。
但是,严肃地说,不再能获得补丁更新的历史遗留系统,必须关停。对于不了解网络安全攻防实践的企业组织相关人员来说,以为实施了安全防护和访问过滤就能万无一失,其实是一种迷信心态,且很大程度上是被厂商错误灌输的。
尤其是对照最近疑似事件的情况,颇为讽刺。
所以,不要迷信厂商提供的解决方案,任何解决方案都不是万能的,需要在良好的实践下才能发挥作用,而事实上,即使是厂商自己都不一定能实践好。
5项措施的最后一项是建议启用MFA。
启用 MFA 并不在 CPGs 里面,在等保标准中也是第三级才要求。这些情况使得启用 MFA 显得有点高远,会导致大多数做等保二级的企业组织会觉得我这没必要折腾 MFA 这事。
但从技术上,一次性密码(OTP)技术作为最常用也最有效的 MFA 身份验证方式,已经非常成熟和容易实施。尤其是最常见、基于 RFC 6238 的 TOTP 算法[4],有大量的开源实现代码可以参考借鉴。
而且,都2025年了,新建系统如果还不把 MFA 作为身份验证的强制要求,那这系统在安全方面可以说是完全没有做到 Secure By Design。对于已建成在用的系统,改造加入 MFA 身份验证也应排上日程及时实施了。
~ 完 ~
注:题图为笔者自行拍摄。
参考引用:
[1] #StopRansomware: Ghost (Cring) Ransomware
[2] Cybersecurity Performance Goals (CPGs)
https://www.cisa.gov/cybersecurity-performance-goals-cpgs
[3] MITRE ATT&CK®
[4] TOTP: Time-Based One-Time Password Algorithm
https://datatracker.ietf.org/doc/html/rfc6238
本站微信订阅号:
本页网址二维码: